VERDIEPINGSARTIKEL

Zorgen voor een goed wachtwoordbeleid

Veel organisaties staan toe dat werknemers makkelijke wachtwoorden kiezen. Ze stellen geen eisen aan de wachtwoorden, waardoor ‘12345’ of ‘wachtwoord’ de toegangscode voor de computer of een belangrijk account kan zijn. Dat is niet wenselijk en organisaties zouden er goed aan doen om werknemers te verplichten sterke wachtwoorden te kiezen, zodat cybercriminelen geen vrij spel hebben.


2 mei 2019 4 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement online.


Het wachtwoord vormt één van de grootste risico’s in de beveiliging van organisaties. Werknemers moeten beseffen dat hun gevoelige gegevens of belangrijke opslag- en netwerklocaties niet zo goed beschermd zijn als zij hun achternaam als gebruikersnaam en hun voornaam als wachtwoord gebruiken. Ook de naam van partners, kinderen of huisdieren zijn niet zo’n verstandige keuze als wachtwoord, want via social engineering is daar nogal gemakkelijk achter te komen.

Toegangsprocedures

Zulke wachtwoorden zou uw organisatie ook niet toe moeten staan. Tegenwoordig is het de norm om toegangsprocedures in te richten op veilig gebruik van wachtwoorden. Zulke systemen vangen daarvoor de wachtwoordinvoer af en controleren die. Ze accepteren alleen sterke en veilige wachtwoorden die aan verschillende criteria moeten voldoen. En soms hanteren ze vergelijkbare regels voor de loginnamen. Of de werknemer krijgt zulke gegevens standaard of op verzoek verstrekt en kan die dan niet zelf wijzigen.

Online krachtmeting der poortwachters

Om te controleren of een wachtwoord sterk genoeg is, zijn op internet heel wat sites met zogenoemde password checkers te vinden.

Fictief
Een hele prettige – die bovendien vrij nauwkeurig uitlegt wat elk van de tekens in de reeks bijdraagt aan de sterkte – vindt u op: passwordmeter.com. Werknemers kunnen op deze site hun wachtwoorden op sterkte testen. Als u bang bent dat ze bij de test op die website toch in verkeerde handen zouden kunnen vallen, laat werknemers dan fictieve wachtwoorden gebruiken die op dezelfde manier zijn opgebouwd uit hoofd- en kleine letters, en cijfers en tekens als die van u.

Voorwaarden

Aan welke eisen voldoet een wachtwoord dat sterk is? Niet alle toegangsbeheerders of -systemen hanteren daar dezelfde criteria voor, maar in grote lijnen zou een wachtwoord aan de volgende voorwaarden moeten voldoen:

  • Het wachtwoord moet minimaal acht tekens lang zijn, en mag niet alleen uit kleine letters bestaan. Er moeten ook hoofdletters, cijfers of (lees)tekens in voorkomen.
  • Geen namen of andere gegevens van de werknemer of zijn gezin, familie of relaties. Dus ook geen telefoonnummers, geboortedata, mailadressen, kentekens en dergelijke.
  • Geen bekende benamingen of woorden die in het woordenboek staan.

Willekeurig en pseudo-willekeurig

Willekeurige tekenreeksen zijn in feite het sterkst – in ieder geval het lastigst te kraken – maar niet zo makkelijk te onthouden, tenzij er een gemakkelijk te herhalen redenering achter zit. Enkele voorbeelden van (pseudo-) willekeurige tekenreeksen:

  • Zet de eerste letters van de woorden van een makkelijk te onthouden zin, de titel van een boek of film of iets dergelijks achter elkaar (minimaal acht).
  • Vervang letters en delen van ‘relatief gemakkelijk te onthouden’ woorden – of zinnen, of reeksen zoals die met behulp van de vorige methode zijn ontstaan – door cijfers en tekens. Dat is lastig te raden, zeker als u dat steeds op een verschillende manier doet. Een voorbeeld: ‘2be||¬TwoB’, dat een soort (Twitter-)afkorting is van het beroemde citaat ‘To be or not to be’.

