top of page

Password Beleid

  • Foto van schrijver: Elwin Boes
    Elwin Boes
  • 23 mrt 2020
  • 2 minuten om te lezen

"Na 20 jaar inspanning is het ons succesvol gelukt om iedereen te leren een password te gebruiken dat moeilijk is te onthouden voor mensen, maar makkelijk te raden is voor computers."


Wij krijgen veel vragen over wachtwoord beleid, voor onder andere onze omgeving. Vanuit het verleden werd het veranderen van een password aangemoedigd in combinatie met een complex wachtwoord.

Tevens was het niet mogelijk om je voorgaande wachtwoorden her te gebruiken.

Dit beleid is volgens ons onvriendelijk en moedigt onveilige wachtwoorden aan.

Hierin staan wij niet alleen, internationaal vinden verschillende beveiliging experts hetzelfde.


Wat dan wel? En wat zegt bijvoorbeeld ISO27001-2013 erover?

ISO27001-2013 geeft het volgende aan:

A9.4.3: Password management system, Password management systems shall be interactive and shall ensure quality password.


Dat betekend dus niet dat wachtwoorden op reguliere basis veranderd moeten worden.

Wat is dan het advies?

  1. Stop met vervelende complexe wachtwoorden regels. Het maakt wachtwoorden alleen maar moeilijker te onthouden. Het zorgt ervoor dat de kans op fouten toeneemt omdat ze kunstmatig complex zijn de wachtwoorden zijn moeilijker te typen. En het helpt de beveiliging helemaal niet veel. Je kan beter gebruik maken van wachtzinnen.

  2. Stop met het verlopen van wachtwoorden. Dit komt uit het verleden en is een ouderwetse benadering van een oud probleem. Vandaag de dag vraag je niet meer om het wachtwoord te veranderen alleen als het vermoeden bestaat dat het wachtwoord niet meer veilig is.

Op dit moment is het beleid voor onze omgeving gebaseerd op de oude manier.

  • Iedere 90 dagen je password veranderen

  • Lengte minimaal 8 karakters

  • Minimaal 1 hoofdletter

  • Minimaal 1 cijfer

  • Minimaal 1 speciaal karakter

Dit is een makkelijk patroon en niet per definitie veilig.

Een veel beter manier is het volgende beleid.

  • Gebruik een wachtzin en geen wachtwoord. Gebruik in een wachtzin verschillende woorden dat een zin maakt dat voor de gebruiker herkenbaar is en makkelijk te onthouden is.

Voorbeeld:

·

  • DomvanUtrechttoren1254 (22 tekens) is een goede zin voor iemand uit Utrecht

  • Porsche911luchtkoeling1997 (26 tekens) is een goede zin voor een auto/Porsche liefhebber

  • Een limiet op het aantal keer proberen: 10 keer

  • Vertel dat je een wachtzin nooit op moet schrijven of moet delen met andere

  • Gebruik 2factor/Multifactor Authenticatie naast je wachtwoord voor onbeheerde netwerken.



ITkeuze bied op dit moment de mogelijkheid om het oude beleid te gebruiken. Maar adviseren het nieuwe beleid te gebruiken, in combinatie met eventueel 2factor/Multifactor Authenticatie.

 
 
 

Comments


De volgende stap met Microsoft 365

 

Ben je geïnteresseerd in Microsoft 365 voor jouw bedrijf, neem dan de volgende stap. ITkeuze heeft meer dan 100 bedrijven, groot en klein, naar Microsoft 365 gebracht. We helpen jou ook graag!

Westblaak 100, 3012 KM Rotterdam

IBAN: NL59RABO0119064359
BIC: RABONL2U
KvK Rotterdam: 63105586

Bericht ontvangen!

© 2023 ITkeuze

bottom of page