Zo maak je een goed wachtwoord en best practices voor je wachtwoordbeleid

Een goed wachtwoord en een uitgedacht wachtwoordbeleid beschermen je bedrijf tegen hackers die waardevolle data willen stelen. Met deze best practices krijgen cybercriminelen geen kans.

goed wachtwoord bedenken

Bestaande wachtwoordpolicy’s zijn vaak gebaseerd op achterhaalde ideeën die in deze risicovolle tijd niet meer volstaan. In dit artikel bespreken we de resultaten van een enquête naar het gebruik van wachtwoorden door mkb-medewerkers en leggen we uit hoe je het wachtwoordbeleid van jouw organisatie kunt verbeteren.

Wat is een wachtwoordbeleid?

Een wachtwoordbeleid of wachtwoordpolicy is een set regels waarmee je bepaalt welke wachtwoordparameters gebruikt moeten worden om te zorgen dat de data, systemen en apparaten van het bedrijf goed beschermd blijven. Een effectief wachtwoordbeleid moet uit verschillende elementen bestaan. Vaak is dit ook een vereiste van wet- en regelgeving, zoals de AVG, die werkgevers verplicht om passende technische en organisatorische maatregelen te treffen voor de bescherming van persoonsgegevens.

Het is echter niet genoeg om een wachtwoordbeleid op te stellen en vervolgens te implementeren. Elk bedrijf moet zijn wachtwoordbeleid documenteren, zorgen dat alle medewerkers de inhoud ervan kennen en het beleid opnemen in relevante andere documenten, zoals het beleid voor acceptabel gebruik of een bewustwordingstraining voor beveiliging. Maar hoe maak je een goed wachtwoord?

Hoe maak je een goed wachtwoord?

Wachtwoorden moeten complex en lang genoeg zijn. Computers zijn de afgelopen jaren steeds krachtiger geworden en de verwerkingssnelheden zijn fors toegenomen. Zogenaamde brute-force attacks, waarin hackers eindeloze combinaties van tekens blijven uitproberen totdat ze het juiste wachtwoord hebben gevonden, zijn daardoor steeds vaker effectief. Om bedrijfsdata te beschermen moet je wachtwoordbeleid lange en complexe wachtwoorden vereisen die moeilijk te achterhalen zijn met brute-force.

Willekeurige tekencombinaties zijn veel veiliger dan woorden die in het woordenboek staan of andere reeksen die betekenis hebben. Een goed wachtwoord is bijvoorbeeld een lange reeks die bestaat uit een combinatie van elementen, zoals W0nen_0P4hoog@chter. Dergelijke wachtwoorden zijn lang en complex genoeg.

Best practices voor wachtwoordlengte

Wachtwoorden moeten ten minste acht tekens bevatten om aan de minimale veiligheidsnormen te voldoen. Dit is ook een van de wachtwoordvoorschriften van het NIST, het Amerikaanse instituut voor veiligheid en technologie, dat de Amerikaanse overheid adviseert. Omdat computers echter steeds krachtiger worden, raden wij aan een minimum van 12 tekens te hanteren voor algemene bedrijfsapplicaties en minimaal 16 tekens voor wachtwoorden die zeer gevoelige data beschermen.

Best practices voor wachtwoordcomplexiteit

Een veilig wachtwoord moet een combinatie bevatten van hoofdletters en kleine letters, cijfers en speciale tekens. Met elk extra tekentype verhoog je het aantal combinaties dat mogelijk is. Bij een wachtwoord als 24356775, dat alleen uit cijfers bestaat, zijn alle tekens afkomstig uit een kleine groep van 10 tekens (0-9).

Als je één cijfer door een letter vervangt, bijvoorbeeld a4356775, zijn er meteen al 36 tekens mogelijk (10 cijfers + 26 letters). Als je daar dan nog een hoofdletter en een speciaal teken aan toevoegt, is het aantal mogelijkheden ongeveer 92. Met extra tekensets, zoals Unicode, krijg je nog meer mogelijkheden.

Door alleen complexe en lange wachtwoorden af te dwingen los je het probleem van gemakkelijk te raden wachtwoorden echter niet op. Organisaties moeten ook zwarte lijsten toevoegen om te voorkomen dat mensen algemeen gebruikte en standaard fabriekswachtwoorden gebruiken, die een beetje cybercrimineel natuurlijk ook kent. Sta ook niet toe dat de naam van je bedrijf in het wachtwoord wordt gebruikt, bijvoorbeeld Bedrijfsnaam1.

Protip: gebruik een acroniem om complexe wachtwoorden te onthouden, bijvoorbeeld WzI4xpd1@e? = Waarom zou ik vier keer per dag een appel eten?

Versoepel de regels voor wachtwoordduur, -geschiedenis en mislukte inlogpogingen

Vaak moeten gebruikers om de 90 dagen een nieuw wachtwoord opgeven om de tijd waarin een hacker gestolen inloggegevens kan misbruiken, zo kort mogelijk te houden. In de praktijk is dit niet handig en het leidt tot een slechte gebruikerservaring. Wachtwoorden kunnen normaal gesproken best 180 dagen of langer worden gebruikt zonder dat dit significante gevolgen heeft voor de beveiliging. (Bepaalde sectoren hebben specifieke regelgeving waarin is vastgelegd dat wachtwoorden na een kortere tijd moeten verlopen.)

Je bedrijf of organisatie kan ook een restrictie instellen voor de wachtwoordgeschiedenis om te voorkomen dat gebruikers dezelfde wachtwoorden telkens opnieuw gebruiken. Een limiet van de zes vorige wachtwoorden is meestal voldoende.

