Veilig wachtwoord

“Welkom2020” als wachtwoord kan veiliger zijn dan “yFCfFW4$ksxq” 

Het was uitvoerig in het nieuws, eind vorig jaar, de hack bij gemeente Hof van Twente:

 

“Hack bij gemeente Hof van Twente door te simpel wachtwoord.”  

“Gemeente Hof van Twente gehackt door simpel wachtwoord: Welkom2020.”  

“Wachtwoord ‘Welkom2020’; systeembeheerder Hof van Twente maakte het hackers doodeenvoudig.” 

 

Had deze hack voorkomen kunnen worden door een sterk wachtwoord? Misschien wel, misschien niet. Je maakt het cybercriminelen in ieder geval wel lastiger. Toch zijn er andere, veel veiligere mogelijkheden om je organisatie te beschermen, waardoor zelfs een simpel wachtwoord een stuk veiliger is. 

Hoe makkelijk of moeilijk moet een wachtwoord zijn? 

Laten we beginnen met uitleggen hoe makkelijk of moeilijk een wachtwoord moet zijn. En odirect met de deur in huis te vallen: je kan een wachtwoord zo moeilijk maken als je wilt, maar als je alleen een gebruikersnaam en wachtwoord gebruikt ben je altijd kwetsbaar. Cybercriminelen zetten brute-force aanvallen in om achter de juiste inloggegevens te komen. Dit doen ze door grote hoeveelheden gebruikersnaam/wachtwoord-combinaties te proberen. Wanneer ze eenmaal de goede combinatie te pakken hebben, hebben ze vrij spel. 

Dit was het geval bij de situatie met gemeente Hof van Twente. Daar werd het wachtwoord van het testadmin-account doormiddel van een brute-force aanval geraden, waardoor de hackers volledige beheerdersrechten hadden om door het netwerk te bewegen. Daardoor kon data gegijzeld worden en werd door de cybercriminelen gevraagd om losgeld in ruil voor data. 

Hoe maak je “Welkom2020” veiliger dan “yFCfFW4$ksxq? 

Iedereen ziet dat “Welkom2020” een makkelijk wachtwoord is en “yFCfFW4$ksxq” een sterk(er) wachtwoord. Toch kan je op eenvoudige wijze een simpel wachtwoord veel veiliger maken. Multi-Factor Authenticatie (MFA) is de oplossing. Een simpel wachtwoord met MFA is daarmee veiliger dan een sterk wachtwoord zonder MFA. 

MFA

Wat is MFA? 

Multi-Factor Authenticatie (MFA) voegt een extra beveiligingslaag toe aan het aanmeldingsproces. Wanneer gebruikers toegang willen tot een account of app, moeten ze hun identiteit nog een keer extra verifiëren. Bijvoorbeeld door een code uit een SMS of door middel van een app op de smartphone. Je kent deze techniek al, veel grote instanties zoals banken, verzekeringsmaatschappijen en de overheid (DigiD) maken hier gebruik van. 

 

Een extra beveiliging voor cybercriminelen 

Meervoudige verificatie is wel het minste dat je kan doen om je accounts te beschermen. Het is een van de eenvoudigste en meest effectieve manieren om de beveiliging te verhogen. Alles wat je instelt naast een wachtwoord verhoogt de kosten voor hackers aanzienlijk. Het kost hen immer veel meer tijd. Dat maakt jouw account minder aantrekkelijk voor cybercriminelen. Niet verrassend dat accounts die enige vorm van MFA gebruiken voor minder dan 0,1% worden aangetastHet is uiterst zeldzaam dat deze accounts aangevallen worden. 

Toch ziet Microsoft dat nog geen 10% van alle zakelijke accounts MFA gebruikt. Het wordt vaak nog als omslachtig gezien terwijl het eenvoudiger is dan het klinkt. Wanneer je je aanmeldt, betekent meervoudige verificatie dat je een code van je telefoon typt om toegang te kijken. Dit kan voorkomen dat hackers toegang krijgen als ze jouw wachtwoord zouden kennen. Raden ze jouw simpele wachtwoord, zoals “Welkom2020”, dan hebben ze alsnog de verificatiecode op jouw telefoon nodig om toegang te krijgen. 

