Toen ingenieur Bill Burr van het Amerikaanse National Institute of Standards and Technology (NIST) in 2003 schreef wat spoedig 's werelds gouden standaard voor wachtwoordbeveiliging, adviseerde hij mensen en organisaties om hun rekeningen te beschermen door lange en 'chaotische' regels met tekens, cijfers en tekens te bedenken – en deze regelmatig te wijzigen.

Veertien jaar later gaf Burr toe dat hij spijt had van zijn eerdere advies. "Het drijft mensen gewoon bananen en ze kiezen geen goede wachtwoorden, wat je ook doet," hij vertelde de Wall Street Journal.

Of, zoals de beroemde xkcd comic heeft het gezegd: "Door 20 jaar inspanning hebben we iedereen met succes getraind om wachtwoorden te gebruiken die moeilijk te onthouden zijn voor mensen, maar gemakkelijk te raden zijn voor computers."

Tegenwoordig een gemiddeld persoon heeft tot 100 wachtwoorden om te onthouden, waarbij het aantal de afgelopen jaren snel groeide (hoewel in feite sommige mensen gebruikte ongeveer 50 wachtwoorden, inclusief een aantal offline codes, zelfs jaren geleden en sommige beveiligingsexperts hebben erop gewezen dat dergelijke wachtwoordgewoonten en -beleid onhoudbaar zijn.)

Studies hebben inderdaad aangetoond dat mensen zich doorgaans herinneren maximaal vijf wachtwoorden en neem snelkoppelingen door te creëren makkelijk te raden wachtwoorden en recycle ze over verschillende online accounts. Sommige kunnen letters vervangen door cijfers en speciale tekens (bijv. "wachtwoord" verandert in "P4??WØrd"), maar dit zorgt nog steeds voor een wachtwoord dat gemakkelijk te kraken is.

De afgelopen jaren hebben toonaangevende organisaties als The Open Web Application Security Project (OWASP) en natuurlijk NIST zelf veranderden hun beleid en advies naar een gebruiksvriendelijkere aanpak - en dat terwijl de wachtwoordbeveiliging wordt verhoogd.

Tegelijkertijd zijn techreuzen zoals Microsoft en Kopen Google Reviews moedigen iedereen aan om wachtwoorden helemaal achterwege te laten en ga wachtwoordloos in plaats van. Als uw kleine of middelgrote onderneming er echter nog niet klaar voor is om afstand te doen van wachtwoorden, vindt u hier enkele richtlijnen die u en uw werknemers in 2023 goed van pas zullen komen.

Stop met het opleggen van onnodig complexe regels voor wachtwoordsamenstelling

Extreem complexe samenstellingsregels (zoals gebruikers verplichten om zowel hoofdletters als kleine letters, ten minste één cijfer en een speciaal teken op te nemen) zijn niet langer een must. Dit komt omdat dergelijke regels gebruikers zelden aanmoedigen om sterkere wachtwoorden in te stellen, maar hen in plaats daarvan ertoe aanzetten om voorspelbaar te handelen en wachtwoorden te verzinnen die een "dubbele klap" zijn - ze zijn zowel zwak als moeilijk te onthouden.

Schakel over op wachtwoordzinnen

In plaats van kortere maar moeilijke wachtwoorden, ga voor wachtwoordzinnen. Ze zijn langer en complexer, maar nog steeds gemakkelijk te onthouden. Het kan bijvoorbeeld een hele zin zijn die om de een of andere reden in je hoofd is blijven hangen, doorspekt met hoofdletters, speciale tekens en emoji's. Hoewel het niet supercomplex is, zal het nog steeds eeuwen duren voordat geautomatiseerde tools het kunnen kraken.

Een paar jaar geleden was de minimumlengte voor een goed wachtwoord acht tekens, bestaande uit hoofdletters en kleine letters, tekens en cijfers. Tegenwoordig kunnen geautomatiseerde tools voor het kraken van wachtwoorden zo'n wachtwoord binnen enkele minuten raden, vooral als het is beveiligd met de MD5-hashfunctie.

