Het wachtwoordbeleid verklaard

  • Giel Oerlemans
  • woensdag 6 januari 2021 om 11:23
Zuchtend lees je de waarschuwing dat je wachtwoord komt te vervallen, net als drie maanden geleden. Je wachtwoord wijzigen, hoe deed je dat ook alweer? Eenmaal aangekomen bij het juiste scherm voer je een nieuw wachtwoord in.

Je probeert ‘wachtwoord01’: Afgekeurd!; het wachtwoord voldoet niet aan de vereisten. Een getalletje toevoegen op het einde van je huidige wachtwoord dan maar. Afgekeurd; het wachtwoord lijkt teveel op het voorgaande. Enigszins geërgerd leun je achterover. Het wachtwoord dat je onlangs ook voor je privé e-mail instelde lijkt opeens een aantrekkelijke optie. Bingo! Die wordt geaccepteerd. Wat een gedoe, snel maar weer aan het werk…

Klinkt bekend? Een groot deel van werkend Nederland zal ermee te maken hebben gehad, een wachtwoordbeleid dat bepaalt dat je iedere zoveel maanden je wachtwoord moet wijzigen. Om je nog extra te pesten mag het wachtwoord niet teveel op het voorgaande lijken en mag je naam er niet in voorkomen.

Toch worden deze maatregelen om goede redenen genomen. In deze blog staan we stil bij die redenen.

Het complexe wachtwoord

Je wordt veelal gevraagd om een minimum aantal karakters te gebruiken, liefst uit verschillende groepen, zoals; hoofdletters, kleine letters, cijfers. Een voldoende complex wachtwoord voorkomt dat deze achterhaald kan worden door simpelweg ‘alle mogelijke combinaties’ te proberen. Een dergelijke aanval staat bekend als een ‘brute force attack’. Moderne computers zijn in staat om duizenden tot miljoenen wachtwoorden per seconde uit te proberen. Met wat specialistische apparatuur kan die snelheid nog veel verder verhoogd worden.

tabel wachtwoord complexiteit
Met voldoende verschillende karakters en voldoende lengte wordt het alsnog onpraktisch om alles te proberen, simpelweg omdat dit miljoenen jaren gaat duren. Met name extra lengte doet het aantal vereiste pogingen enorm snel toenemen. 

Naast de brute force aanval worden vaak slimmere methoden gebruikt om wachtwoorden te proberen. Zo zijn er enorme lijsten met ‘standaardwachtwoorden’ in omloop die als eerste worden losgelaten op het account. Om die reden is ook een wachtwoord dat simpelweg een (lang) woord uit bijvoorbeeld het woordenboek is, een slecht idee. Een combinatie van verschillende woorden is een stuk sterker.  .

Het unieke wachtwoord

Hoewel vaak niet technisch afgedwongen, is het sterk aan te raden om voor al je accounts verschillende wachtwoorden te hanteren. Lekt er een uit? Dan heb je simpelweg minder accounts en gegevens om je zorgen over te maken…

Het wisselende wachtwoord

Er bestaat discussie of het geforceerd wisselen van wachtwoorden leidt tot het gebruik van zwakkere wachtwoorden. De reden om dit toch te doen is wederom vrij eenvoudig. Hoe kom je er namelijk achter dat iemand jouw accountgegevens kent? Misschien heb je niet eens in de gaten dat je account actief wordt misbruikt. Sommige kwaadwillenden is er veel aan gelegen dat je niet in de gaten hebt dat ze zich toegang hebben verschaft. Door regelmatig je wachtwoord te wisselen, is de duur van onopgemerkte toegang in ieder geval beperkt, waardoor er minder tijd actief misbruik kan worden gemaakt van het account.
Om dezelfde reden is het niet toegestaan een wachtwoord te kiezen dat veel op het vorige lijkt. Dat zijn natuurlijk de eerste alternatieven die de zojuist buitengesloten aanvaller gaat uitproberen!

Resumerend: gebruik unieke en sterke wachtwoorden en wijzig deze zo nu en dan. Dat leidt tot een nieuwe grote uitdaging. Hoe onthoud je tenslotte al die wachtwoorden? Een passwordmanager kan uitkomst bieden. Dit onderwerp, en andere aanvullende maatregelen om je accounts beter te beveiligen, worden uitgebreid behandeld in onze e-learning modules. Houd ook onze toekomstige blogposts in de gaten.
StackSecure maakt gebruik van cookies.

Voor het correct functioneren, optimaliseren van deze website en t.b.v. commerciële doeleinden maakt StackSecure gebruik van cookies. Meer hierover kunt u lezen in ons privacy statement