Belgische politie adviseert wachtwoorden elke zes maanden te wijzigen
De afgelopen jaren hebben het Nationaal Cyber Security Centrum (NCSC), Microsoft, de Britse geheime dienst en allerlei experts bedrijven geadviseerd om werknemers niet te verplichten om periodiek hun wachtwoorden te wijzigen, toch komt de Belgische politie vandaag met het advies voor verplichte periodieke wachtwoordwijzigingen.
"Het periodiek vervangen van wachtwoorden, wat vaak als niet gebruiksvriendelijk wordt ervaren, is niet noodzakelijk als er compenserende maatregelen worden getroffen", zo liet het NCSC al in 2018 weten. De organisatie staat daarmee niet alleen. Experts waarschuwen al langer tegen het verplicht wijzigen van wachtwoorden, omdat gebruikers hierdoor zwakke wachtwoorden kiezen en vaker hun wachtwoorden opschrijven.
De kans om nieuwe wachtwoorden te vergeten is daarnaast veel groter, wat weer invloed op de productiviteitskosten heeft als mensen hun wachtwoord vergeten en de helpdesk dit moet resetten. Beveiligingsexpert Bruce Schneier adviseerde dan ook om wachtwoorden alleen te wijzigen als er een vermoeden bestaat dat ze gecompromitteerd zijn.
In een vandaag gepubliceerd beveiligingsadvies voor mkb-bedrijven pleit de Belgische politie juist voor periodieke wachtwoordwijzigingen. Volgens de Belgische politie is er een toename van het aantal cyberaanvallen, maar zijn niet alle mkb-bedrijven goed voorbereid, zeker nu het personeel thuiswerkt. "Preventie blijft dan ook de beste remedie", zo laat het advies weten.
Dat gaat vervolgens in op verschillende soorten aanvallen en maatregelen die bedrijven kunnen nemen om zich te beschermen, zoals het gebruik van spamfilters, het maken van offline back-ups en het instellen van een wachtwoordbeleid: "De veiligheid van de infrastructuur begint dus bij preventie. Enkele maatregelen: de verplichting voor personeelsleden om hun wachtwoorden minstens om de zes maanden te wijzigen." In een eerder gegeven advies voor eindgebruikers werd nog aangeraden om wachtwoorden elke twee a drie maanden te veranderen.
WebAuthn wordt nog niet vaak aangeboden, maar de verwachting is dat het binnen enkele jaren het traditionele wachtwoord zal hebben vervangen. Voor een toekomstbestendig authenticatiemechanisme beveelt het NCSC aan om WebAuthn te gebruiken.
Mijn advies: gebruik een wachtwoordmanager en laat deze, per account, een random wachtwoord genereren. Tenzij je zo'n wachtwoord een keer in het verkeerde veld plakt (gebruikersnaam of e-mailadres, gegevens uit dat veld worden vaak gelogd), of als je vermoedt dat de database van jouw wachtwoordmanager in verkeerde handen kan zijn gevallen en je daar geen sterk wachtwoord voor gebruikt, is het niet nodig om regelmatig account-wachtwoorden te wijzigen.
Een niet te onderschatten voordeel van een wachtwoordmanager is dat je (en evt. een nabestaande, indien je die het master-password hebt gegeven) een overzicht hebt op waar je allemaal accounts hebt en ook met welk logon-ID (gebruiksersnaam, e-mailadres, klantnummer etc).
Morgen vast aangepast.
2-Factor met SSO of anders desnoods lang uniek wachtwoord is beter advies. Wachtwoord aanpassen alleen nodig als systeem geen 2FA ondersteund, of bv. max 12 chars.
Want dan opent natuurlijk niet gelijk met een wachtwoord.
Heeft er anders al iemand ooit bedacht om het "beginwoord" te noemen? Nou dan.
Daar moest IEDERE WEEK het wachtwoord worden gewijzigd , dit leide natuurlijk tot belachelijke wachtwoorden.
Ach ja...
Het kan, wie ontwikkelt het verder?
Het kan, wie ontwikkelt het verder?
Dat heet Risk-Based Authentication en is, naar mijn weten, nooit van de grond gekomen vanwege de enorme complexiteit. Enkele signalen, zoals inloggen vanaf een verdacht IP, lijken mij bij de grote partijen, die genoeg data hebben om daar iets nuttigs over te zeggen, wel meegenomen om worden. Op basis daarvan ben je wordt dan besloten of je nog een tweede factor moet invullen of niet. Maar zelfs dat lijkt mij achterhaald als je in staat bent om altijd 2FA te verplichten zonder veel gedoe. Laat al die overige gevallen maar achteraf onderzoeken i.p.v. vooraf te gaan bedenken wat je in welke situatie zou toestaan en wat niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.