Uit onderzoek van tijdschrift tijdschrift Channel Insider en de IT-professionals van ComptTIA blijkt dat 43 procent van de onderzochte bedrijven een zwak beleid voert op het gebied van wachtwoorden. Dat komt met name naar voren wanneer het gaat om handhaving van gestelde eisen, en het verschil tussen beleid in theorie en het werkelijke beleid in de praktijk.

‘Zonnebloem grootste probleem’

Stel nu dat je toch een keurig uitgedacht, streng beleid hebt ontwikkeld waarbij iedere gebruiker een gemengd alfanumeriek wachtwoord bij verschillende applicaties en systemen moet gebruiken. Wat dan als het toch gebeurt dat ‘zonnebloem’-gebruikers hun monitoren volplakken met gele PostIt-briefjes omdat ze de moeilijke wachtwoorden niet meer kunnen onthouden? Blogger Larry Walsh van Channel Insider kreeg deze vraag voorgelegd en kon geen eenduidig antwoord geven.

Volgens Walsh wordt het probleem nog lastiger als die moeilijke wachtwoorden als ‘hJss443snN#’ elke 30 of 60 dagen vervangen moeten worden. Ook het roteren van wachtwoorden binnen organisaties, wat ook dikwijls gebeurt, helpt hier niet bij. Gebruikers blijven de wachtwoorden opschrijven, onderkent Walsh. Hij streept bij de kwestie aan dat wachtwoordbeheer organisaties bakken met geld kost. Zo vergt het tijd van helpdesks om verloren wachtwoorden te resetten, maar ook de ontwikkeling van een geautomatiseerd wachtwoordensysteem, dat vragen stelt als ‘de meisjesnaam van je moeder?’, kost een behoorlijke som.

Social networking

Bovendien is een dergelijk systeem met ‘geheime’ vragen nooit waterdicht, zo stelt Walsh. Voor veel hackers is het makkelijk om via sociale netwerken als Twitter en Hyves achter de geboorteplaats of de naam van het huisdier te komen. Zo werd ook het e-mailaccount van de vrouw van Twitterbaas Evan Williams op deze manier gehacked[/url, waardoor de begroting van Twitter op straat kwam te liggen.

Walsh raadt bedrijven aan vooral het gezond verstand te laten spreken wanneer het gaat om wachtwoordbeheer. Schrijf nooit je wachtwoorden op een memobriefje en automatiseer het systeem zo dat de wachtwoorden toch regelmatig ververst blijven. Verschillende commentators op het artikel van Walsh komen ook met handige tips. “Ik raad mensen aan wachtwoorden op papier te schrijven. Daarbij vraag ik ze de briefjes niet op de monitor te plakken, maar in een la te doen die ook op slot kan”, schrijft Keith Irwin [url=http://it.slashdot.org/story/09/08/08/1927252/Poor-Passwords-A-Worse-Problem-Than-Poor-Antivirus?from=rss]op Slashdot.

Controle achteraf

Ene Manip onderstreept dat controle net zo belangrijk is als de wachtwoorden zelf. Zo zou iedere organisatie moeten controleren wat er aan de hand is als er veel verkeerd wordt ingelogd. Ook moeten organisaties de snelheid waarmee het mogelijk is wachtwoorden in te vullen reguleren (dus geen 60 inlogpogingen per minuut toelaten). Tot slot moeten verkeerde inlogpogingen worden opgeslagen en nagegaan. ‘Waarom komt er anders toch 14 keer per week een poging uit China bij ons bedrijf binnen?’

Bron: Techworld