• Elwin Boes

Password Beleid

"Na 20 jaar inspanning is het ons succesvol gelukt om iedereen te leren een password te gebruiken dat moeilijk is te onthouden voor mensen, maar makkelijk te raden is voor computers."


Wij krijgen veel vragen over wachtwoord beleid, voor onder andere onze omgeving. Vanuit het verleden werd het veranderen van een password aangemoedigd in combinatie met een complex wachtwoord.

Tevens was het niet mogelijk om je voorgaande wachtwoorden her te gebruiken.

Dit beleid is volgens ons onvriendelijk en moedigt onveilige wachtwoorden aan.

Hierin staan wij niet alleen, internationaal vinden verschillende beveiliging experts hetzelfde.


Wat dan wel? En wat zegt bijvoorbeeld ISO27001-2013 erover?

ISO27001-2013 geeft het volgende aan:

A9.4.3: Password management system, Password management systems shall be interactive and shall ensure quality password.


Dat betekend dus niet dat wachtwoorden op reguliere basis veranderd moeten worden.

Wat is dan het advies?

  1. Stop met vervelende complexe wachtwoorden regels. Het maakt wachtwoorden alleen maar moeilijker te onthouden. Het zorgt ervoor dat de kans op fouten toeneemt omdat ze kunstmatig complex zijn de wachtwoorden zijn moeilijker te typen. En het helpt de beveiliging helemaal niet veel. Je kan beter gebruik maken van wachtzinnen.

  2. Stop met het verlopen van wachtwoorden. Dit komt uit het verleden en is een ouderwetse benadering van een oud probleem. Vandaag de dag vraag je niet meer om het wachtwoord te veranderen alleen als het vermoeden bestaat dat het wachtwoord niet meer veilig is.

Op dit moment is het beleid voor onze omgeving gebaseerd op de oude manier.

  • Iedere 90 dagen je password veranderen

  • Lengte minimaal 8 karakters

  • Minimaal 1 hoofdletter

  • Minimaal 1 cijfer

  • Minimaal 1 speciaal karakter

Dit is een makkelijk patroon en niet per definitie veilig.

Een veel beter manier is het volgende beleid.

  • Gebruik een wachtzin en geen wachtwoord. Gebruik in een wachtzin verschillende woorden dat een zin maakt dat voor de gebruiker herkenbaar is en makkelijk te onthouden is.

Voorbeeld:

·

  • DomvanUtrechttoren1254 (22 tekens) is een goede zin voor iemand uit Utrecht

  • Porsche911luchtkoeling1997 (26 tekens) is een goede zin voor een auto/Porsche liefhebber

  • Een limiet op het aantal keer proberen: 10 keer

  • Vertel dat je een wachtzin nooit op moet schrijven of moet delen met andere

  • Gebruik 2factor/Multifactor Authenticatie naast je wachtwoord voor onbeheerde netwerken.



ITkeuze bied op dit moment de mogelijkheid om het oude beleid te gebruiken. Maar adviseren het nieuwe beleid te gebruiken, in combinatie met eventueel 2factor/Multifactor Authenticatie.

Bijdorp-Oost 30a, 2992 LA Barendrecht

085 401 4190

IBAN: NL59RABO0119064359
BIC: RABONL2U
KvK Rotterdam: 63105586

© 2018 ITkeuze