Tien tips voor het beheren van wachtwoorden
Wachtwoorden mogen dan hun langste tijd gehad hebben, voor de meeste bedrijven is het nog altijd het belangrijkste authenticatiemiddel. Tot de tijd dat technologie het laatste wachtwoord vervangt is het belangrijk om wachtwoorden goed te beheren. De volgende 10 Tips moeten daarbij helpen:
- Schrijf wachtwoorden niet op: Als het personeel dit toch doet, dan is het systeem te complex.
- Stel het wachtwoord ook in: Te vaak wordt het standaard wachtwoord niet vervangen.
- Gebruik zo min mogelijk wachtwoorden: Teveel wachtwoorden zorgen ervoor dat mensen ze opschrijven of vergeten.
- Wijzig regelmatig de wachtwoorden: Het delen van wachtwoorden is nog altijd populair. Het wijzigen voorkomt dat wachtwoorden in de verkeerde handen vallen of blijven.
- Maak nieuwe wachtwoorden ook echt nieuw. Door het wijzigen van één karakter krijg je geen nieuw wachtwoord.
- Gebruik geen standaard en makkelijk te raden wachtwoorden.
- Gebruik lange wachtwoorden, maar niet te lang. Personeel zal bij te lange wachtwoorden makkelijk te raden oplossingen kiezen.
- Automatiseer het wijzigen van wachtwoorden.
- Onderwijs het personeel in het gebruik van wachtwoorden.
- Kijk naar de toekomst, zoals biometrie en twee-factor authenticatie.
Reacties (9)
Gebruik lange wachtwoorden, maar niet te lang.
Personeel zal bij te lange wachtwoorden makkelijk te raden
oplossingen kiezen.
Personeel zal bij te lange wachtwoorden makkelijk te raden
oplossingen kiezen.
Je moet zowiezo geen woorden gebruiken is de concensus dus
ga natuurlijke wijze getallen met nummers en speciale tekens
mixen.
Dit is voor mij persoonlijk al aanleiding om het op te
schrijven want anders vergeet ik het gewoonweg.
Je heb al met zoveel paswoorden tegenwoordig te maken op het
net, ik kan het echt niet allemaal onthouden.
met opschrijven heb ik geen probleem, mits het papier veilig opgebrogen
wordt en niet op buro's e.d. achtergelaten wordt.
Zo zegt ook de Code voor Informatiebeveiliging.
wordt en niet op buro's e.d. achtergelaten wordt.
Zo zegt ook de Code voor Informatiebeveiliging.
22-05-2006, 16:14 door
pipo
10. Enkel relevant als de waarde van de te beschermen data
niet de kosten van implementatie en onderhoud van
(bijvoorbeeld) biometrie overstijgt.
niet de kosten van implementatie en onderhoud van
(bijvoorbeeld) biometrie overstijgt.
22-05-2006, 17:05 door
inglorion
Hmm. Ik wil niet zeggen dat ik het er helemaal mee oneens
ben, maar ik hou ervan om de duivels advocaat te spelen. Dus:
Wachtwoorden mogen dan hun langste tijd gehad hebben
Oja? Daar weet ik niks van.
voor de meeste bedrijven is het nog altijd het
belangrijkste authenticatiemiddel.
Maar...ze hadden toch hun langste tijd gehad?
1. Schrijf wachtwoorden niet op: Als het personeel dit
toch doet, dan is het systeem te complex.
Dit zijn eigenlijk twee punten, die allebei heel belangrijk
zijn. Ten eerste dat je als gebruiker je wachtwoord niet op
moet schrijven, en ten tweede dat je als organisatie moet
zorgen dat gebruikers dat niet doen.
2. Stel het wachtwoord ook in: Te vaak wordt het
standaard wachtwoord niet vervangen.
Inderdaad. Dus zorg er als organisatie voor dat gebruikers
zelf een wachtwoord in _moeten_ stellen, voordat ze het
systeem kunnen gebruiken.
3. Gebruik zo min mogelijk wachtwoorden: Teveel
wachtwoorden zorgen ervoor dat mensen ze opschrijven of
vergeten.
En de reden dat mensen teveel wachtwoorden hebben is
meestal dat er teveel verschillende arbitraire regels zijn.
Bijvoorbeeld, sommige toepassingen vereisen dat een
wachtwoord tenminste 8 tekens heeft, terwijl anderen er
maximaal 5 toestaan (belachelijk maar waar).
5. Maak nieuwe wachtwoorden ook echt nieuw. Door het
wijzigen van één karakter krijg je geen nieuw wachtwoord.
En _dat_ is nou zo'n arbitraire regel waar ik liever zonder
zou doen. Nou moet je opeens een heel nieuw wachtwoord gaan
bedenken en onthouden...
