Wat is wachtwoordrotatie en hoe moet ik dit correct doen?
We hebben het gehad over hoe moeilijk het is om een goed wachtwoordbeleid te creëren. Een deel van het probleem ligt in het feit dat dit geen set-and-forget-taak is. Bedrijven moeten zich voortdurend aanpassen aan de verschuivingen in het landschap van online bedreigingen en hun wachtwoordbeleid moet worden aangepast aan de laatste trends en veranderingen. Gebeurt dit in werkelijkheid?
Welnu, in 2016 adviseerde het National Institute of Standards and Technology (NIST), een niet-regelgevende instantie die deel uitmaakt van de Amerikaanse regering, bedrijven om hun werknemers niet te dwingen hun wachtwoorden om de paar maanden te wijzigen. Dit was precies het tegenovergestelde van wat bedrijven eerder waren verteld, maar NIST zei dat er voldoende bewijs was dat de verplichte wachtwoordwijziging de online beveiliging van mensen nadelig beïnvloedt. Veel experts juichten het advies van NIST toe en blijven het ondersteunen, maar ondanks dit, zelfs nu, bijna vier jaar later, dwingen sommige organisaties hun werknemers nog steeds om hun wachtwoorden regelmatig te wijzigen.
Frequente wachtwoordwijzigingen leiden tot wachtwoordrotatie
Het grootste probleem met het dwingen van mensen om hun wachtwoorden regelmatig te wijzigen, is dat de stress die je erop legt, leidt tot fouten die ernstige gevolgen kunnen hebben voor hun online veiligheid. Jullie weten allemaal hoe moeilijk het is om een sterk wachtwoord te maken, en je kunt je alleen voorstellen hoe moeilijk het kan zijn als je het regelmatig moet doen.
Omdat het zo'n last is, kiezen mensen die hun wachtwoord moeten wijzigen er vaak voor om zichzelf de moeite te besparen en eenvoudige wijzigingen aan te brengen in hun bestaande wachtwoorden (bijv. "Wachtwoord1" vervangen door "wachtwoord2"). Een andere strategie die mensen hebben aangenomen, is om een beperkte lijst met drie of vier wachtwoorden te maken die ze periodiek roteren.
Beveiligingsexperts kunnen meerdere redenen noemen waarom wachtwoordrotatie een slecht idee is. De gebruiker probeert meestal de drie of vier wachtwoorden te onthouden en als gevolg hiervan zijn de inloggegevens niet erg sterk. Een ander probleem komt voort uit het feit dat de wachtwoorden zo nu en dan geldig worden. In theorie, als een hacker een van de wachtwoorden heeft die u roteert, kunnen ze deze periodiek testen op uw account, en uiteindelijk zullen ze de juiste timing krijgen en met succes inbreken.
De algemene zaak tegen periodieke wachtwoordwijzigingen komt voort uit het feit dat cybercriminelen niet wachten totdat u uw wachtwoord wijzigt voordat ze proberen uw account te compromitteren, maar het repetitieve karakter waarmee de inloggegevens worden gewisseld in een scenario voor wachtwoordrotatie, zorgt ervoor dat mensen die kiezen deze strategie is bijzonder kwetsbaar. Helaas zijn, zoals we al zeiden, de andere opties soms beperkt.
Wat kunt u doen als wachtwoordrotatie de enige optie is?
Sommige organisaties dwingen nog steeds regelmatige wachtwoordwijzigingen af, wat betekent dat wachtwoordrotatie springlevend is. Erger nog, er zijn bedrijven die het gebruik van een wachtwoordbeheerder niet toestaan, waardoor het niet meer nodig is om wachtwoorden volledig te roteren.
Als je weinig andere keus hebt dan een lijst met wachtwoorden te rouleren, kun je op zijn minst proberen de risico's zoveel mogelijk te beperken. Gebruik een grote verscheidenheid aan tekens en maak de wachtwoorden zo willekeurig mogelijk. Door een groter aantal wachtwoorden te maken, beperkt u de kans op een succesvol compromis verder, maar u moet ervoor zorgen dat ze wezenlijk van elkaar verschillen. Last but not least, neem contact op met de persoon die verantwoordelijk is voor het maken van het wachtwoordbeleid in uw bedrijf en vertel hen dat hun ideeën over een veilig raamwerk hopeloos verouderd zijn.
