Wachtwoordbeleid toepassen

Wachtwoordaanbevelingen begrijpen

Goede wachtwoordpraktijken kunnen globaal in een aantal categorieën worden onderverdeeld:

• • Algemene aanvallen tegengaan Dit omvat de keuze waar gebruikers wachtwoorden invoeren (bekende en vertrouwde apparaten met goede malwaredetectie, goedgekeurde sites) en de keuze van het wachtwoord (lengte en uniekheid).

• • Succesvolle aanvallen beheersen Om succesvolle hackeraanvallen te beheersen, moet u de blootstelling aan een specifieke service beperken, of dat soort schade helemaal voorkomen, als het wachtwoord van een gebruiker wordt gestolen. U doet dit bijvoorbeeld door te verzekeren dat een lek van uw sociale-netwerkgegevens uw bankrekening niet kwetsbaar maakt, of door geen koppelingen voor opnieuw instellen te accepteren voor een belangrijk account dat niet zo goed wordt beveiligd.
  • De menselijke aard begrijpen Veel geldige wachtwoordpraktijken falen in de aanwezigheid van natuurlijk menselijk gedrag. Het is essentieel de menselijke aard te begrijpen, want uit onderzoek blijkt dat vrijwel elke regel die u uw gebruikers oplegt in een zwakker wachtwoord resulteert. Vereisten voor lengte, speciale tekens en wachtwoordwijziging resulteren allemaal in normalisatie van wachtwoorden, waardoor aanvallers ze gemakkelijker kunnen raden of kraken.

Wachtwoordrichtlijnen voor beheerders

Het voornaamste doel van een veiliger wachtwoordsysteem is wachtwoorddiversiteit. U wilt dat uw wachtwoordbeleid veel verschillende en moeilijk te raden wachtwoorden bevat. Hier volgen enkele aanbevelingen om uw organisatie zo veilig mogelijk te houden.

• Vereis een minimumlengte van acht tekens (langer is niet per se beter)
• Vereis niet wat voor soort tekens er moeten worden gebruikt, bijvoorbeeld *&(^%$
• Vereis niet dat wachtwoorden regelmatig opnieuw moeten worden ingesteld voor gebruikersaccounts
• Verbied algemene wachtwoorden om de meest kwetsbare wachtwoorden uit uw systeem te houden
• Vertel uw gebruikers dat ze hun organisatiewachtwoorden niet moeten hergebruiken voor niet-werkgerelateerde doeleinden
• Dwing registratie voor meervoudige verificatie af
• Schakel risicogebaseerde meervoudige verificatie in

Wachtwoordrichtlijnen voor uw gebruikers

Hier volgen enkele wachtwoordrichtlijnen voor gebruikers in uw organisatie. Vertel uw gebruikers over deze aanbevelingen en dwing het aanbevolen wachtwoordbeleid op organisatieniveau af.

• Gebruik geen wachtwoord dat hetzelfde of vrijwel hetzelfde is als een wachtwoord dat u op andere websites gebruikt
• Gebruik niet één woord, bijvoorbeeld wachtwoord, of een veelgebruikte uitdrukking zoals ikhouvanje
• Zorg dat wachtwoorden moeilijk te raden zijn, zelfs door degenen die u goed kennen, en gebruik dus niet de namen en verjaardagen van uw vrienden en familie, uw favoriete bands of uitdrukkingen die u vaak gebruikt

Enkele algemene benaderingen en hun negatieve impacts

Hier volgen enkele van de meest gebruikte wachtwoordbeheerpraktijken, hoewel onderzoek ons waarschuwt over de negatieve impacts daarvan.

Wachtwoordverloopvereisten voor gebruikers

Wachtwoordverloopvereisten doen meer kwaad dan goed, omdat gebruikers hierdoor voorspelbare wachtwoorden kiezen, bestaande uit opeenvolgende woorden en cijfers die nauw verwant zijn met elkaar. In deze gevallen kan het volgende wachtwoord worden voorspeld aan de hand van het vorige wachtwoord. Wachtwoordverloopvereisten bieden geen beheersingsvoordelen, omdat cybercriminelen gegevens vrijwel altijd meteen gebruiken zodra ze die te pakken hebben.

