CPRM CPRM

Blog & Whitepapers

Breadcrumbs

Blogs & Whitepapers

Wachtwoord houdbaarheidsdatum: nut of gevaar?

Gegevens

Is het tijd om de houdbaarheidsdatum van wachtwoorden te vergeten?

Nog vaak zien wij organisaties die een wachtwoordhoudbaarheidsdatum instellen van 60 of 90 dagen. Op zich logisch te verklaren omdat jaren geleden nog werd gedacht dat wachtwoorden zo’n 90 dagen duurden om gekraakt te worden. Het werd ‘de norm’ en helaas is deze norm niet met de tijd meegegaan. Hackers wél.

Risico’s van het vaak veranderen van wachtwoorden

Meerdere onderzoeken in de afgelopen jaren hebben al aangetoond dat het vaak veranderen van wachtwoorden meer slecht dan goeds doet. Sterker nog, het lijkt erop dat jouw risk exposure (blootstelling aan risico’s) alleen maar toeneemt.

Verouderde dreigingsmodel

In de afgelopen 20 jaar zijn zowel technologie las het dreigingsmodel sterk veranderd. Waar het vroeger inderdaad 90 dagen duurde om een wachtwoord te kraken duurt het tegenwoordig slechts enkele seconden, dankzij AWS.

Oogsten in plaats van kraken

Het grootste risico voor jouw wachtwoord is niet langer het kraken ervan maar het ‘oogsten’ (harvesting).

Manieren om uw gegevens te ‘oogsten’:

  • Cybercriminelen infecteren uw computer met zogeheten ‘keystroke loggers’. Een keylogger is een programma of een stuk hardware waarmee men de toetsaanslagen tot zelfs de muisbewegingen van een computergebruiker kan registreren.
  • ‘Oogsten’ / verzamelen data via phishing websites. Phishing websites zijn nep-websites die sprekend lijken op de website waar je op hoopte te belanden, bijvoorbeeld van jouw bank. Het is soms niet goed te zien dat je op een phishing website bent beland.
  • Mensen delen of hergebruiken wachtwoorden. Niet voor niets wordt er gewaarschuwd voor wachtwoorden als ‘welkom123’ en ‘secret’. De mens is een gewoontedier en heeft tegenwoordig ontzettend veel inloggegevens nodig voor allerlei websites. Een gewoontedier zal natuurlijk geen aparte wachtwoorden bedenken voor al die 100 verschillende websites. Dat zullen variaties zijn op één of twee wachtwoorden. Dat beseffen gewoontedieren zich vaak niet omdat men niet meteen (of überhaupt) iets merkt van ‘gehackt’ te zijn, maar hackers beseffen zich dit maar al te goed en maken hier flink gebruik van.
  • Social Engineering aanvallen via de telefoon. Social Engineering is een vorm van hacking waarbij de hacker het slachtoffer belt en via pure manipulatie mensen zover krijgt handelingen te laten verrichten die vertrouwelijke informatie verschaft aan de hacker.

The Human Factor Risk

Hierboven hadden wij het al over mensen die op links klikken en op phishing websites komen, mensen die ergens op klikken en zo keyloggers verwelkomen zonder dat zij het zelf weten, dat mensen gewoontedieren zijn met veel variaties op één of twee bekende wachtwoorden en dat men via telefonische social engineering vertrouwelijke data kan verschaffen aan kwaadwillenden. De mens is hier, de zwakste schakel. En daar maken hackers dankbaar gebruik van.

Het is tijd om niet alleen onze systemen, maar ook onze kennis te updaten!

We weten nu dat de mens een groot risicofactor is. De kans dat het verzoek om elke 90 dagen een nieuw wachtwoord te verzinnen, hele sterke wachtwoorden genereerd, is zeer klein. Wachtwoordhoudbaarheid had ooit een nut. Maar dat is nu verleden tijd en je zou er verstandig aan doen om deze ‘eis’ uit jouw organisatie te faseren.

Een aantal tips:

  • Allereerst moet je weten dat je er goed aan doet om onderstaande tips te gebruiken maar dat je nog steeds risico loopt als je jouw personeel niet óók een Cybersecurity Awareness Training geeft en regelmatig dit als agendapunt benoemd tijdens allerlei vergadermomenten. Daarmee ‘leeft’ het meer in de organisatie en snapt men (dankzij een cybersecurity awareness training) de risico’s en verklein je risico’s voor jouw organisatie.
  • Wachtzinnen zijn aan te raden. Het gaat hierbij om lengte en niet zozeer om complexiteit. Gebruik vooral veel hoofdletters en symbolen.
  • Zorg dat elk bedrijfsaccount een uniek wachtwoord heeft. Zo kun je, in geval van een aangetast wachtwoord, de andere accounts beschermen.
  • Gebruik password managers. Dit zijn programma’s die jouw wachtwoorden in een zogenaamde kluis bewaren, encrypten en beveiligd weergegeven worden tijdens het inlogproces.
  • Gebruik waar mogelijk twee-factor authenticatie, ook wel 2FA genaamd of in het Engels Two Factor Authentication of Multi-factor. Het principe van twee factoren voor een inlogproces maakt gebruik van iets dat je weet (jouw wachtwoord) en iets wat je hebt (jouw mobiele telefoon of vingerafdruk, etc.). Heeft een hacker jouw wachtwoord, dan kunnen zij er niets mee omdat zij niet jouw mobiele telefoon of vingerafdruk hebben.
  • Gebruik tenminste één symbool in jouw wachtwoorden. En zorg dat wachtwoorden/-zinnen 20 tekens lang zijn.
  • Vermijd vindbare persoonlijke informatie zoals, naam van huisdieren of de meisjesnaam van jouw moeder.
  • Voorkom herhalingen en variaties van wachtwoorden
  • Deel jouw wachtwoord niet. Ook niet met collega’s.
  • Schrijf jouw wachtwoorden niet op

Wilt u meer informatie?

CPRM helpt je graag om uw risco's in kaart te brengen en passende organisatorische en technische maatregelen te implementeren. Neem vrijblijvend contact met ons op voor meer informatie of bekijk onze trainingen.

Bron: Sans Security Awareness



Interessante artikelen

Copyright © 2025 CPRM. Alle rechten voorbehouden.
Privacy Statement