Vernieuwde richtlijn Microsoft voor wachtwoordgebruik in digitale diensten

Microsoft heeft lering getrokken uit miljarden inlogpogingen in clouddienst Azure. De belangrijkste lessen zijn verwerkt in een vernieuwde richtlijn voor veilig wachtwoordgebruik. Opvallend: enkele populaire ‘best practices’ – en opgenomen in het securitybeleid van menig bedrijf – zijn overboord gegooid.

Microsoft registreert niet alleen miljarden inlogpogingen in bijvoorbeeld Azure, het bedrijf heeft ook te maken met met meer dan tien miljoen pogingen per dag om een gebruikersnaam en wachtwoord te kraken, schrijven onderzoekers. Uit de analyse van al deze data maken zij op dat veel richtlijnen de veiligheid van het wachtwoord zelfs verminderen.

De onderzoekers komen in het paper ‘Microsoft Password Guidance’ in ieder geval tot zeven wachtwoordrichtlijnen die bedrijven moeten implementeren.

• Zorg dat gebruikers minimaal acht karakters gebruiken – een langer wachtwoord is echter niet automatisch beter
• Stop het verplichte gebruik van bepaalde karakters (bijvoorbeeld van ten minste één leesteken)
• Stop de verplichting periodiek het wachtwoord te moeten veranderen
• Weer veelgebruikte wachtwoorden zodat de meest kwetsbare wachtwoorden onbruikbaar zijn
• Leer gebruikers onderscheid te maken in zakelijke wachtwoorden en die voor privé-gebruik
• Dwing gebruikers multi-factor-authenticatie te omarmen
• Activeer multi-factor-authenticatie voor risicosituaties

Is een langer wachtwoord niet beter?

Nee, niet automatisch. De onderzoekers stellen vast dat lange en complexe wachtwoorden een doorn in het oog zijn van gebruikers. Maar ze zijn niet alleen onpraktisch, vooral ook weinig effectief. Verplicht een bedrijf de gebruiker minimaal tien karakters te gebruiken dan leidt dat tot voorspelbaar gedrag: men plakt gewoon twee keer hetzelfde wachtwoord achter elkaar. Daarnaast: de meeste wachtwoorden worden buitgemaakt via phishing en malware. Het aantal tekens heeft in zo’n geval geen enkele invloed.

Bijzondere tekens zorgen toch voor een extra complex wachtwoord?

In theorie wel, maar de onderzoekers stellen vast dat gebruikersgedrag in slechts een aantal smaken voorbij komt. Bijna iedereen begint een wachtwoord met een hoofdletter, vervangt de ’s’ met een ‘$’ en de ‘i’ met een ‘!’. Die patronen vergroten de kans op een hack.

En een verplichte regelmatige reset van het wachtwoord dan?

Opnieuw: in theorie is het idee goed, maar de praktijk is anders. Gebruikers baseren hun nieuwe wachtwoord gewoon op het oude. Onderzoek wijst uit dat men in eerste instantie al een makkelijk wachtwoord kiest en dit vervolgens iedere keer op zo’n manier aanpast dat het net weer door de keuring komt. Een studie van enkele jaren terug wijst uit dat het nieuwe wachtwoord in zeventien procent van de keren binnen vijf pogingen werd geraden. De voorspelbaarheid is opnieuw erg groot. De onderzoekers geven eindgebruikers het advies hun wachtwoord pas te veranderen zodra dat in handen is gevallen van kwaadwillenden.

Meer over de vernieuwde richtlijnen is te vinden in het paper ‘Microsoft Password Guidance’.