Premier Mark Rutte en veel andere ministers moesten de voorbij weken toegeven regelmatig privémailadressen en -telefoons te gebruiken voor zakelijke gesprekken. De reden? Veiligheidsrestricties maakten werken met goedgekeurde apparaten praktisch onmogelijk. It-managers zijn soms geneigd vanuit de techniek te denken en medewerkers van een organisatie te dwingen tot gebruiksonvriendelijke oplossingen. Terwijl een gemakkelijk te volgen wachtwoordbeleid hartstikke veilig kan zijn.
Wachtwoorden vormen al sinds de uitvinding ervan een probleem voor gebruikers ervan. In elke organisatie van elke branche, wereldwijd, hebben mensen moeite om lange, complexe wachtwoorden te onthouden. It-beleidsvoerders werken al decennia met de aanname dat een wachtwoord per se complex moet zijn. Iets als ‘ediVgdgrnei’ is volgens hun denkwijze een beter wachtwoord dan ‘Verdediging’. Beide bestaan uit dezelfde letters, maar je kunt wel raden welk wachtwoord iemand beter onthoudt. Ze zijn allebei best veilig, maar kunnen véél beter.
Cybercriminelen die een organisatie password sprayen proberen in te loggen met een al bekende username en elke mogelijke combinatie van wachtwoorden. Zie het ‘raden’ naar het wachtwoord als het draaien aan een cijferslot. Elke letter is een cijfertje, en door hoofdletters en leestekens toe te voegen vergroot je het aantal mogelijke ‘letters’. Hoe langer de reeks, des te meer combinaties moet de password-bot nagaan en des te meer tijd is hij kwijt goed te gokken. Het is een simpele rekensom.
Tweehonderd jaar
Het wachtwoord ‘Verdediging’ heeft een hoofdletter en telt elf karakters. Volgens securityspecialist Hive Systems doet een computer er in 2022 gemiddeld vijf maanden over dit wachtwoord te kraken. Voeg een ‘1’ toe (‘Verdediging1’, twaalf tekens), en dit springt naar tweehonderd jaar. Een eerste advies voor organisaties die worstelen met hun wachtwoordbeleid luidt daarom: maak een wachtwoord langer, niet complexer, en voeg een cijfer en zelfs spaties toe. ‘Verdediging1’ is dan nog onnodig kort: ‘CyberSecurity01’ zou volgens Hive Systems pas in 46 miljoen jaar te kraken zijn.
Waar deze versimpeling aan voorbijgaat, is dat a) bekende combinaties als woorden wat gemakkelijker te raden zijn, en b) de rekenkracht van computers nog altijd exponentieel groeit. Over een aantal jaar zijn ook bovenstaande voorbeelden helaas niet veilig genoeg meer. Quantum computing zou ervoor kunnen zorgen dat die miljoenen jaren een kwestie van dagen of minuten wordt. Organisaties moeten daarom een dubbel slot op hun deur schroeven, en medewerkers zich twee (of méér) keer laten identificeren.
Tweefactorauthenticatie
Wat je wachtwoordbeleid ook is: een juiste combinatie van gebruikersnaam en wachtwoord is meestal genoeg om ‘binnen’ te komen. Dit zien wij in assessments die wij bij organisaties uitvoeren: soms zijn wel zestig tot zeventig procent van de wachtwoorden snel te kraken en is er géén ‘tweefactorauthenticatie (2fa) ingesteld: een externe app die een gebruiker twee keer laat bewijzen écht te zijn, wie hij zegt te zijn. 2fa negeren is een vergissing, want als organisatie wil je niet dat dat je digitale veiligheid van één pijler afhankelijk is.
Met 2fa trek je een externe beveiliger aan de mouw die als het ware de tweede deur beveiligt. Ben je binnen, dan moet je nog langs deze uitsmijter om bij de kroonjuwelen van de organisatie te kunnen. Voor hackers en andere cybercriminelen zijn ze haast niet te passeren: ze zouden dan (naast de eerste inlogggegevens die ze buit maakten) ook in de telefoon van de gebruiker moeten komen, of de 2fa-tool van Google, Microsoft of welke aanbieder dan ook moeten kraken. Dat lukt ze niet.
Luie inbrekers
Cybercriminelen zijn vaak luie inbrekers. Als ze zien dat een password spray niet snel werkt, en dat ze bij een zeldzame doorbraak alsnog tegen 2fa aanlopen, gaan ze vaak op zoek naar een gemakkelijker doelwit. Cybersecurity is dan ook een kwestie van je basis goed op orde hebben. Lange, unieke wachtwoorden in combinatie met 2fa stuurt ze naar organisaties die de deur wél op een kier hebben staan. Tijd is namelijk geld, óók in de wereld van de cyberaanvallers.
Voor it’ers is de oproep dan ook simpel. Wil je dat jouw collega’s geen maatregelen omzeilen en gewoon veilig werken? Raad ze dan aan een lang, maar gemakkelijk wachtwoord te kiezen en maak 2fa noodzakelijk. Zo houd je inbrekers buiten de deur, maar hoef je ook niet zelf eens in de paar maanden een account te resetten omdat een gebruiker ‘AJbdau**bXadANh’ niet kon onthouden. Het is hierbij belangrijk je medewerkers mee te nemen in dit proces en ze te vertellen wáárom het belangrijk is een goed wachtwoord te hebben. Organisaties hebben meer waardevolle data dan ooit. De digitale deur dichthouden heeft daarom de hoogste prioriteit, en werknemers willen niet degene zijn die hem op een kiertje zet.
(Auteur Jort Kollerie is manager security architecture bij Orange Cyberdefense.)
Complexiteit telt, niet de lengte als ik kijk naar de afbeelding. Verder vrees ik dat we nog lang niet van de wachtwoorden verlost zijn omdat ze goedkoop, eenvoudig te wijzigen en makkelijk te delen zijn. En wat betreft laatste heeft het weinig nut om de digitale voordeur dicht te houden als de achterdeur open staat door service accounts want veiligheidsrestricties zijn ook alleen maar lastig.