De regels voorwachtwoorden luiden onveranderlijk als volgt:

* Schrijf je wachtwoorden niet op

* Zorg ervoor dat je wachtwoord lang is, complex en gebruik geen woord uit het woordenboek

* Laat je wachtwoorden niet onthouden door browsers

De meerderheid van de beveiligingsmaatregelen zijn nog steeds afhankelijk van de zwakste schakel, de combinatie van gebruikersnaam en wachtwoord. Maar voldoet deze aanpak nog wel in een wereld van keyloggers en trojans? Kunnen we nog vertrouwen op het wachtwoord, en zo ja, voldoen de bovenstaande regels dan nog? Zelf zou ik beide vragen beantwoorden met een volmondig ‘neen’.

Verouderd

Laten we eerlijk zijn, beveiliging die is gebaseerd op wachtwoorden is verouderd sinds de eerste keyloggers verschenen. Nu er hardware keyloggers, software keyloggers, trojans en schoudersurfen bestaat, is het hele idee van een ‘geheim wachtwoord’ in feite een lachertje. Bedrijven zouden er goed aan doen om dat hele wachtwoord overboord te zetten om in plaats daarvan Multi-factor authenticatie te gaan gebruiken, als de prijzen eenmaal wat zijn gezakt en de technologie iets gemakkelijker wordt in het gebruik. Voor het zover is zitten we nog aan de wachtwoorden vast, en moeten we maar eens goed gaan kijken of die gouden regels nog steeds opgaan.

Schrijf je wachtwoord niet op. In ons bedrijf is het opschrijven van je wachtwoord niet verboden. Het is werknemers zeker toegestaan om hun wachtwoorden op te schrijven, als ze maar opgeborgen zitten in een lade die op slot kan, en zolang de papiertjes met het wachtwoord het pand maar nooit verlaten. Doordat ze hun wachtwoorden opschrijven, zijn werknemers in staat om langere wachtwoorden te gebruiken zonder ze te vergeten, en ze zijn minder geneigd om de naam van hun hond te kiezen als wachtwoord. Doordat ze in een lade met slot liggen, moeten krakers alvast een echt misdrijf plegen om de wachtwoorden te achterhalen. Bovendien moeten ze de fysieke beveiliging doorbreken.

Zorg ervoor dat je wachtwoord lang is, complex en gebruik geen woord uit het woordenboek. Als er op je machine een keylogger staat, wat trekt dan meer aandacht? Het aanroepen van de website van een bank, gevolgd door ‘mru23%ja&RW*rs’, of door “Jaap, ik kom wat later naar de vergadering, dus begin maar zonder mij. Peter”. Keyloggers zijn het grootste gevaar voor de veiligheid. En een random wachtwoord valt niet alleen meer op voor iemand die de keylogs doorneemt, ze kunnen zelfs automatisch gedetecteerd worden, door middel van statistieken of door een woordenboekfilter die alle natuurlijke taal er uithaalt. Misschien wordt het tijd om onschuldige zinnen te gaan gebruiken.

Laat wachtwoorden niet onthouden door browsers. Deze regel is misschien het meest schadelijk. Als de grootste dreiging uitgaat van keyloggers, dan is het gevaarlijkste wat je kunt doen steeds weer je wachtwoorden intypen. Als je ze in plaats daarvan door de browser kunt laten onthouden, of op kunt slaan in een wachtwoordkluis, dan hoef je ze niet steeds in te tikken. Zelf gebruik ik een lang master wachtwoord voor de keystore van mijn browser waarin ik al mijn wachtwoorden bewaar.

Nieuwe regels

Uiteindelijk gaat het er vooral om hoe de beveiliging werkt zoals die echt wordt toegepast, rekening houdend met de bedreigingen en de gewoonten van de gebruikers. Soms moet je nieuwe regels bedenken om het hoofd te bieden aan nieuwe bedreigingen en veranderende gewoonten, zelfs als je zeker weet dat je op grote tegenstand gaat stuiten omdat je het nut van een paar ‘regels’ in twijfel trekt.

Bron: Techworld