Nieuws

Belgische politie adviseert wachtwoorden elke zes maanden te wijzigen

dinsdag 12 mei 2020, 16:07 door Redactie, 9 reacties

De afgelopen jaren hebben het Nationaal Cyber Security Centrum (NCSC), Microsoft, de Britse geheime dienst en allerlei experts bedrijven geadviseerd om werknemers niet te verplichten om periodiek hun wachtwoorden te wijzigen, toch komt de Belgische politie vandaag met het advies voor verplichte periodieke wachtwoordwijzigingen.

"Het periodiek vervangen van wachtwoorden, wat vaak als niet gebruiksvriendelijk wordt ervaren, is niet noodzakelijk als er compenserende maatregelen worden getroffen", zo liet het NCSC al in 2018 weten. De organisatie staat daarmee niet alleen. Experts waarschuwen al langer tegen het verplicht wijzigen van wachtwoorden, omdat gebruikers hierdoor zwakke wachtwoorden kiezen en vaker hun wachtwoorden opschrijven.

De kans om nieuwe wachtwoorden te vergeten is daarnaast veel groter, wat weer invloed op de productiviteitskosten heeft als mensen hun wachtwoord vergeten en de helpdesk dit moet resetten. Beveiligingsexpert Bruce Schneier adviseerde dan ook om wachtwoorden alleen te wijzigen als er een vermoeden bestaat dat ze gecompromitteerd zijn.

In een vandaag gepubliceerd beveiligingsadvies voor mkb-bedrijven pleit de Belgische politie juist voor periodieke wachtwoordwijzigingen. Volgens de Belgische politie is er een toename van het aantal cyberaanvallen, maar zijn niet alle mkb-bedrijven goed voorbereid, zeker nu het personeel thuiswerkt. "Preventie blijft dan ook de beste remedie", zo laat het advies weten.

Dat gaat vervolgens in op verschillende soorten aanvallen en maatregelen die bedrijven kunnen nemen om zich te beschermen, zoals het gebruik van spamfilters, het maken van offline back-ups en het instellen van een wachtwoordbeleid: "De veiligheid van de infrastructuur begint dus bij preventie. Enkele maatregelen: de verplichting voor personeelsleden om hun wachtwoorden minstens om de zes maanden te wijzigen." In een eerder gegeven advies voor eindgebruikers werd nog aangeraden om wachtwoorden elke twee a drie maanden te veranderen.

Adobe verhelpt kritieke kwetsbaarheden in Acrobat en Reader

Accountantskantoor HLB Belgium slachtoffer datadiefstal en ransomware

Reacties (9)

12-05-2020, 16:24 door [Account Verwijderd] - Bijgewerkt: 12-05-2020, 16:24

Nog beter is om te stoppen met die eeuwig hergebruikte wachtwoorden. Maak gebruik van WebAuthn, een phishing-vrije inlogmethode met 2FA ondersteuning. Sinds kort ook aanbevolen door het NCSC:

https://www.ncsc.nl/onderwerpen/authenticatie
WebAuthn wordt nog niet vaak aangeboden, maar de verwachting is dat het binnen enkele jaren het traditionele wachtwoord zal hebben vervangen. Voor een toekomstbestendig authenticatiemechanisme beveelt het NCSC aan om WebAuthn te gebruiken.

12-05-2020, 16:24 door Erik van Straten - Bijgewerkt: 12-05-2020, 16:47

Sja. Als je overal hetzelfde wachtwoord gebruikt, en van de helft van jouw accounts niet meer weet dat je ze hebt, en je wijzigt dus maar van de helft van jouw accounts het wachtwoord, zou dit wel eens een verbetering kunnen zijn.

Mijn advies: gebruik een wachtwoordmanager en laat deze, per account, een random wachtwoord genereren. Tenzij je zo'n wachtwoord een keer in het verkeerde veld plakt (gebruikersnaam of e-mailadres, gegevens uit dat veld worden vaak gelogd), of als je vermoedt dat de database van jouw wachtwoordmanager in verkeerde handen kan zijn gevallen en je daar geen sterk wachtwoord voor gebruikt, is het niet nodig om regelmatig account-wachtwoorden te wijzigen.

