Meer informatie Ja, ik geef toestemming
Door Peter Paul Keulers Leestijd 4 min.

Waarom wachtwoord verplicht wijzigen niet werkt

LinkedIn, Dropbox, PlayStation, eBay – grote datalekken lijken een onvermijdelijk natuurverschijnsel te worden. Meer dan een miljard mailadressen en wachtwoorden zijn de laatste jaren op straat komen te liggen.

Worden we daar nerveus van? Blijkt mee te vallen. Amper de helft van de Nederlanders maakt zich zorgen over een mogelijke hack. Meer dan de helft gebruikt dan ook rustig hetzelfde wachtwoord voor meerdere accounts. Om mensen bewust te maken van de risico’s is 24 november zelfs uitgeroepen tot “Nationale Check je Wachtwoorden Dag”.

 

De makkelijkste weg

Nog veel bedrijven hebben als beveiligingsbeleid dat medewerkers iedere drie maanden hun wachtwoord moeten veranderen. Maar dat blijkt volgens meerdere onderzoeken en beveiligingsexperts juist averechts te werken

De medewerker gaat echt niet meer goed nadenken over een sterk wachtwoord als de levensduur zo kort is en kiest voor minimale aanpassingen. Wachtwoord1 wordt Wachtwoord2 of KwarTaal1! wordt … inderdaad. En dat is dus ook voor hackers een voorspelbare wijziging.

Sterke wachtwoorden, langer gebruiken

Veiligheidsexperts adviseren om te stoppen met het periodiek veranderen. Kies liever een lang wachtwoord dat je goed kunt onthouden.

Nog steeds veelgebruikte wachtwoorden zijn (echt waar) 123456, qwerty, welcome en letmein, vertelde Marco Bijl tijdens de Way2Web kennissessie Be Safe Not Sorry in maart van dit jaar. Een beter wachtwoord is “IkCheckFacebookAtijdMetEenKopjeKoffie”.

Iedere 3 maanden verplicht wachtwoorden wijzigen? Dat leidt tot slechte wachtwoorden en vergroot de kans dat ze opgeschreven worden. Wachtwoordzinnen werken wel. De sterkte hiervan neem exponentieel toe naarmate het wachtwoord langer wordt.

Marco Bijl | Directeur DigiTrust

Gebruik een passwordmanager

Wie kiest voor een wachtwoordmanager, hoeft maar één ijzersterk wachtwoord te verzinnen (en af en toe te veranderen) voor toegang tot alle accounts. Ook al blijken gerenommeerde oplossingen als LastPass of OneLogin ook af en toe kwetsbaar te zijn, ze zijn op dit moment wel de veiligste optie.

Maak waar mogelijk gebruik van tweestapsverificatie, waarbij je behalve je wachtwoord ook een code die je op je mobiele telefoon ontvangt in moet vullen. Wachtwoordmanagers werken ermee. En je kunt het ook instellen bij bijvoorbeeld Google, Facebook, Twitter, LinkedIn, Apple en Microsoft.

Nog beter dan tweestapsverificatie is multifactorauthenticatie. Maar daarover later meer.

Bent u klaar voor the next level?

De digitale transformatie biedt fantastische nieuwe mogelijkheden en kansen. Ook voor uw onderneming, dat weet ik zeker. Als IT-specialist én ondernemer praat ik daar graag eens met u over verder. Geheel vrijblijvend natuurlijk. Zullen we een afspraak maken?