Veel organisaties verplichten hun medewerkers tot het regelmatig wijzigen van hun wachtwoord. Dat leidt voor veel mensen tot frustratie: elke keer een nieuw wachtwoord uit je hoofd leren is onhandig. Het gevolg is dat er voor een relatief makkelijk wachtwoord gekozen wordt of, erger nog, dat het op een post-it geschreven wordt en bij de computer gelegd.
Zin en onzin van regelmatig wachtwoord wijzigen
Om te begrijpen waarom veel systeembeheerders het wijzigen van een wachtwoord afdwingen is het goed om te weten dat informatiebeveiligers en auditiors hier op hameren. Procedures rondom informatiebeveiliging bevatten namelijk standaard een wachtwoordenbeleid en een van de richtlijnen is dat het wachtwoord regelmatig gewijzigd moet worden. Dit kwam doordat organisaties vaak data kwijt raakten of te kampen kregen met onbruikbare systemen omdat gebruikersnamen en wachtwoorden in handen van derden kwamen. Overigens is dit nu nog steeds het geval; nog steeds wordt er op grote schaal misbruik gemaakt van inloggegevens.
Op basis van recent onderzoek stelt Lorrie Cranor (informaticaprofessor aan de Carnegie Mellon University) dat het onverstandig is om gebruikers te dwingen om hun wachtwoord regelmatig te wijzigen. Cranor baseert zich onder andere op onderzoek uit 2010, waarbij onderzoekers de wachtwoordhashes van meer dan 10.000 (niet meer gebruikte universiteitsaccounts) onderzochten. In totaal ging het om 51.000 wachtwoordhashes, waarvan onderzoekers 60% wisten te kraken en zo de wachtwoorden konden achterhaalden. Van 7.700 accounts ging het niet om het laatste wachtwoord dat de gebruiker had ingesteld. Aan de hand van de eerder ingestelde wachtwoorden wisten ze bij 17% van deze accounts het juiste laatste wachtwoord binnen 5 pogingen te raden.
Guardian360 adviseert
Guardian360 adviseert een complex wachtwoord te kiezen voor iedere toepassing die je gebruikt. Daarnaast adviseren wij het gebruik van een password manager. Een complex wachtwoord bestaat uit minimaal 4 woorden die niets met elkaar te maken hebben en kent een lengte van minimaal 30 karakters. Deze combinatie van woorden en lengte zorgt ervoor dat het wachtwoord niet snel geraden kan worden. