2
Mar
2015

Hoe ga je verstandig om met wachtwoorden?

Iedereen heeft tegenwoordig minimaal één wachtwoord wat ze moeten onthouden, maar er zijn genoeg mensen, die meer dan 10 wachtwoorden moeten onthouden voor allerlei verschillende accounts. Hoe ga je nou verstandig om met wachtwoorden?

Een wachtwoord in combinatie met een gebruikersnaam is een middel om toegang te krijgen tot netwerken, e-mail, databases, websites, etc. In de praktijk blijkt dat veel wachtwoorden nog steeds gemakkelijk te achterhalen zijn. Dit is niet alleen gevaarlijk vanwege de dreiging van hackers, maar ook vanwege steeds slimmere virussen en wormen. Veel van alle problemen met netwerk- en systeembeveiliging worden nog steeds veroorzaakt door slecht gebruik van wachtwoorden. Het omgaan met, en beheren van wachtwoorden is dus een belangrijk gegeven op het gebied van informatiebeveiliging. Een beter gebruik van wachtwoorden kan veel beveiligingsincidenten voorkomen en daarmee bijdragen aan een hoger niveau van beveiliging.

Veel mensen maken gebruik van meerdere wachtwoorden. De schattingen lopen uiteen, maar het aantal wachtwoorden per gebruiker zal in elk geval nog veel verder toenemen. Voor het kiezen van een goed wachtwoord zijn een aantal algemene richtlijnen te geven. Dit artikel helpt de gebruiker van een wachtwoord met het kiezen van een goed wachtwoord. Het is belangrijk dat alle personen, die binnen uw organisatie gebruik maken van wachtwoorden, op de hoogte zijn van deze richtlijnen; één zwakke schakel kan de ketting immers doen breken. Naast aandacht voor het gebruik van wachtwoorden, wordt ook aandacht besteed aan het beheren van wachtwoorden. Voor het beheren van wachtwoorden worden een aantal aanvullende punten gegeven.

Goede en slechte wachtwoorden

Het is belangrijk om zorgvuldig met wachtwoorden om te gaan. Er bestaan helaas geen wachtwoorden die altijd en in alle omstandigheden ‘goed’ zijn. Er bestaan echter wel wachtwoorden die altijd en in alle omstandigheden ‘slecht’ zijn. Slechte wachtwoorden kunnen gemakkelijk achterhaald worden en vormen daarmee een risico voor uw organisatie. Slechte wachtwoorden zijn o.a.:

  • Wachtwoorden die uitsluitend uit letters of cijfers bestaan; een eenvoudig computerprogramma kan zo’n wachtwoord redelijk snel kraken;
  • Een wachtwoord dat direct of indirect met jezelf verbonden is; denk aan je familienaam, roepnaam, naam van je huisdier, adres, loginnaam, etc. Ook een combinatie van persoonlijk gebonden woorden is risicovol;
  • Een woord uit een woordenboek. Bestaande woorden zijn door computerprogramma’s makkelijk te checken. Ook woorden, plaatsnamen en eigennamen uit een andere taal zijn eenvoudig te herleiden. Ook varianten op bestaande woorden, zoals het achterstevoren spellen of gebruik maken van hoofdletters, zijn een eenvoudige prooi voor een kraker;
  • Geen wachtwoord! Het klinkt onnozel maar komt helaas vaak voor. Veel gebruikers vinden al die wachtwoorden maar lastig en besluiten daarom geen wachtwoord te gebruiken. Het is verbazingwekkend hoe vaak met een simpele druk op ‘enter’ een beveiligde omgeving kan worden geopend.

Wat voor wachtwoorden moeten dan wel worden gebruikt? Eigenlijk is de term ‘goed wachtwoord’ enigszins misleidend en moet er gesproken worden van ‘minder slechte wachtwoorden’. Elk wachtwoord is immers te kraken. Er zijn echter een aantal omstandigheden die een wachtwoord beter maken. Voor het aanmaken van een ‘goed’ wachtwoord dient er rekening gehouden te worden met onder meer de volgende omstandigheden:

  • Gebruik wachtwoorden die ten minste uit 8 tekens bestaan;
  • Maak, indien mogelijk, zinnen (passphrases);
  • Maak wachtwoorden die bestaan uit hoofdletters, kleine letters, cijfers en leestekens (bijvoorbeeld dEITju3isT#v2 i.p.v. ITJURIST);
  • Gebruik een wachtwoord dat je kunt onthouden;
  • Wijzig je wachtwoord een aantal keren per jaar. Zorg er wel voor, dat er geen regelmaat in de wijzigingen bestaat. Dus niet elke drie maanden veranderen, maar dan weer na 4 maanden en de volgende keer na 1 maand het wachtwoord aanpassen. Regelmaat en goede wachtwoorden kunnen elkaar niet verdragen. Als je er voor kiest om je wachtwoord te wijzigen, doe het dan goed. Gebruik nooit een wachtwoord dat je al gebruikt hebt, maar kies voor een volledig nieuw wachtwoord. Gebruik ook nooit wachtwoorden die regelmatig oplopen (bijvoorbeeld van dEITju3isT#v2 naar dEITju3isT#v3);
  • NOGMAALS; gebruik geen eigennamen, persoonlijke informatie of woorden uit een woordenboek!!!

