Iedereen kent het. Je logt in op je computer en je moet je wachtwoord weer eens wijzigen. Gedoe. Je verandert in je wachtwoord het cijfer 1 naar een 2 en hop, je kunt weer verder. Niet echt de meest veilige methode. Hoe je wel je bedrijfsnetwerk kunt beschermen, zonder je medewerkers te belemmeren, vertellen we in deze blog.
Het wachtwoordbeleid van de meeste organisaties verplicht medewerkers om elke zoveel maanden hun wachtwoord te veranderen. Vaak moet dat dan ook nog een lang en complex wachtwoord zijn dat minimaal x vreemde tekens bevat. Daarmee wordt het wachtwoord moeilijk te onthouden. Zo moeilijk, dat sommige medewerkers het maar op een post-it schrijven en op hun beeldscherm plakken. Je moet immers wel kunnen inloggen als je maandag weer op je werk komt. Door een goed wachtwoordbeleid te combineren met een wachtwoordmanager en multi factor authenticatie, kies je voor een echt veilige oplossing.
MFA – ook wel meervoudige verificatie – biedt de beste bescherming tegen identiteitsdiefstal! Naast een gebruikersnaam en wachtwoord heeft de medewerker nog iets nodig om de identiteit te bewijzen. Dit kan bijvoorbeeld een bevestiging zijn via een app op de telefoon, een code via sms of zelfs het gebruik van een speciale USB-stick. Wij merken in de praktijk dat de MFA-bevestiging via Microsoft Authenticator het prettigst werkt voor de medewerkers. Vrijwel iedereen heeft tegenwoordig wel een smartphone op zak. Daarmee is de telefoon de ideale digitale sleutel geworden om toegang te krijgen tot de bedrijfssystemen. Mocht je wachtwoord ooit worden gestolen, dan heeft de hacker nog steeds geen toegang zonder jouw telefoon. Ons advies: gebruik MFA waar het kan!
De indruk bestaat nogal eens dat hoe langer het wachtwoord, hoe veiliger dat is. Uit onderzoek is gebleken dat dat lang niet altijd zo is. Gebruikers kiezen dan vaak voor een herhaling van woorden, bijvoorbeeld passwordpassword, wat natuurlijk eenvoudig geraden kan worden. Bovendien zetten hackers vaak software in die razendsnel verschillende combinaties van inlognamen- en wachtwoorden probeert, tot de juiste combinatie is gevonden: een zogenaamde brute-force attack. Wanneer het beleid bijvoorbeeld minimaal twaalf karakters vereist, hoeft de hacker de kortere wachtwoorden niet meer te proberen. Ons advies: gebruik een wachtwoordbeleid dat minimaal acht karakters voorschrijft.
Ons advies: gebruik multi factor authenticatie waar het kan
De meeste systemen en organisaties forceren een wachtwoordcomplexiteit met de volgende eigenschappen:
• Hoofdletters
• Kleine letters
• Speciale karakters (!@#$)
De meeste medewerkers kiezen een wachtwoord waarbij de hoofdletter aan het begin staat en een cijfer of speciaal karakter op het eind, zoals bijvoorbeeld Flappie1!. Ook worden speciale tekens op plekken gezet waar het makkelijk te onthouden is. Een @ voor een a en een $ voor een s. Hackers weten dit ook en kunnen hier hun aanvallen op aanpassen. Het is altijd veiliger is om speciale tekens op een onlogische plek te zetten in je wachtwoord.
Veel bedrijven hanteren een beleid waarbij het wachtwoord eens in de zoveel tijd gewijzigd moet worden. Uit onderzoek blijkt dat deze maatregel soms een verkeerde uitwerking heeft. Zoals in het voorbeeld in de introductie zal de medewerker vaak kiezen voor een update van het wachtwoord en niet voor een totaal ander wachtwoord. Er wordt vaak een opvolgend cijfer gebruikt wat eenvoudig door een hacker te raden is, bijvoorbeeld Flappie2!. Ook blijkt uit onderzoek dat door het vele wijzigen de gebruiker eerder zal kiezen voor een eenvoudiger wachtwoord, waardoor deze makkelijker te kraken is.
Ons advies is om MFA in te zetten, in combinatie met een uniek wachtwoord. Het regelmatig wijzigen van het wachtwoord is dan niet meer nodig. De medewerker hoeft nog maar één wachtwoord te onthouden én de telefoon te gebruiken voor MFA. Een paar tips:
1.
Maak voor elke website of dienst een uniek wachtwoord. Wanneer een website gehackt wordt en jouw wachtwoord gestolen wordt, is de rest nog steeds veilig. Een wachtwoordmanager kan hierbij helpen. Je slaat de wachtwoorden op in deze digitale kluis waardoor het onthouden van de wachtwoorden niet meer nodig is. Behalve het masterwachtwoord van deze kluis natuurlijk.
2.
Mocht je toch een wachtwoord moeten onthouden, zoals bijvoorbeeld het masterwachtwoord, gebruik dan een wachtwoordzin met meerdere woorden die niet aan elkaar gerelateerd zijn. Algoritmehacks kunnen hier het minst goed mee omgaan, denk bijvoorbeeld aan Steen#Slang8Auto2Gras.
3.
Vermijd gangbare wachtwoorden zoals 123456, Welkom01, P@ssw0rd, iloveyou en geboortedata.
4.
Zorg dat je medewerkers zich bewust zijn waarom wachtwoorden niet hergebruikt mogen worden.
Keeper Password Manager is wat ons betreft de beste wachtwoordmanager die er is. Dankzij Keeper hoef je je nooit meer druk te maken of de wachtwoorden die worden gebruikt binnen jouw organisatie wel sterk genoeg zijn. De ingebouwde wachtwoordgenerator maakt lange, willekeurige wachtwoorden die staan als een huis en voldoen aan jouw beleidsregels. Je medewerkers hoeven nog maar één – sterk – wachtwoord te onthouden: dat van Keeper. Daarmee hebben ze overal en altijd toegang tot hun wachtwoorden. Tot ze het bedrijf verlaten natuurlijk. In een volgende blog zoomen we in op de voordelen van Keeper.
Hoe gaan jullie om met wachtwoorden? Hebben jullie hier een specifiek beleid over? Waar slaan jullie deze wachtwoorden op? Wil je meer informatie over deze onderwerpen, neem contact met ons op!