Bewustwording van wachtwoorden blijft belangrijk 

Ondanks MFA blijft het belangrijk om je bewust te zijn van wachtwoorden. Cybercriminelen worden steeds slimmer dus vinden wij dat je het ze zo moeilijk mogelijk moet maken. Een sterk wachtwoord in combinatie met MFA is voor ons een must. Hieronder een aantal punten die belangrijk zijn bij het kiezen van een wachtwoord. 

Vereisten voor wachtwoorden 

Je herkent het waarschijnlijk wel. Bij het aanmaken van een wachtwoord moet je aan allerlei regels voldoen. Uit onderzoek blijkt dat dit vrijwel altijd resulteert in een zwakker wachtwoord. Vereisten voor lengte, speciale tekens en wachtwoordwijzigingen leiden allemaal tot een normalisatie van wachtwoorden, waardoor aanvallers ze gemakkelijk kunnen raden of kraken. Als de lengte bijvoorbeeld minstens zestien tekens moet hebben, kiezen mensen vaak voor een herhaald patroon zoals “viervierviervier” of “wachtwoordwachtwoord”. Ook wordt de kans vergroot dat mensen hun wachtwoord gaan opschrijven of onversleuteld opslaan. Een minimumlengte van acht tekens is daarom redelijk en maakt het voor iemand eenvoudiger om een uniek wachtwoord te bedenken.  

Bekende patronen 

Er zijn inmiddels veel bekende patronen die wij gebruiken en cybercriminelen natuurlijk ook. Hoe zorg jij bijvoorbeeld dat je voldoet aan de wachtwoordeisen hoofdletters, kleine letters en symbolen? Veel mensen gebruiken een hoofdletter als eerste teken en zetten een symbool zoals uitroepteken aan het einde. Ook vervangingen van “$ voor “s”, “@” voor “a” en “1” voor “l” komen heel vaak voor. Cybercriminelen weten dit ook en nemen deze informatie mee in hun aanvallen. 

Periodiek je wachtwoord veranderen, slim? 

Lang is gedacht dat je wachtwoord regelmatig wijzigen veel veiligheid met zich meebrengtToch blijkt uit onderzoek dat dit misschien niet zo’n goede maatregel is. Ook is het volgens Microsoft een achterhaalde en zo goed als zinloze maatregel. “Als mensen gedwongen worden om hun wachtwoorden te wijzingen, maken ze te vaak kleine voorspelbare aanpassingen aan hun bestaande wachtwoorden en/of vergeten hun nieuwe wachtwoorden.” Denk aan “Wachtwoord1!” dat vervangen wordt door “Wachtwoord2!” 

Microsoft Authenticator

Maak een sterk wachtwoord met een wachtwoordgenerator 

Met een wachtwoordgenerator genereer je een sterke, unieke wachtwoordsuggestie. Hiermee maak je voor ieder account een uniek wachtwoord en voorkom je persoonlijke wachtwoorden, zoals de namen van je kinderen, viervoeters, favoriete voetbalclubs of biermerkenVaak bieden wachtwoordmanagers deze functionaliteit. Een wachtwoordmanager is een handige tool die al je wachtwoorden veilig opslaat in een versleutelde database. Bekende wachtwoordmanagers zijn LastPass, 1Password of de nieuwste wachtwoordmanager van Microsoft in de Authenticator app.

 

Naar de toekomst: Passwordless 

MFA is een uitstekende manier om je organisatie te beveiligen, maar je moet alsnog een wachtwoord onthouden. En waar wachtwoorden moeten zorgen voor veiligheid, bereiken we soms juist het tegenovergestelde effect. Post-its met wachtwoorden, Word-documenten of notities met wachtwoorden, mailcontact over wachtwoorden. Het zorgt allemaal voor kwetsbaarheid.  

Daarom is een nieuwe denkwijze ontstaan: wat als we wachtwoorden simpelweg loslaten? Dat klinkt misschien eng, maar zonder wachtwoorden ben je veel veiliger af. Enkel inloggen met je authenticator app, vingerafdruk, gezichtsherkenning of pincode. Handelingen en informatie die alleen jijzelf kunt doen of weten. En omdat er nu nog maar één handeling verricht hoeft te worden, geeft het meer gebruiksgemak. Mogelijkheden die nu aangeboden worden zijn: 

  • Windows Hello voor Bedrijven 
  • Microsoft Authenticatorapp 
  • FIDO2-beveilgingssleutels 

Bekijk in de onderstaande video van Microsoft hoe password-less inloggen werkt.