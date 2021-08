Het gebruik van alleen een wachtwoord om systemen op afstand te benaderen of beheren is niet verstandig en moet worden gezien als een "bad practice", zo stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

In juni besloot het CISA om bad practices te verzamelen die buitengewoon riskant zijn en de cyberrisico's voor organisaties juist vergroten. De eerste twee bad practices waar het CISA voor waarschuwde waren het gebruik van end-of-life software en het gebruik van bekende/hardcoded/standaard wachtwoorden. Als derde bad practice is nu het gebruik van singlefactorauthenticatie toegevoegd, waarbij er alleen via een gebruikersnaam en wachtwoord op een systeem wordt ingelogd.

Het CISA noemt het gebruik van alleen een wachtwoord met name gevaarlijk wanneer het wordt gebruikt om systemen van de vitale infrastructuur op afstand te benaderen of beheren, aangezien dit het risico voor de nationale veiligheid, nationale economische veiligheid, volksgezondheid en openbare veiligheid aanzienlijk vergroot. Hoewel de vitale infrastructuur specifiek wordt genoemd, roept het CISA alle organisaties op deze bad practice aan te pakken.

De Amerikaanse overheidsinstantie stelt dat er bewust is gekozen voor een klein aantal zeer ernstige bad practices, omdat organisaties beperkte middelen hebben om alle risico's te identificeren en verhelpen. Daarnaast is de aanpak van bad practices geen vervanging voor het implementeren van best practices. Verder wil het ontbreken van een bepaalde bad practice niet zeggen dat het CISA die goedkeurt.