8. Automatiseer het wijzigen van wachtwoorden.
Ja. Zoals onder punt 4 al genoemd werd. Natuurlijk moet je
als je als organisatie wil dat er bepaalde restricties op
wachtwoorden zitten (zoals hier dat ze niet langer dan een
bepaalde tijd kunnen worden gebruikt) ervoor zorgen dat
gebruikers die restricties niet kunnen omzeilen. Gebruikers
zijn lui (en zo hoort het) en zullen dus hun wachtwoord niet
wijzigen als je ze niet dwingt. Aan de andere kant geldt ook
weer: als je het te rigoreus doet, gaan ze wachtwoorden
opschrijven.
9. Onderwijs het personeel in het gebruik van wachtwoorden.
En, als je toch bezig bent, nog een hele reeks andere
beveiligingsonderwerpen. Je kunt nog zulke goede
wachtwoorden hebben binnen je organisatie, als mensen
vervolgens media met onbeveiligde gevoelige gegevens in
huurauto's laten liggen...
10. Kijk naar de toekomst, zoals biometrie en twee-factor
authenticatie.
Ik zou zeggen: wacht tot de technologie zich bewezen heeft,
en overweeg dan om het te gaan toepassen. Anders heb je
straks veel geld gestoken in een nieuw systeem, al je
gebruikers geïrriteerd door ze te dwingen het te gebruiken,
en dan kom je erachter dat het helemaal niet beter is.
Gebeurt maar al te vaak.
ben, maar ik hou ervan om de duivels advocaat te spelen. Dus:
Wachtwoorden mogen dan hun langste tijd gehad hebben
Oja? Daar weet ik niks van.
voor de meeste bedrijven is het nog altijd het
belangrijkste authenticatiemiddel.
Maar...ze hadden toch hun langste tijd gehad?
1. Schrijf wachtwoorden niet op: Als het personeel dit
toch doet, dan is het systeem te complex.
Dit zijn eigenlijk twee punten, die allebei heel belangrijk
zijn. Ten eerste dat je als gebruiker je wachtwoord niet op
moet schrijven, en ten tweede dat je als organisatie moet
zorgen dat gebruikers dat niet doen.
2. Stel het wachtwoord ook in: Te vaak wordt het
standaard wachtwoord niet vervangen.
Inderdaad. Dus zorg er als organisatie voor dat gebruikers
zelf een wachtwoord in _moeten_ stellen, voordat ze het
systeem kunnen gebruiken.
3. Gebruik zo min mogelijk wachtwoorden: Teveel
wachtwoorden zorgen ervoor dat mensen ze opschrijven of
vergeten.
En de reden dat mensen teveel wachtwoorden hebben is
meestal dat er teveel verschillende arbitraire regels zijn.
Bijvoorbeeld, sommige toepassingen vereisen dat een
wachtwoord tenminste 8 tekens heeft, terwijl anderen er
maximaal 5 toestaan (belachelijk maar waar).
5. Maak nieuwe wachtwoorden ook echt nieuw. Door het
wijzigen van één karakter krijg je geen nieuw wachtwoord.
En _dat_ is nou zo'n arbitraire regel waar ik liever zonder
zou doen. Nou moet je opeens een heel nieuw wachtwoord gaan
bedenken en onthouden...
8. Automatiseer het wijzigen van wachtwoorden.
Ja. Zoals onder punt 4 al genoemd werd. Natuurlijk moet je
als je als organisatie wil dat er bepaalde restricties op
wachtwoorden zitten (zoals hier dat ze niet langer dan een
bepaalde tijd kunnen worden gebruikt) ervoor zorgen dat
gebruikers die restricties niet kunnen omzeilen. Gebruikers
zijn lui (en zo hoort het) en zullen dus hun wachtwoord niet
wijzigen als je ze niet dwingt. Aan de andere kant geldt ook
weer: als je het te rigoreus doet, gaan ze wachtwoorden
opschrijven.
9. Onderwijs het personeel in het gebruik van wachtwoorden.
En, als je toch bezig bent, nog een hele reeks andere
beveiligingsonderwerpen. Je kunt nog zulke goede
wachtwoorden hebben binnen je organisatie, als mensen
vervolgens media met onbeveiligde gevoelige gegevens in
huurauto's laten liggen...
10. Kijk naar de toekomst, zoals biometrie en twee-factor
authenticatie.
Ik zou zeggen: wacht tot de technologie zich bewezen heeft,
en overweeg dan om het te gaan toepassen. Anders heb je
straks veel geld gestoken in een nieuw systeem, al je
gebruikers geïrriteerd door ze te dwingen het te gebruiken,
en dan kom je erachter dat het helemaal niet beter is.
Gebeurt maar al te vaak.
Ik vind dat regels 4, 5 en 7 juist ervoor zorgen dat regel 1
gebeurd: Doordat je regelmatig echt nieuwe lange wachtworden
moet verzinnen, is het systeem eigenlijk te complex.