Beheren van wachtwoorden

Met het aanmaken van een ‘goed’ wachtwoord is de gebruiker van het wachtwoord er nog niet. Een ‘goed’ wachtwoord kan vaak door onveilig gebruik toch eenvoudig worden achterhaald. Het omgaan met wachtwoorden dient dan ook zorgvuldig te geschieden. Om een wachtwoord exclusief te houden, dient de gebruiker onder andere de volgende richtlijnen te respecteren:

  • Schrijf het wachtwoord NOOIT op;
  • Vertel aan niemand wat je wachtwoord is. Het kan gebeuren dat je een e-mail krijgt waarin gevraagd wordt om je wachtwoord te geven. Doe dit dus NIET! Stuur deze e-mail door naar je netwerkbeheerder of stel de persoon die verantwoordelijk is voor de informatiebeveiliging binnen de organisatie op de hoogte;
  • Gebruik nooit hetzelfde wachtwoord voor verschillende systemen, maar gebruik voor ieder systeem een ander wachtwoord;
  • Typ je wachtwoord altijd snel in. Sommige mensen zijn een meester in het afkijken en onthouden wat er ingetikt wordt op het toetsenbord. Houd hier vooral rekening mee in openbare ruimtes, maar ook op de werkplek is het (helaas) een beproefde methode. Kijk dus goed uit voor meekijkers;
  • Het is mogelijk om uw browser wachtwoorden automatisch te laten opslaan. Bij een volgend bezoek is het dan niet nodig het wachtwoord opnieuw in te typen. Het kan echter ook zijn, dat er iemand anders dan uzelf achter het beeldscherm zit en dus toegang krijgt tot een beveiligde omgeving, zonder zelf een wachtwoord in te hoeven voeren. Doe dit dus NIET!
  • Is je wachtwoord, ondanks alles, toch in andere handen gevallen, raak dan niet in paniek maar handel snel. Meldt het incident bij de beheerder of andere verantwoordelijke persoon binnen de organisatie, verander je wachtwoord en check of er iets in het systeem is veranderd of verwijderd.

Vaak is er binnen een organisatie een persoon belast met de informatiebeveiliging. Het beheren van wachtwoorden valt onder zijn of haar verantwoordelijkheid. Het is belangrijk dat het voor iedereen binnen de organisatie duidelijk is dat, indien er problemen zijn met een wachtwoord, men met vragen bij hem of haar terechtkan. Een beheerder kan echter ook het wachtwoordbeleid binnen een organisatie sturen en begeleiden. De volgende punten zal de beheerder in overweging moeten nemen:

  • Een ‘goed’ wachtwoord bestaat uit tenminste 8 tekens en dient een aantal keer per jaar (onregelmatig) te worden gewijzigd. Dit kan je de gebruiker vertellen, maar de ervaring leert, dat zij dit niet altijd trouw doen. Een beheerder kan de instellingen van een systeem dusdanig aanpassen, dat de gebruiker hiertoe ‘gedwongen’ wordt;
  • Indien de gebruiker een wachtwoord wil aanmaken van minder dan 8 tekens zal het systeem hem hierop kunnen attenderen en de procedure opnieuw aanvangen. Ook zal de gebruiker periodiek op de hoogte gesteld kunnen worden van het feit, dat hij zijn wachtwoord al bijvoorbeeld 3 maanden niet veranderd heeft;
  • Het is het beste als een beheerder bevoegdheden uitgeeft op een “need to have basis”;
  • Het is belangrijk, dat de beheerder de beschikking heeft over een reserve ‘root’. Indien het wachtwoord van de normale ‘root’ gekraakt is kan de beheerder verder op de reserve ‘root’;
  • De beheerder dient er zorg voor te dragen dat de wachtwoorden nooit in ‘cleartext’ worden opgeslagen of verstuurd, maar dat er gebruik wordt gemaakt van cryptografie en/of versleutelde tunnels.

Het aanmaken en beheren van wachtwoorden is slechts een onderdeel van een groter geheel; het beveiligingsbeleid. Elke organisatie is uniek en het is dan ook niet in het algemeen aan te geven aan welk niveau van beveiliging uw organisatie moet voldoen. Neem gerust contact op met ons om u daarover nader te laten adviseren.