Deze website maakt gebruik van cookies. Voor meer informatie over de cookies waarvan deze website gebruik maakt klik hier.
Door verder op deze website te surfen geeft u de toestemming aan Minoc Media Services om cookies te gebruiken. verder gaan
 

Nieuwe richtlijnen moeten wachtwoordgebruik hervormen

Karen Gijsbrechts

 
Het National Institute of Standards en Technology stelde een nieuwe set regels op die wachtwoordbeveiliging moet verbeteren. Enkele aanpassingen gaan lijnrecht tegen in de huidige standaarden in.

 

Wachtwoorden zijn de meest voorkomende manier om data te beschermen: ze zijn makkelijk te implementeren en kosten geen geld. Ideaal is de methode echter niet. Vele gebruikers kiezen voor te eenvoudige combinaties, waardoor de wachtwoorden kunnen worden gekraakt. Het NIST stelt daarom geregeld aanbevelingen voor die het wachtwoordgebruik kan verbeteren. In het laatste document stelt de organisatie drie opvallende aanpassingen voor, die voor het eerst gemeld werden door VentureBeat.

Niet meer verplicht aanpassen

Gebruikers zouden niet meer gevraagd mogen worden om hun wachtwoord om de zoveel tijd aan te passen. Beter nog: een wachtwoord zou enkel aangepast mogen worden indien de gebruiker dat zelf wilt of als er bewijs is dat het wachtwoord niet meer veilig is, bijvoorbeeld na een hack. Als gebruikers verplicht worden om hun wachtwoord periodiek te veranderen, kiezen ze immers vaak voor variaties op hetzelfde wachtwoord in een voorspelbaar patroon. Zelfs wanneer je elke maand je wachtwoord aanpast, ben je er nog niets mee indien dat wachtwoord voorspelbaar is.

Geen inhoudelijke regels

Bijna elke website of online service stelt regels aan de wachtwoorden van hun gebruikers, zoals “minimum acht tekens, één symbool en één cijfer”. De achterliggende gedachte is logisch, maar ook hier kan de regel net het omgekeerde effect hebben. Gebruikers die gedwongen worden om hun wachtwoord zo ‘speciaal’ mogelijk te maken, zullen niet per se een sterk wachtwoord gebruiken maar in de plaats daarvan bestaande woorden licht aanpassen. Zo komen we aan klassiekers als ‘w@chtwoord1’. De regel creëert een vals gevoel van veiligheid, en kan dus beter achterwege worden gelaten.

Altijd vergelijken

Wat online verifieerders wél moeten doen, is controleren of de gekozen wachtwoorden voldoen aan de vereisten van een sterk wachtwoord. Nieuwe combinaties zouden vergeleken moeten worden met een lijst van voorspelbare wachtwoorden, waaronder:

 

•  bestaande woorden;

 

•  wachtwoorden die eerder gestolen werden;

 

•  repetitieve of opeenvolgende tekens, zoals: ‘11111’ of ‘ABC123’;

 

•  contextspecifieke woorden, zoals de naam van de website of de gebruikersnaam.

 

De aanbevelingen van het NIST zijn niet verplicht, maar worden gevolgd als leidraad door securityprofessionals en websitebeheerders. Met de nieuwe regels zouden velen onder hen de huidige standaarden moeten aanpassen. Overigens werden ook andere verificatiemethodes in het document behandeld, zoals biometrische methodes of OTP-toestellen, maar daarbij werden geen opvallende veranderingen vastgesteld.

 

//www.smartbiz.be/achtergrond/167975/wachten-op-de-catastrofe-waarom-nog-steeds-op-wachtwoorden-vertrouwen/

 

Reacties

comments powered by Disqus
 

RECENT NIEUWS