Dit blijkt uit tests uitgevoerd door Hive Systems en gepubliceerd in april 2023. Integendeel, een eenvoudig wachtwoord dat alleen kleine letters en hoofdletters bevat maar 18 tekens lang is, duurt veel, veel langer om te kraken.

Bron: Hive-systemen

Streef naar een minimale lengte van 12 tekens - hoe meer hoe beter!

De NIST-richtlijnen erkennen lengte als de belangrijkste factor in wachtwoordsterkte en introduceren een minimaal vereiste lengte van 12 tekens tot een maximum van 64 tekens na het combineren van meerdere spaties. Als alle dingen gelijk zijn, hoe meer hoe beter.

Schakel verschillende karakters in

Bij het instellen van hun wachtwoord moeten gebruikers vrij kunnen kiezen uit alle afdrukbare ASCII- en UNICODE-tekens, inclusief emoji's. Ze moeten ook de mogelijkheid hebben om spaties te gebruiken, die een natuurlijk onderdeel zijn van wachtwoordzinnen - een vaak aanbevolen alternatief voor traditionele wachtwoorden.



Beperk hergebruik van wachtwoorden

Het is inmiddels conventionele wijsheid mensen zouden hun wachtwoorden niet opnieuw moeten gebruiken over verschillende online accounts, omdat een inbreuk op één account gemakkelijk kan leiden tot het in gevaar brengen van andere accounts.

Veel gewoonten zijn echter hardnekkig, en ongeveer de helft van de respondenten in een studie van het Ponemon Institute uit 2019 toegegeven gemiddeld vijf wachtwoorden te hergebruiken voor hun zakelijke en/of persoonlijke accounts.

Stel geen houdbaarheidsdatum in voor wachtwoorden

De NIST raadt ook af om regelmatige wachtwoordwijzigingen te vereisen, tenzij de gebruiker daarom vraagt ​​of tenzij er bewijs is van een compromis. De grondgedachte is dat gebruikers maar zoveel geduld hebben om constant nieuwe redelijk sterke wachtwoorden te moeten bedenken. Als gevolg hiervan kan het meer kwaad dan goed doen om ze dit met regelmatige tussenpozen te laten doen.

Toen Microsoft drie jaar geleden aankondigde het beleid voor het verlopen van wachtwoorden te laten vallen, zette het vraagtekens bij het hele idee van het verlopen van wachtwoorden.

“Als het een gegeven is dat een wachtwoord waarschijnlijk zal worden gestolen, hoeveel dagen is dan een acceptabele tijdsduur om de dief het gestolen wachtwoord te laten gebruiken? De Windows-standaard is 42 dagen. Lijkt dat niet belachelijk lang? Nou, dat is het, en toch zegt onze huidige basislijn 60 dagen - en vroeger 90 dagen - omdat het forceren van frequente vervaldatum zijn eigen problemen introduceert, " leest de blog van Microsoft.

Houd er rekening mee dat dit slechts algemeen advies is. Als u een app beveiligt die cruciaal is voor uw bedrijf en aantrekkelijk is voor aanvallers, kunt u uw werknemers nog steeds dwingen om periodiek wachtwoorden te wijzigen.

Sloot hints en op kennis gebaseerde authenticatie

Wachtwoordhints en op kennis gebaseerde verificatievragen zijn ook achterhaald. Hoewel deze gebruikers in feite kunnen helpen bij het zoeken naar vergeten wachtwoorden, kunnen ze ook van grote waarde zijn voor aanvallers. Onze collega Jake Moore heeft meermaals laten zien hoe hackers de "wachtwoord vergeten"-pagina kunnen misbruiken om in te breken in andermans accounts, bijvoorbeeld op PayPal en Instagram.

Een vraag als "de naam van uw eerste huisdier" kan bijvoorbeeld gemakkelijk worden geraden met een beetje onderzoek of social engineering en er is niet echt een eindeloos aantal mogelijkheden dat een geautomatiseerde tool moet doorlopen.

Zet algemene wachtwoorden op een zwarte lijst

In plaats van te vertrouwen op eerder gebruikte samenstellingsregels, kunt u nieuwe wachtwoorden vergelijken met een "zwarte lijst" van de meest gebruikt en/of eerder gecompromitteerde wachtwoorden en evalueer overeenkomende pogingen als onaanvaardbaar.

