BlackBerry: zes tips voor beter wachtwoordbeheer

Amsterdam, 6 mei 2021 – World Password Day is een jaarlijkse viering van de langst bestaande, handmatige cyberbeveiligingscontrole in de computergeschiedenis. Sinds de start van de online-maatschappij, zijn wachtwoorden de eerste verdedigingslinie geweest voor de beveiliging van systemen en netwerken. Desalniettemin zien we dat wachtwoorden een aantal behoorlijk zwakke punten blijven bevatten; ze zijn vaak eenvoudig te achterhalen. En als ze eenmaal gecompromitteerd zijn, zijn ze niet alleen nutteloos – ze kunnen zelfs gevaarlijk zijn indien hergebruikt bij meerdere accounts.

Als gevolg van deze zwakte binnen de eerste verdedigingslinie, hebben beveiligingsexperts jarenlang gezwoegd om diverse multifactor-authenticatie (MFA) en andere wachtwoordloze inlogopties te perfectioneren. Sommigen voorspellen zelfs het einde van het wachtwoord en veel bedrijven verhogen hun MFA-investeringen aanzienlijk in 2021. Toch zijn wachtwoorden nog steeds de belangrijkste (en vaak enige) vorm van authenticatie. Het is dan ook niet vreemd dat analisten van Forrester schatten dat 70 procent van de bedrijven zich nog steeds primair op wachtwoorden richt.

“Toch is het een feit dat wachtwoorden het over het algemeen buitengewoon goed doen”, legt Troy Hunt uit, beveiligingsexpert en oprichter van Have I Been Pwned. “Iedereen weet immers hoe je wachtwoorden moeten gebruiken.” Wachtwoorden zullen daarom nog lang binnen onze systemen blijven bestaan. Het betekent daarnaast dat we strategieën moeten inzetten die de inherente risico’s van wachtwoorden zo veel mogelijk minimaliseren. Hieronder zes suggesties om dat direct aan te pakken:

1. Controleer of wachtwoorden gekraakt zijn
   Websites zoals Have I Been Pwned bieden een uitstekende bron om wachtwoorden te onderzoeken die gebruikers bedenken bij elke login. Er zijn ook veel tools op de markt die gebruik maken van API’s van legitieme wachtwoorddatabases om de wel of niet gecompromitteerde status van wachtwoorden in real-time te controleren. Het is raadzaam om voor een ‘nooit gekraakt’ wachtwoord te kiezen.
2. Vergeet de complexiteitsregels
   Vroeger adviseerden beveiligingsdeskundigen om zeer complexe regels aan te houden bij het opstellen van een wachtwoord. Denk aan een specifieke combinaties van speciale tekens, hoofd- en kleine letters, cijfers, enzovoort. ‘Hoe moeilijker, hoe beter’ was het mantra.

Deze regels zorgen veelal voor ergernis bij gebruikers, zonder de lat voor beveiliging hoger te leggen. Hierdoor verschuift de focus naar een andere aanpak. Zo heeft het National Institute of Standards and Technology (NIST) vorig jaar de complexiteitsvereisten uit zijn Digital Identity Guidelines verwijderd. In plaats daarvan raden zij aan om wachtwoorden vooraf te screenen, evenals:

• Het vermijden van veel gebruikte woorden;
• Geen herhalende of opeenvolgende tekens gebruiken (zoals ‘aaaa’ of ‘123abc’);
• Het vermijden van contextspecifieke woorden (zoals de naam van de gebruiker).

3. Geen zorgen over periodieke resets
   In tegenstelling tot wat algemeen wordt aangenomen, verlaagt de beveiliging niet doordat het laten verlopen van wachtwoorden (met zogeheten ‘periodieke resets’). NIST raadt daarom aan de periodieke reset te vermijden. Gebruikers moeten een uniek wachtwoord aannemen dat ze zonder al te veel moeite kunnen invoeren. Als er aanwijzingen zijn dat het huidige wachtwoord is gecompromitteerd, wijzig deze dan direct.
4. Maak lange ‘wachtzinnen’
   Een methode om wachtwoorden te versterken, is door ze simpelweg langer te maken. Het minimumaantal tekens ligt daarbij op acht. Langere ‘wachtzinnen’ zijn veel moeilijker te kraken of te raden. Tegelijkertijd verhogen ze de kosten voor cybercriminelen omdat ze veel langer bezig zijn met het kraken van zo’n wachtwoord.

   5. Geef gebruikers een wachtwoordmanager
   MFA is niet beschikbaar voor ieder bedrijf. Daarom kunnen wachtwoordmanagers, zoals LastPass, een prima uitweg vormen voor het beheren van wachtwoorden die als enige vorm van authenticatie worden gebruikt. Passwordmanager-tools maken automatisch langere wachtwoorden met complexere, willekeurige tekenreeksen wanneer een gebruiker een nieuw account start. De gebruiker hoeft daarbij slechts één wachtwoordzin te onthouden om toegang te krijgen tot de passwordmanager. Een win-win voor iedereen!

5. Check, check, dubbelcheck
   Wanneer een organisatie kiest om passwordmanagers aan te bieden, is de kwaliteit van de wachtwoorden om toegang tot deze tools te krijgen essentieel. Wanneer deze tool te openen is met een slecht wachtwoord (zie punt 2) haalt het inzetten van een passwordmanager niet veel uit voor de veiligheid.

Daarom adviseert het NIST om wachtwoorden, ook voor passwordmanagers, te baseren op de onderstaande uitgangspunten:

• Kies een lange wachtwoordzin als hoofdwachtwoord voor het wachtwoordmanagementprogramma. Bescherm het wachtwoord tegen diefstal door deze offline op te slaan in plaats van op een computer of smartphone;
• Vermijd wachtwoordbeheerders die het mogelijk maken het hoofdwachtwoord te herstellen.

Hoewel de bovenstaande zes methoden niet onfeilbaar zijn, bieden oplossingen zoals BlackBerry® Persona een alternatief voor een meer wachtwoordvriendelijke toekomst. Deze oplossing gebruikt afgeleide biometrische gegevens om de authenticiteit van een gebruiker op een specifiek apparaat vast te stellen. Daarom vraagt deze niet steeds om een wachtwoord; ook niet op World Password Day.