Wachtwoordbeleid: overdreven of noodzakelijk?

Human Factor

Wachtwoorden: we weten allemaal dat ze belangrijk zijn. Dat ze hoofdletters en kleine letters moeten bevatten. Dat ze cijfers en speciale tekens moeten hebben. Toch zijn er binnen een organisatie vaak meer zwakke wachtwoorden dan u denkt.

Ergens is dat ook wel logisch: de mens houdt van gemak. Dus het is alles behalve wenselijk dat een wachtwoord zó moeilijk is, dat we hem continu vergeten. Dan is een eenvoudiger wachtwoord voor meerdere accounts gebruiken wel zo lekker. En moet er een nieuw wachtwoord komen? Dan is een variatie op de oude natuurlijk praktischer dan een nieuwe bedenken.

Veilig? Dat is het niet

Uit recent onderzoek (uitgevoerd door cybersecuritydeskundigen van CPOC), bleek dat 80% van de bedrijven binnen het onderzoek geen wachtwoord beleid heeft. Dat houdt eigenlijk in dat die 80% nogal veel verantwoordelijkheid bij hun medewerkers neerlegt. Zij bepalen daarmee hoe veilig uw data is: zij kiezen tenslotte hoe sterk ze hun wachtwoord maken.

Eén onveilig wachtwoord kan voor een aanvaller al voldoende zijn om een organisatie volledig te ontwrichten. Door collega’s volledige wachtwoordvrijheid te geven, is de kans op zwakke inloggegevens zeer reëel. Gemak wint het in de praktijk toch vaak van veiligheid.

Eenvoudige wachtwoorden

Zo kwam uit het onderzoek van CPOC ook naar voren dat 15-20% van de wachtwoorden binnen een organisatie de naam van het bedrijf bevat. Aanvallers weten dit ook. Het raden van een wachtwoord door o.a. “Bedrijfsnaam + Jaartal” in te typen valt zeker onder de aanpakken van hackers. Zo was het Twitteraccount van Donald Trump eenvoudig te hacken met deze methode: zijn wachtwoord was “maga2020!”.

Verder viel het de analisten ook op dat – met name in de loop van 2020 – het aantal brute force attacks aanzienlijk was toegenomen. “Password stuffing” bleek zelfs de meest gebruikte aanvalsmethode. Hierbij vuurt de aanvaller met een geautomatiseerde tool een groot aantal (eerder gelekte) wachtwoordcombinaties op een applicatie af, om uiteindelijk toegang te krijgen tot een account.

De tweet ‘Wel vet dat iemand die bij de Nationaal Coördinator Terrorismebestrijding werkt gewoon 0000 als wachtwoord gebruikt’ van internetondernemer Alexander Klöpping is kenmerkend voor hoe er met wachtwoorden wordt omgegaan. Het lijkt erop dat we hackers collectief onderschatten.

De meest voorkomende wachtwoordmissers

Organisaties lopen enorm gevaar zolang er zwakke wachtwoorden rondzwerven. En al helemaal wanneer er geen (of verkeerd) gebruik wordt gemaakt van maatregelen als 2FA of MFA. We sommen de meest gemaakte “wachtwoord-fouten” en de daarbij horende gevaren nog even op:

1. Het gevaar van (simpele) korte wachtwoorden

Een code met 5 cijfers kent een stuk meer combinaties dan eentje met 4. En een wachtwoord van 12 tekens? U raadt het al. Het is geen hogere wiskunde dat iets met meer combinaties, moeilijker te kraken is. Ga dus voor lange, complexe wachtwoorden.

Aanvallers gebruiken “Brute force”-tools die zoveel mogelijk wachtwoordopties op een inlogscherm afvuren: vaak met succes. Behalve wanneer een wachtwoord te complex is.

2. Het gevaar van eenvoudig te onthouden wachtwoorden

De naam van uw huisdier in combinatie met uw geboortejaar is eenvoudig te onthouden en lijkt niet zo makkelijk te kraken. Tenslotte moet een aanvaller maar net weten hoe uw huisdier heet. Helaas blijkt in de praktijk dat een aanvaller dat vaak ook weet. Met alle informatie die we op social media delen, weten aanvallers de puzzelstukken van dit soort wachtwoorden vaak bij elkaar te vinden.

Onderschat niet hoe bereid hackers zijn dit soort onderzoek te doen! Daarnaast weten ze tegenwoordig ook nog veel te automatiseren. Hiermee zijn aanvallers in staat geautomatiseerd en contextbased wachtwoord variaties te proberen om bij een organisatie in te loggen.

3. Het gevaar van hergebruiken

Datalekken komen helaas bijna dagelijks voor. De kans is daarmee groot dat één van uw wachtwoorden al eens is gelekt bij een andere dienst. Hackers zijn zo slim die gelekte wachtwoorden na te lopen wanneer ze op een ander account binnen proberen te komen. Gebruikt u een al bestaand wachtwoord voor de zakelijke omgeving? Dan staat de cyberveiligheid van de organisatie al snel op het spel.

4. Het gevaar van kleine variaties

Iedereen kent dit probleem: u heeft net een lekker veilig wachtwoord bedacht dat ook nog eens eenvoudig te onthouden is. Komt die maandelijkse melding dat het wachtwoord vervangen moet worden… Dan is een subtiele variatie op dat wachtwoord het meest praktisch. Maar een hacker heeft diereeks wachtwoord+1, wachtwoord+2, wachtwoord+3 al snel ontdekt.

5. Het gevaar van standaard wachtwoorden

Tot slot mogen we de standaard wachtwoorden niet vergeten. Verschillende apparaten worden geleverd met een standaard ingesteld wantwoord: bijvoorbeeld “admin” of “0000”. Het komt geregeld voor dat men vergeet deze wachtwoorden aan te passen. Of ze kiezen ervoor het uit gemak niet te doen.

Zelfs als er aan de complexiteit voldaan wordt, is het belangrijk om een nieuw en uniek wachtwoord te hanteren. Het is voor aanvallers namelijk niet complex deze standaard wachtwoorden te achterhalen.

Het belang van een wachtwoordbeleid

Vertrouwen hebben in collega’s is mooi, maar geen reden om geen wachtwoordbeleid te hebben. Zonder zo’n beleid is het niet de vraag of een aanvaller een (te zwak) wachtwoord van een medewerker kraakt, maar wanneer. Om downtime, boetes, imagoschade en andere problemen die ontstaan door een datalek te voorkomen, is een wachtwoordbeleid dus essentieel.

Tips voor sterkere authenticatie

Denk bij een wachtwoordbeleid niet alleen aan het maandelijks herzien van alle wachtwoorden of het gebruik van een password-manager. Het is de afgelopen jaren te vaak pijnlijk duidelijk geworden dat het gebruik van enkel een wachtwoord geen veilige authenticatiemethode is. Voor meer grip op veilige authenticatie adviseren we daar bovenop meervoudige verificatie aan te brengen. Bijvoorbeeld 2FA of MFA of contextual based authentication.