Ik moet op m'n werk maandelijks mijn password veranderen ...
dus wat doe je, zoals bijna iedereen, je verwerkt het
maandnummer erin ... dus ook iemand die je eenmalig je
password hebt gegeven, kan waarschijnlijk binnen 3x proberen
het juiste password wel achterhalen. Zou deze frequentie
minder hoog liggen, is het beter te doen om echt unieke
passwords te kiezen.
Uiteraard is het veranderen van een password goed, maar
eigenlijk vraag ik me af of periodiek vervangen echt nodig
is. Persoonlijk geef ik nooit m'n password aan iemand
anders, en het is een redelijk complex password (met
inderdaad het eerder geschetste probleem dat ik het niet
overal kan gebruiken), is een nieuw password dan echt
veiliger ? Ik betwijvel het.
gebeurd: Doordat je regelmatig echt nieuwe lange wachtworden
moet verzinnen, is het systeem eigenlijk te complex.
Ik moet op m'n werk maandelijks mijn password veranderen ...
dus wat doe je, zoals bijna iedereen, je verwerkt het
maandnummer erin ... dus ook iemand die je eenmalig je
password hebt gegeven, kan waarschijnlijk binnen 3x proberen
het juiste password wel achterhalen. Zou deze frequentie
minder hoog liggen, is het beter te doen om echt unieke
passwords te kiezen.
Uiteraard is het veranderen van een password goed, maar
eigenlijk vraag ik me af of periodiek vervangen echt nodig
is. Persoonlijk geef ik nooit m'n password aan iemand
anders, en het is een redelijk complex password (met
inderdaad het eerder geschetste probleem dat ik het niet
overal kan gebruiken), is een nieuw password dan echt
veiliger ? Ik betwijvel het.
23-05-2006, 11:57 door
Blowfish
Biometrie is prima geschikt voor authenticatie. En dan hoor ik de
opmerking al komen "maar een vingerafdruk is na te maken". Dat klopt,
maar een wachtwoord is vaak ook te kraken. En zo niet, dan zijn er tal van
andere manieren om de boel te hacken. Denk dat een vingerafdruk in
combinatie met een pincode voor veel dingen een afdoende beveiliging is.
Hangt er een beetje vanaf wat je probeert te beschermen. Irisscanners in
combinatie met een vingerafdruk kan natuurlijk ook, maar kost wat meer.
opmerking al komen "maar een vingerafdruk is na te maken". Dat klopt,
maar een wachtwoord is vaak ook te kraken. En zo niet, dan zijn er tal van
andere manieren om de boel te hacken. Denk dat een vingerafdruk in
combinatie met een pincode voor veel dingen een afdoende beveiliging is.
Hangt er een beetje vanaf wat je probeert te beschermen. Irisscanners in
combinatie met een vingerafdruk kan natuurlijk ook, maar kost wat meer.
24-05-2006, 09:18 door
carolined
Ben het helemaal eens met inglorion , de regels 4, 5 en 7 zijn idioot en
werken opschrijven van wachtwoorden in de hand.
Niet eens met Blowfish, een vingerafdruk is een kwartier te kraken en
daarna is ie permanent gecompromitteerd, hij is niet meer herbruikbaar op
anderen plekken, immers je hebt er maar 1 in gebruik (en maar 9 reserve).
En een pincode is al helemaal makkelijk van iemands toetsaanslagen af
te lezen, dat wordt bij bankfraudes maar al te vaak bewezen.
Een goed wachtwoord (in een goed operating system) kraken is heel wat
lastiger. Wordt ie (na veel moeite) toch gekraakt dan het het opnieuw
instellen van een goed wachtwoord voldoende om opnieuw dezelfde
bescherming te geven.
Nee, wachtwoorden zijn nog lang niet aan het einde van hun latijn. Ze
kunnen nog wel versterkt worden door 2 factor authenticatie, door een
goed wachtwoord (geen pincode) te combineren met het bezit van een
chipcard.
werken opschrijven van wachtwoorden in de hand.
Niet eens met Blowfish, een vingerafdruk is een kwartier te kraken en
daarna is ie permanent gecompromitteerd, hij is niet meer herbruikbaar op
anderen plekken, immers je hebt er maar 1 in gebruik (en maar 9 reserve).
En een pincode is al helemaal makkelijk van iemands toetsaanslagen af
te lezen, dat wordt bij bankfraudes maar al te vaak bewezen.
Een goed wachtwoord (in een goed operating system) kraken is heel wat
lastiger. Wordt ie (na veel moeite) toch gekraakt dan het het opnieuw
instellen van een goed wachtwoord voldoende om opnieuw dezelfde
bescherming te geven.
Nee, wachtwoorden zijn nog lang niet aan het einde van hun latijn. Ze
kunnen nog wel versterkt worden door 2 factor authenticatie, door een
goed wachtwoord (geen pincode) te combineren met het bezit van een
chipcard.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