Best practices voor mislukte inlogpogingen

Je wachtwoordbeleid moet een drempel bevatten voor het aantal mislukte inlogpogingen dat is toegestaan. Je moet er echter wel op letten dat dit niet onnodig ten koste gaat van de ervaring van de gebruikers. Vaak wordt een account al na een stuk of drie pogingen vergrendeld, maar dat is niet nodig. Het is te conservatief en frustrerend voor gebruikers.

Sta ten minste 10 onjuiste inlogpogingen toe voordat een account wordt vergrendeld. Bovendien moeten accounts slechts tijdelijk worden vergrendeld, zodat een gebruiker het na een bepaalde tijd weer opnieuw kan proberen. Je helpdesk hoeft dan minder vaak handmatig wachtwoorden te resetten en het is ook afdoende tegen de meeste aanvallen met grote aantallen mislukte inlogpogingen, zoals brute-force en Denial-of-Service (DoS) aanvallen. Als een account meerdere keren wordt vergrendeld, moet de IT-beveiliging een waarschuwing krijgen om de zaak te onderzoeken.

Voor webwinkels of andere websites die vaak het doelwit zijn van aanvallen, zijn er andere methoden om het aantal inlogpogingen met een wachtwoord te beperken, bijvoorbeeld locatiebeperking, blokkering van IP-adressen en het gebruik van captcha’s.

Verbied het delen en hergebruiken van wachtwoorden

Een wachtwoord is alleen veilig als het geheim is. Daarom is het belangrijk om aandacht te besteden aan hoe je medewerkers hun wachtwoorden opslaan.

opslaan van wachtwoorden

 

Het delen van wachtwoorden tussen collega’s is onveilig. Als er al een uitzondering op deze regel nodig is, moet die duidelijk worden uitgelegd in het wachtwoordbeleid van je bedrijf. Uitzonderingen op het verbod om wachtwoorden te delen kunnen medewerkers kwetsbaar maken voor social engineering aanvallen, waarbij iemand zich bijvoorbeeld voordoet als een helpdeskmedewerker en een werknemer om zijn wachtwoord vraagt om problemen met een applicatie op te lossen.

Ook mogen mensen niet voor meerdere accounts hetzelfde wachtwoord gebruiken. In de enquête onder Nederlandse mkb-medewerkers gaf 51% van de respondenten aan dit wel te doen. Dit is zeer onveilig en het vergroot de kans om slachtoffer te worden van een datalek aanzienlijk.

 

veilig wachtwoord

Om gebruik van dezelfde wachtwoorden te voorkomen kun je software voor wachtwoordbeheer gebruiken. Deze applicaties kunnen het hergebruik van wachtwoorden identificeren en ontmoedigen en tegelijkertijd voorkomen dat medewerkers complexe wachtwoorden opschrijven, een riskante gewoonte waardoor ze het slachtoffer kunnen worden van aanvallen van binnenuit. Bijna 2 op de tien van de respondenten in het onderzoek gaf toe wachtwoorden op papier te noteren.

Met een wachtwoordmanager kunnen gebruikers ingewikkelde wachtwoorden veilig opslaan in de cloud zonder dat ze die hoeven te onthouden of op te schrijven.

wachtwoordbeheerder
Interface van wachtwoordbeheersoftware 1Password (bron)

Versterk je wachtwoordbeleid met 2FA

Zelfs de meest ingenieuze wachtwoorden zijn kwetsbaar voor diefstal, keyloggers en talloze andere bedreigingen. Daarom is het raadzaam om je online security waar mogelijk te versterken met Two-Factor Authentication (2FA).

Dit is een extra beveiligingslaag die wordt aanbevolen voor alle systemen die gevoelige gegevens bevatten, en dat zijn eigenlijk de meeste. Meestal wordt er bij 2FA een verificatiecode naar je e-mailadres gestuurd. Een andere populaire optie is mobiele authenticatiesoftware. Hierbij worden mobiele apparaten gebruikt om de identiteit te bevestigen, met push notificaties, terugbellen en andere methoden.

Uit het onderzoek bleek dat 74% van de respondenten nooit Two-Factor Authentication gebruikt voor zakelijke applicaties. Dat betekent dat ongeveer drie op de vier mensen onnodige risico’s nemen met bedrijfsdata, wat kan leiden tot datalekken, reputatieschade en hoge boetes.

Naar een toekomst zonder wachtwoorden

Ook bij een goed doordacht wachtwoordbeleid slagen nog veel cyberaanvallen. Met social engineering en phishingaanvallen krijgen cybercriminelen de wachtwoorden op een presenteerblaadje aangereikt. Bij een datalek komen ook de meest complexe wachtwoorden op straat te liggen. Keyloggers kijken gewoon mee terwijl het wachtwoord wordt getypt.

Uiteindelijk zal een wachtwoord alleen niet meer voldoende zijn om de waardevolle middelen van je bedrijf te beschermen. Op de lange termijn zullen we wachtwoorden helemaal moeten afschaffen. Nu wordt er door talloze leveranciers al hard gewerkt aan wachtwoordloze technologieën die bestaan uit een combinatie van adaptive risk modeling, hardwaresleutels en biometrische verificatie.

Dit staat echter allemaal nog in de kinderschoenen en overstappen op wachtwoordloze authenticatie zal veel tijd en investeringen kosten, zeker voor het mkb. Voorlopig geldt dus: versterk je bestaande wachtwoordbeleid, zorg dat 2FA ingeschakeld is waar dat kan en houd opkomende wachtwoordloze oplossingen in de gaten zodat je weet wanneer je het gebruik van wachtwoorden definitief kunt afschaffen.

Wil je meer weten over wachtwoordbeleid? Bekijk dan onze lijst met software voor beleidsbeheer.