Regelmatige wachtwoord wijzigingen behoren binnenkort tot het verleden, als het al niet nu al is. De bijgewerkte richtlijnen van het (Amerikaanse) NIST richten zich op de lengte van wachtwoorden en de kracht van passkeys voor betere beveiliging. Kijk dus goed naar dit soort organisaties om daar je voordeel mee te doen. Bescherm daarom jouw gegevens, verminder phishing risico’s en ga slimmer om met je wachtwoorden.
Deze nieuwe richtlijnen proberen de security te versterken bij de hoofdoorzaak van verschillende recente beveiligingsincidenten: identiteits- en toegangsbeheer, en specifiek wachtwoorden. Het National Institute of Standards and Technology (NIST) heeft dus vorig jaar zijn opgestelde richtlijnen voor wachtwoordbeveiliging bijgewerkt. Dit maakt ze gebruiksvriendelijker en tegelijkertijd effectiever. Een definitieve versie van de richtlijnen verwachten we later dit jaar.
De nieuwe richtlijnen ontmoedigen frequente verplichte wachtwoord wijzigingen en overdreven complexe vereisten. Daarvan is aangetoond dat ze leiden tot voorspelbaar en onveilig gebruikersgedrag. Dingen zoals het hergebruiken van vergelijkbare wachtwoorden met kleine variaties (verander “Fido123” in “Fido123!”), het opschrijven van wachtwoorden op Post-its naast computers die zichtbaar zijn voor nieuwsgierige blikken, of het opslaan ervan in duidelijke tekst die infostealers gemakkelijk kunnen vinden.
Wachtwoord regels volgens NIST
In plaats daarvan raadt NIST aan om een breder scala aan tekens te accepteren, inclusief emoji’s, en de nadruk te leggen op de lengte van wachtwoorden boven complexiteit. Wachtwoorden zijn bijvoorbeeld idealiter 15 tekens of langer om de beveiliging te maximaliseren. Daarnaast moedigt NIST het gebruik van moderne tools zoals passwordmanagers en passkeys ten zeerste aan. Die gebruiken biometrische gegevens voor authenticatie en helpen beschermen tegen phishingaanvallen.
De richtlijnen zijn er ook op gericht om verouderde praktijken, zoals periodieke wachtwoordwijzigingen en wachtwoordhints, te elimineren. Onderzoek heeft immers aangetoond dat ze contraproductief zijn. In plaats daarvan worden organisaties aangemoedigd om blokkeerlijsten te implementeren om het gebruik van vaak gecompromitteerde of zwakke wachtwoorden te voorkomen. Passkeys, een relatief nieuw alternatief, worden ook benadrukt vanwege hun verbeterde beveiliging. Passkeys zijn veiliger en gebruiksvriendelijker dan wachtwoorden omdat ze het apparaat van de gebruiker nooit verlaten, waardoor de kwetsbaarheid voor diefstal of phishing wordt verminderd.
10 Miljard gelekte wachtwoorden
Met zoveel blootgestelde inloggegevens op internet, zoals de 10 miljard gelekte wachtwoorden in de RockYou2024-compilatie, vermindert deze oplossing voor identiteits- en toegangsbeheer het risico van wachtwoord inbreuken omdat ze uniek zijn en niet opnieuw kunnen worden gebruikt. Hoewel de acceptatie van passkeys al mondjesmaat toeneemt, vereisen deze systemen nog steeds een zorgvuldige implementatie om risico’s te beperken. Denk daarbij aan het beveiligen van apparaten tegen ongeautoriseerde toegang.
De aanpak van NIST weerspiegelt tientallen jaren van onderzoek waaruit blijkt dat langere, willekeurig gegenereerde wachtwoorden veel moeilijker te kraken zijn dan korte, complexe wachtwoorden. Voor gebruikers bieden ze tools zoals password managers, of ze nu ingebouwd zijn in browsers of op zichzelf staan, en praktische oplossingen voor het beheren van lange, unieke wachtwoorden voor meerdere accounts. Dat maakt het veel gemakkelijker om toegang te krijgen tot accounts voor de ongeveer 160 persoonlijke wachtwoorden die de gemiddelde persoon heeft. En dat zijn dan nog niet eens werkgerelateerde wachtwoorden!
Nu is NIST natuurlijk een Amerikaanse organisatie, waar we veel van kunnen leren. Aannemers en andere organisaties die bijvoorbeeld zakendoen met de federale overheid moeten de richtlijnen van NIST volgen. Veel bedrijven houden zich ook vrijwillig aan deze algemeen erkende set van best practices voor cyberbeveiliging. En die zijn van toepassing op bedrijven van alle omvang. De eenvoudigste manier voor kleine en middelgrote bedrijven (MKB’s) om zich aan deze richtlijnen te houden, is om deze wachtwoord regels volgens NIST op te volgen. Dan is het gebruik van een password manager zoals LastPass handig om te gebruiken voor het eenmalig in te stellen en verder te vergeten voor een wachtwoord beleid dat aansluit bij deze nieuwe aanbevelingen. Op die manier wordt eenvoudig voldaan aan deze richtlijnen.
Naarmate deze bijgewerkte normen worden ingevoerd, wordt verwacht dat ze de digitale beveiligingspraktijken in zowel de publieke als de private sector aanzienlijk zullen verbeteren. Uitdagingen zoals hergebruik van wachtwoorden en de beveiliging van apparaten blijven echter zorgen baren.
Bron: LastPass Labs