Wachtwoord beleid
Peter Verwolf
02 mei 2022

Jouw bedrijf ‘wachtwoordveilig’? Zo doe je dat!

Iedereen kent het. Je logt in op je computer en je moet je wachtwoord weer eens wijzigen. Gedoe. Je verandert in je wachtwoord het cijfer 1 naar een 2 en hop, je kunt weer verder. Niet echt de meest veilige methode. Hoe je wel je bedrijfsnetwerk kunt beschermen, zonder je medewerkers te belemmeren, vertellen we in deze blog.

Gedoe

Het wachtwoordbeleid van de meeste organisaties verplicht medewerkers om elke zoveel maanden hun wachtwoord te veranderen. Vaak moet dat dan ook nog een lang en complex wachtwoord zijn dat minimaal x vreemde tekens bevat. Daarmee wordt het wachtwoord moeilijk te onthouden. Zo moeilijk, dat sommige medewerkers het maar op een post-it schrijven en op hun beeldscherm plakken. Je moet immers wel kunnen inloggen als je maandag weer op je werk komt. Door een goed wachtwoordbeleid te combineren met een wachtwoordmanager en multifactorauthenticatie, kies je voor een echt veilige oplossing.

Wachtwoord veilig bedrijf

Multifactorauthenticatie (MFA)

MFA – ook wel meervoudige verificatie – biedt de beste bescherming tegen identiteitsdiefstal! Naast een gebruikersnaam en wachtwoord heeft de medewerker nog iets nodig om de identiteit te bewijzen. Dit kan bijvoorbeeld een bevestiging zijn via een app op de telefoon, een code via sms of zelfs het gebruik van een speciale USB-stick. Wij merken in de praktijk dat de MFA-bevestiging via Microsoft Authenticator het prettigst werkt voor de medewerkers. Vrijwel iedereen heeft tegenwoordig wel een smartphone op zak. Daarmee is de telefoon de ideale digitale sleutel geworden om toegang te krijgen tot de bedrijfssystemen. Mocht je wachtwoord ooit worden gestolen, dan heeft de hacker nog steeds geen toegang zonder jouw telefoon. Ons advies: gebruik MFA waar het kan!

Wachtwoordlengte

De indruk bestaat nogal eens dat hoe langer het wachtwoord, hoe veiliger dat is. Uit onderzoek is gebleken dat dat lang niet altijd zo is. Gebruikers kiezen dan vaak voor een herhaling van woorden, bijvoorbeeld passwordpassword, wat natuurlijk eenvoudig geraden kan worden. Bovendien zetten hackers vaak software in die razendsnel verschillende combinaties van inlognamen- en wachtwoorden probeert, tot de juiste combinatie is gevonden: een zogenaamde brute-force attack. Wanneer het beleid bijvoorbeeld minimaal twaalf karakters vereist, hoeft de hacker de kortere wachtwoorden niet meer te proberen. Ons advies: gebruik een wachtwoordbeleid dat minimaal acht karakters voorschrijft.

Wachtwoord beveiliging multi factor authenticatieOns advies: gebruik multifactorauthenticatie waar het kan

Wachtwoordcomplexiteit

De meeste systemen en organisaties forceren een wachtwoordcomplexiteit met de volgende eigenschappen:
• Hoofdletters
• Kleine letters
• Speciale karakters (!@#$)

De meeste medewerkers kiezen een wachtwoord waarbij de hoofdletter aan het begin staat en een cijfer of speciaal karakter op het eind, zoals bijvoorbeeld Flappie1!. Ook worden speciale tekens op plekken gezet waar het makkelijk te onthouden is. Een @ voor een a en een $ voor een s. Hackers weten dit ook en kunnen hier hun aanvallen op aanpassen. Het is altijd veiliger is om speciale tekens op een onlogische plek te zetten in je wachtwoord.

Wachtwoord verloopt

Veel bedrijven hanteren een beleid waarbij het wachtwoord eens in de zoveel tijd gewijzigd moet worden. Uit onderzoek blijkt dat deze maatregel soms een verkeerde uitwerking heeft. Zoals in het voorbeeld in de introductie zal de medewerker vaak kiezen voor een update van het wachtwoord en niet voor een totaal ander wachtwoord. Er wordt vaak een opvolgend cijfer gebruikt wat eenvoudig door een hacker te raden is, bijvoorbeeld Flappie2!. Ook blijkt uit onderzoek dat door het vele wijzigen de gebruiker eerder zal kiezen voor een eenvoudiger wachtwoord, waardoor deze makkelijker te kraken is.

Wachtwoordtips

Ons advies is om MFA in te zetten, in combinatie met een uniek wachtwoord. Het regelmatig wijzigen van het wachtwoord is dan niet meer nodig. De medewerker hoeft nog maar één wachtwoord te onthouden én de telefoon te gebruiken voor MFA. Een paar tips:

1.
Maak voor elke website of dienst een uniek wachtwoord. Wanneer een website gehackt wordt en jouw wachtwoord gestolen wordt, is de rest nog steeds veilig. Een wachtwoordmanager kan hierbij helpen. Je slaat de wachtwoorden op in deze digitale kluis waardoor het onthouden van de wachtwoorden niet meer nodig is. Behalve het masterwachtwoord van deze kluis natuurlijk.

2.
Mocht je toch een wachtwoord moeten onthouden, zoals bijvoorbeeld het masterwachtwoord, gebruik dan een wachtwoordzin met meerdere woorden die niet aan elkaar gerelateerd zijn. Algoritmehacks kunnen hier het minst goed mee omgaan, denk bijvoorbeeld aan Steen#Slang8Auto2Gras.

3.
Vermijd gangbare wachtwoorden zoals 123456, Welkom01, P@ssw0rd, iloveyou en geboortedata.

4.
Zorg dat je medewerkers zich bewust zijn waarom wachtwoorden niet hergebruikt mogen worden.

LastPass beste wachtwoordmanager

LastPass is wat ons betreft de beste wachtwoordmanager die er is. Dankzij LastPass hoef je je nooit meer druk te maken of de wachtwoorden die worden gebruikt binnen jouw organisatie wel sterk genoeg zijn. De ingebouwde wachtwoordgenerator maakt lange, willekeurige wachtwoorden die staan als een huis en voldoen aan jouw beleidsregels. Je medewerkers hoeven nog maar één – sterk – wachtwoord te onthouden: dat van LastPass. Daarmee hebben ze overal en altijd toegang tot hun wachtwoorden. Tot ze het bedrijf verlaten natuurlijk. In een volgende blog zoomen we in op de voordelen van LastPass.

Meer weten?

Hoe gaan jullie om met wachtwoorden? Hebben jullie hier een specifiek beleid over? Waar slaan jullie deze wachtwoorden op? Wil je meer informatie over deze onderwerpen, neem contact met ons op!

Meer weten?

Schroom niet. Bel of mail ons gewoon even.

Maurice Gonlag
Maurice Gonlag
06 - 38 82 11 49
Vincent Wilgenkamp
Vincent Wilgenkamp
06 - 13 58 87 83
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.