Wachtzinnen

Dat wachtwoordbedenksel ‘2be||¬TwoB’ is sterk en bevat een bepaalde willekeur. Ook voldoet het aan alle criteria: het is negen tekens lang, bevat zowel hoofd- als kleine letters, de woorden ‘to’ en ‘be’ worden op twee manieren geschreven, en ‘not’ en ‘or’ zijn vervangen door zogeheten operatoren. Toch doemt hier ook een belangrijk bezwaar op: het NOT-teken (¬) is niet met het toetsenbord te maken. Dat maakt de praktische toepassing van zo’n wachtwoord erg onhandig. Wees trouwens ook voorzichtig met heel bekende afkortingen en herschrijvingen zoals ‘cul8r’ uit de songtitel ‘CUl8r,LEg8r’ (‘See You Later, Alligator’), of ‘Mlcr0$0ft’. Die zijn namelijk alom bekend en zeker bij cybercriminelen. Hier en daar duiken tips of adviezen op om in plaats van wachtwoorden, voortaan wachtzinnen (‘passphrase’) te gaan gebruiken. Bijvoorbeeld ‘we gaan nog lang niet naar huis toe’ of de afkorting hiervan ‘wgnlnnht’. Het voordeel is dat die wachtzinnen relatief gemakkelijk zijn te onthouden en uit vele tekens bestaan – als de gebruiker niet voor de afkorting kiest. In die wachtzin verwerkt u het liefst ook nog symbolen, speciale tekens en cijfers. Verder gelden voor wachtzinnen eigenlijk dezelfde criteria als voor wachtwoorden: kies geen bekende uitspraken of gemakkelijk te voorspellen of aan u te koppelen leuzen of gezegden. Kies als uw wachtzin voor de Belastingdienst bijvoorbeeld niet: ‘Leuker kunnen we het niet maken!’ Veel makkelijker te raden kunt u het namelijk ook niet maken. Als het gebruik van spaties in een wachtwoord of wachtzin door het toegangsprotocol van een systeem niet is toegestaan, kunnen werknemers die spaties ook weglaten of vervangen door punten, koppelstreepjes of underscores (_). Overigens is het ook geen aanrader om té sterke wachtwoorden te eisen van werknemers. Bijvoorbeeld een met minimaal twaalf tekens, waarvan twee hoofdletters, drie kleine letters en twee speciale tekens.

Geen té sterke wachtwoorden eisen

Dat wekt irritatie op en mensen kunnen hun gekozen wachtwoord niet onthouden, waardoor ze inloggen bij het bewuste account gaan proberen te vermijden of de helpdesk vaak bellen.

Geheime vraag

Sommige systemen bieden de mogelijkheid om een ‘geheime vraag’ op te geven waarmee werknemers een vergeten wachtwoord opnieuw kunnen instellen. Maakt uw organisatie hier gebruik van, instrueer werknemers dan om vragen niet te algemeen te maken. Cybercriminelen hoeven niet veel moeite te doen om het antwoord op algemene vragen te vinden. Wees in ieder geval voorzichtig met vragen over favoriete sportclubs of kleuren, steden of landen, want de antwoordmogelijkheden zijn niet alleen beperkt in aantal, ze zijn voor uw ‘bekenden’ vaak direct duidelijk. Mocht een geheime vraag bij een bepaalde registratie verplicht zijn, kies dan liever een zinvolle wachtzin als antwoord.

Vergrendelen na drie pogingen

Naast het verplicht stellen van een sterk wachtwoord en slimme geheime vraag, doet uw organisatie er goed aan om raden zo veel mogelijk uit te sluiten. Zorg er bijvoorbeeld voor dat mensen niet eindeloos wachtwoorden kunnen invoeren. Beter is om gebruikers een poging of drie te geven en daarna het account te vergrendelen. Om te ontgrendelen moeten ze dan contact opnemen met de helpdesk. Als een account niet uit zichzelf blokkeert, kunnen cyberboeven namelijk een tooltje op het account loslaten. Dat programma probeert in korte tijd talloze wachtwoorden. Als het juiste voorbij komt, heeft de crimineel toegang tot het account. Zo’n ‘brute force aanval’ moet uw organisatie dus koste wat kost voorkomen.

Office-pakket is geen onkraakbare kluis

Neem in het privacybeleid op dat loginnamen en bijbehorende gegevens niet mogen worden opgeslagen in een Office-bestand zoals een Word-document of een Excel-spreadsheet. De wachtwoorden waarmee u die bestanden binnen Office kunt beveiligen, zijn namelijk nogal ‘kraakemikkig’. Er zijn op internet niet voor niets vele tooltjes te vinden die u – en dus ook digitale criminelen – in staat stellen een vergeten wachtwoord van zo’n bestand te achterhalen. Niet doen dus!

Secuur
Als u écht liever geen wachtwoordmanager in de organisatie wilt toelaten en zelf iets wilt maken in Office, kies dan een goed beveiligde Access-database. Daarin kunt u de toekenning van toegangsrechten en wachtwoorden tenminste nog redelijk secuur regelen.