In 2019, Microsoft gescand de accounts van zijn gebruikers die de gebruikersnamen en wachtwoorden vergelijken met een database met meer dan drie miljard sets gelekte inloggegevens. Het vond 44 miljoen gebruikers met gecompromitteerde wachtwoorden en dwong een wachtwoordreset af.

Ondersteuning bieden voor wachtwoordmanagers en tools

Zorg ervoor dat de "kopieer- en plak"-functionaliteit, browserwachtwoordtools en externe wachtwoordbeheerders het gedoe van het maken en bewaren van gebruikerswachtwoorden kunnen afhandelen.

Gebruikers moeten er ook voor kiezen om tijdelijk het volledige gemaskeerde wachtwoord of het laatst getypte teken van het wachtwoord te bekijken. Volgens de OWASP-richtlijnen, is het idee om de bruikbaarheid van het invoeren van referenties te verbeteren, met name rond het gebruik van langere wachtwoorden, wachtwoordzinnen en wachtwoordbeheerders.

Stel een korte houdbaarheid in voor initiële wachtwoorden

Wanneer uw nieuwe werknemer een account aanmaakt, moet het door het systeem gegenereerde initiële wachtwoord of de activeringscode veilig willekeurig worden gegenereerd, minimaal zes tekens lang zijn en letters en cijfers kunnen bevatten.

Zorg ervoor dat het na korte tijd verloopt en geen echt en langdurig wachtwoord kan worden.

Stel gebruikers op de hoogte van wachtwoordwijzigingen

Wanneer gebruikers hun wachtwoord wijzigen, moet hen worden gevraagd om eerst hun oude wachtwoord in te voeren en idealiter tweefactorauthenticatie (2FA) in te schakelen. Als ze klaar zijn, zouden ze een melding moeten ontvangen.

Wees voorzichtig met uw wachtwoordherstelproces

Het herstelproces mag niet alleen het huidige wachtwoord onthullen, maar hetzelfde geldt ook voor informatie over het bestaan ​​van het account of niet. Met andere woorden: geef aanvallers geen (onnodige) informatie!

Gebruik CAPTCHA en andere anti-automatiseringscontroles

Gebruik anti-automatiseringsmechanismen om het testen van geschonden referenties, brute kracht en aanvallen op accountvergrendeling tegen te gaan. Dergelijke controles omvatten het blokkeren van de meest voorkomende geschonden wachtwoorden, zachte uitsluitingen, snelheidsbeperking, CAPTCHA, steeds grotere vertragingen tussen pogingen, IP-adresbeperkingen of op risico gebaseerde beperkingen zoals locatie, eerste aanmelding op een apparaat, recente pogingen om het account te ontgrendelen , of vergelijkbaar.

Volgens de huidige OWASP-normen zouden er maximaal 100 mislukte pogingen per uur op één account moeten zijn.

Vertrouw niet Slechts op wachtwoorden

Ongeacht hoe sterk en uniek een wachtwoord is, het blijft een enkele barrière tussen een aanvaller en uw waardevolle gegevens. Bij het streven naar beveiligde accounts moet een extra authenticatielaag als een absolute must worden beschouwd.

Gebruik daarom waar mogelijk tweefactorauthenticatie (2FA) of multifactorauthenticatie (MFA).

Niet alle 2FA-opties zijn echter gelijk geboren. Hoewel sms-berichten veel beter zijn dan helemaal geen 2FA, zijn ze vatbaar voor tal van bedreigingen. Veiligere alternatieven zijn het gebruik van speciale hardwareapparaten en op software gebaseerde OTP-generatoren (one-time password), zoals beveiligde apps die op mobiele apparaten zijn geïnstalleerd.

Opmerking: dit artikel is een bijgewerkte en uitgebreide versie van dit artikel dat we in 2017 hebben gepubliceerd: Geen zinloze wachtwoordvereisten meer

Misschien uitchecken De wachtwoordgenerator van ESET?

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
• De toekomst slaan met Adryenn Ashley. Toegang hier.
• Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
• Bron: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/