Lange wachtwoorden vereisen

Wachtwoordlengtevereisten (langer dan ongeveer tien tekens) kan resulteren in voorspelbaar en ongewenst gebruikersgedrag. Gebruikers die bijvoorbeeld een wachtwoord van minstens zestien tekens moeten hebben, kiezen misschien voor een herhaald patroon zoals viervierviervier of wachtwoordwachtwoord, dat wel aan de tekenlengtevereiste voldoet maar niet moeilijk te raden is. Bovendien vergroten lengtevereisten de kans dat gebruikers andere onveilige praktijken gebruiken, zoals hun wachtwoorden opschrijven, hergebruiken of onversleuteld opslaan in hun documenten. Om gebruikers aan te moedigen een uniek wachtwoord te bedenken, raden we aan een redelijke minimumlengte van acht tekens te vereisen.

Het gebruik van meerdere tekensets vereisen

Vereisten voor wachtwoordcomplexiteit reduceren belangrijke ruimte en leiden ertoe dat gebruikers op voorspelbare manieren handelen, wat meer kwaad dan goed doet. De meeste systemen dwingen een bepaalde mate van wachtwoordcomplexiteit af. Wachtwoorden moeten bijvoorbeeld tekens uit de volgende drie categorieën bevatten:

• hoofdletters
• kleine letters
• niet-alfanumerieke tekens

De meeste mensen gebruiken hetzelfde soort patroon, bijvoorbeeld een hoofdletter als eerste teken, een symbool als laatste teken en een cijfer als een van de laatste twee tekens. Cybercriminelen weten dit en voeren hun woordenboekaanvallen dus uit met de meest gebruikte vervangingen, zoals “$” voor “s”, “@” voor “a” en “1” voor “l”. Uw gebruikers dwingen een combinatie van hoofdletters, kleine letters, cijfers en speciale tekens te kiezen heeft een negatief effect. Sommige complexiteitsvereisten voorkomen zelfs dat gebruikers veilige en gemakkelijk te onthouden wachtwoorden kunnen gebruiken, en dwingen hen minder veilige en moeilijker te onthouden wachtwoorden te verzinnen.

Succesvolle patronen

Hier volgen enkele aanbevelingen voor het aanmoedigen van wachtwoorddiversiteit.

Verbied algemene wachtwoorden

De belangrijkste wachtwoordvereiste die u uw gebruikers moet opleggen wanneer ze wachtwoorden bedenken, is het gebruik van algemene wachtwoorden te verbieden om uw organisatie zo min mogelijk bloot te stellen aan wrede wachtwoordaanvallen. Algemene gebruikerswachtwoorden zijn onder meer abcdefg, wachtwoord en aap.

Vertel gebruikers organisatiewachtwoorden nergens anders te hergebruiken

Een van de belangrijkste dingen die u gebruikers in uw organisatie moet vertellen, is hun organisatiewachtwoorden nergens anders te hergebruiken. Wanneer organisatiewachtwoorden op externe websites worden gebruikt, is de kans veel groter dat cybercriminelen deze wachtwoorden te pakken krijgen.

Dwing registratie voor meervoudige verificatie af

Zorg ervoor dat uw gebruikers hun contact- en beveiligingsgegevens bijwerken, zoals een alternatief e-mailadres, een telefoonnummer of een apparaat dat is geregistreerd voor pushmeldingen, zodat ze kunnen reageren op beveiligingsvragen en op de hoogte kunnen worden gesteld van beveiligingsgebeurtenissen. Bijgewerkte contact- en beveiligingsgegevens helpen gebruikers hun identiteit te verifiëren als ze hun wachtwoord ooit vergeten of als iemand anders hun account probeert over te nemen. Het biedt ook een out-of-band meldingskanaal in het geval van beveiligingsgebeurtenissen zoals aanmeldingspogingen of gewijzigde wachtwoorden.

Schakel risicogebaseerde meervoudige verificatie in

Risicogebaseerde meervoudige verificatie verzekert dat wanneer ons systeem verdachte activiteiten detecteert, de gebruiker kan worden gecontroleerd om te verifiëren dat hij de legitieme accounteigenaar is.