Een niet te onderschatten voordeel van een wachtwoordmanager is dat je (en evt. een nabestaande, indien je die het master-password hebt gegeven) een overzicht hebt op waar je allemaal accounts hebt en ook met welk logon-ID (gebruiksersnaam, e-mailadres, klantnummer etc).

12-05-2020, 16:51 door Anoniem

Voorbeeldje van een slecht idee wat maar niet dood wil gaan.

12-05-2020, 16:54 door Anoniem

Denk dat het hier meer een geval is dat degene die de tip was zich niet afdoende had geïnformeerd.
Morgen vast aangepast.

2-Factor met SSO of anders desnoods lang uniek wachtwoord is beter advies. Wachtwoord aanpassen alleen nodig als systeem geen 2FA ondersteund, of bv. max 12 chars.

12-05-2020, 20:43 door johanw

Ach ja: wachtwoord Bedrijf001", na 3 maanden "Bedrijf002", etc. Gewoonlijk mag je de laatste X niet hergebruiken maar dat kun je zo aardig uitrekken.

13-05-2020, 02:01 door Anoniem

Eens te meer een herinnering dat de eerste gebruikersvriendelijke computer nog moet worden bedacht.

Want dan opent natuurlijk niet gelijk met een wachtwoord.

Heeft er anders al iemand ooit bedacht om het "beginwoord" te noemen? Nou dan.

13-05-2020, 10:09 door spatieman

mijn laatste werkgever had een wachtwoord beleid die uber belachelijk was.
Daar moest IEDERE WEEK het wachtwoord worden gewijzigd , dit leide natuurlijk tot belachelijke wachtwoorden.
Ach ja...

13-05-2020, 11:56 door Anoniem

Met alle mogelijkheden van tegenwoordig is zelfs wachtwoord i.c.m een 2e factor al zoooo achterhaald. Ik wil graag tijd (ik log zelden 's nachts in...), geografie (ineens van een Nigeriaans ip-adres inloggen is vreemd!), snelheid (eerder vandaag vanuit de VS ingelogged, en 4 uur later vanuit China?!?), gevoeligheid van het systeem (de krant lezen? uid+ww. Bankzaken, minstens 2FA), historie (al eerder foutieve inlogpogingen gedaan? Extra factoren) mee laten wegen in de login.
Het kan, wie ontwikkelt het verder?

13-05-2020, 14:23 door [Account Verwijderd]

Door Anoniem: Met alle mogelijkheden van tegenwoordig is zelfs wachtwoord i.c.m een 2e factor al zoooo achterhaald. Ik wil graag tijd (ik log zelden 's nachts in...), geografie (ineens van een Nigeriaans ip-adres inloggen is vreemd!), snelheid (eerder vandaag vanuit de VS ingelogged, en 4 uur later vanuit China?!?), gevoeligheid van het systeem (de krant lezen? uid+ww. Bankzaken, minstens 2FA), historie (al eerder foutieve inlogpogingen gedaan? Extra factoren) mee laten wegen in de login.
Het kan, wie ontwikkelt het verder?

Dat heet Risk-Based Authentication en is, naar mijn weten, nooit van de grond gekomen vanwege de enorme complexiteit. Enkele signalen, zoals inloggen vanaf een verdacht IP, lijken mij bij de grote partijen, die genoeg data hebben om daar iets nuttigs over te zeggen, wel meegenomen om worden. Op basis daarvan ben je wordt dan besloten of je nog een tweede factor moet invullen of niet. Maar zelfs dat lijkt mij achterhaald als je in staat bent om altijd 2FA te verplichten zonder veel gedoe. Laat al die overige gevallen maar achteraf onderzoeken i.p.v. vooraf te gaan bedenken wat je in welke situatie zou toestaan en wat niet.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer