De opmars van multifactor-authenticatie (mfa) in organisaties doet het beleid rond paswoorden veranderen. Complexe regels en procedures moeten op de schop.
‘Na twintig jaar zijn we er eindelijk in geslaagd om mensen wachtwoorden te laten kiezen die moeilijk te onthouden zijn, maar makkelijk vallen te raden.’ Het is een bekende quote van Bill Burr, manager bij het National Institute of Standards and Technology – eigenlijk de vader van de wachtwoordregels. Burr gaf met zijn regels indertijd de aanzet om mensen te dwingen om veilige wachtwoordregels te kiezen, en liet die door it-beheerders ook afdwingen. Maar intussen heeft de man al spijt van zijn richtlijnen .
Meeste organisaties hanteren oude regels
Toch klinken de aanpak en richtlijnen rond wachtwoorden in organisaties (en daarbuiten) bekend in de oren. Een veilig wachtwoord verandert regelmatig, is minstens twaalf tekens lang en bevat letters, cijfers en symbolen. ‘In 80 procent van de bedrijven die ik aandoe, hanteren ze nog dergelijke wachtwoordregels’, stelt Reinaert Van de Cruys, ethical hacker en mede-oprichter van Fox & Fish.
Het is ook een klassieker in it, oppert Van de Cruys, die onlangs ook bij gebruikersvereniging SAI een webinar verzorgde rond wachtwoord-policy. ‘Wij hebben de voorbije dertig jaar als it’ers onze gebruikers gedwongen om veilige wachtwoorden te kiezen, en dat op manieren die eenvoudig te checken zijn’, stelt hij. Maar als gebruikers persoonlijke informatie in hun wachtwoord stoppen, zoals naam van partner of kinderen of postcode, valt dat al veel moeilijker te controleren.’
Aangeraden wordt ook om voor de keuze van wachtwoorden om te opteren voor beheerders of generators. ‘Met zoveel wachtwoorden die mensen hebben, is het erg moeilijk voor individuen om unieke, sterke wachtwoorden te hebben voor elk account’, stelde Lorrie Cranor, directeur van CyLab Security and Privacy Institute aan de Carnegie Mellon University enkele maanden geleden naar aanleiding van Password Day. ‘Maar het hergebruiken van wachtwoorden is extreem gevaarlijk’, vindt ze. ‘Een van de beste dingen die u kunt doen om uw gevoelige informatie te beschermen, is een wachtwoordbeheerder gebruiken en deze willekeurig wachtwoorden voor u laten genereren.’
Het nieuwe tijdperk: MFA
Het gebruik van multifactor-authenticatie verandert alvast de aanpak rond wachtwoorden in bedrijven. Omdat mfa extra beveiliging biedt, zoeken bedrijven vandaag meer en meer de balans op tussen beveiliging en gebruiksgemak. Het verplicht stellen van lange, complexe wachtwoorden met speciale tekens en cijfers kan gebruikers ook ontmoedigen of leiden tot slechte praktijken, zoals het opschrijven en fysiek bewaren van wachtwoorden. Met mfa hoeven wachtwoorden niet ook meer extreem complex te zijn, net omdat er een tweede beveiligingslaag is. Bedrijven kunnen daardoor een eenvoudiger wachtwoordbeleid invoeren, met bijvoorbeeld minder frequente verplichte wijzigingen.
Wachtwoorden regelmatig veranderen?
Daarvoor zijn er argumenten pro en contra. Dat kan een goed idee zijn: als wachtwoorden lekken op het darkweb, dan is het niet verkeerd om tijdig een ander wachtwoord aan te maken of dat te hebben gedaan.
Toch stappen meer en meer organisaties ervan af om zo’n regelmatige verandering op te leggen. Want het regelmatig switchen van wachtwoorden, brengt vaak een pervers effect met zich mee. ‘Ik stel vast dat het mensen ertoe brengt om hun wachtwoorden minder serieus te nemen. Sommige gaan ervan uit dat ze hun wachtwoord met een collega kunnen delen, omdat het toch verandert over drie maanden. Een blijvend wachtwoord is daarentegen ‘hun grote geheim’, aldus Reinaert Van de Cruys, die nog een andere reden aanhaalt om wachtwoorden niet of niet vaak te veranderen: het leven van it-systeembeheerders wordt er makkelijker door. Er zullen minder support tickets binnenkomen.
Wachtwoorden blijven ingeburgerd
Bovendien is mfa niet feilloos. Multifactor-authenticatie is een goede oplossing als het goed wordt aangepakt, stelt Van de Cruys. Want er zijn de voorbije jaren gevallen geweest waar criminelen onder meer door social engineering erin slaagden om de mfa te omzeilen en binnen te raken. Waarbij hackers er bijvoorbeeld in slaagden om gebruikers ergens op ‘ja’ te laten klikken of hen een tijdelijke invulcode verklapten. Hij verwijst hierbij op hacks bij onder meer Cisco of Uber.
Bovendien is mfa ook nog lang niet overal ingeburgerd. ‘In tal van gemeentes zijn ze nog volop bezig met de uitrol van multifactor-authenticatie. In veel private bedrijven overigens ook’, vertelt hij. Bovendien zullen er nog lang en vaak toepassingen blijven bestaan, waar deze vorm van authenticatie niet wordt toegepast. Kortom de nood aan een slimme wachtwoord policy blijft bestaan. Maar wel liefst met het kiss-principe in het achterhoofd: keep it simple, stupid.
Dit artikel verscheen eerder in het Engelstalige Cybersec e-Magazine editie 6. Lees hier dit hele e-magazine:
