wachtwoorden anno 2019

Wachtwoorden anno 2019

In het verleden heb ik al eerder een blog geschreven over wachtwoorden. Maar op de één of andere manier blijft dit toch een “hot topic”. Ik krijg regelmatig de vraag of er veilige wachtwoorden bestaan. Ja die zijn er, maar hoe onthoud je deze of bewaar je deze op een veilige plaats?
Vragen die steeds minder relevant worden. Wachtwoordloos is namelijk de kant die wij opgaan.
O.a. Microsoft, Apple en Google gebruiken al vingerafdrukken of gezichtherkenning en/of een push-bericht op je mobiele telefoon als alternatief voor de invoer van een paswoord.

Daarnaast bezitten ze over unieke informatie die gebruikt kan worden om te bepalen of je inderdaad de persoon bent die jij zegt te zijn. Ze conbineren data met elkaar zodat bijvoorbeeld jouw locatie kan bepalen of jij wel of niet kan inloggen. Cloudtechnologie die snel tot de standaard gaat behoren.

Waarom wachtwoordloos? Zowel zakelijk als privé maken we tegenwoordig gebruik van één of meer wachtwoorden en dat maakt het onthouden en beheren van deze wachtwoorden niet altijd even makkelijk. Daarnaast worden kwaadwillende steeds beter in het ontfutselen van wachtwoorden door bijvoorbeeld phishing of social engineering. Uiteraard is het mogelijk om Multi-Factor Authenticatie (MFA) in te schakelen, maar dan nog zitten we met een oerwoud van wachtwoorden. Als het aan bijvoorbeeld Microsoft ligt beperken we het gebruik van “old school” wachtwoorden in de toekomst tot een minimum. Er zijn nog wel wat stappen te nemen. Deze technologie moet door elke applicatie omarmt worden en bepaalde regelgeving zal hierop op aangepast moeten worden. Iets wat tijd kost.

In de tussentijd zijn er ook andere zaken waarmee jij de veiligheid sterk kan verbeteren.
Een belangrijke stap die jij snel kan nemen is het invoeren van Multi-Factor Authenticatie + een sterk/veilig wachtwoord. Dit in combinatie met het minder vaak tot niet verplicht periodiek wijzigen van jouw wachtwoord. Dit laatste klinkt misschien vreemd, maar de verklaring is dat het afdwingen van het regelmatig wijzigen van wachtwoorden veelal leidt tot minimale aanpassingen (bijvoorbeeld ophogen van een cijfer in het wachtwoord), het opslaan van wachtwoorden op onveilige locaties, of het gebruik van hetzelfde wachtwoord voor diverse accounts. Microsoft heeft deze maatregelen opgenomen in hun beleid en adviseert ons allemaal dit over te nemen.

Een andere reden van Microsoft om je wachtwoord niet meer te wijzigen is dat Microsoft stelt dat als een wachtwoord nooit gestolen wordt, er ook geen reden is om het verplicht te laten vervangen. En als deze wel gestolen wordt, dan verwacht Microsoft dat de meeste gebruikers direct in actie komen om het wachtwoord te wijzigen. Om je te waarschuwen dat je wachtwoord is gestolen is MFA/2FA benodigd. Zodra jij als gebruiker een melding krijgt dat “iemand” met jouw inloggegevens probeert in te loggen, en je dus ook een MFA-verzoek krijgt, dan kan je er wel vanuit gaan dat iemand bekend is met jouw inlognaam en wachtwoord en dat je jouw wachtwoord moet wijzigen.

Gebruik je geen MFA? Dan blijft het van belang dat wachtwoorden “sterk” zijn, uniek in combinatie met je account en je af en toe toch even het wachtwoord volledig wijzigd. Maar wat is tegenwoordig een “sterk” wachtwoord? Ook daarin verschillen de meningen. Sommigen vinden een wachtwoord met letters, cijfers en andere karakters (zoals een @, $ of #) sterk. Daartegenover staat dat we steeds meer horen over dat een “zin” of een combinatie van woorden ook steeds vaker wordt gebruikt. Wat is dan wijsheid? Laat ik het zo zeggen: kan een systeem een “lang” wachtwoord aan, maak deze dan zo lang mogelijk. Gebruik een combi van verschillende woorden, een regel uit een muziekstuk of favoriet boek. Afhankelijk van het beleid kan het zijn dat een systeem vraagt om letters, cijfers en andere karakters. Creativiteit komt hier dan om de hoek kijken. Laten we in ieder geval de jaarlijkse top 10 van wachtwoorden doorbreken, deze moeilijk te kraken te maken en er uiteraard de wachtwoorden netjes opslaan in een beveiligde wachtwoordmanager. Totdat we allemaal “password-less” of wachtwoordloos zijn.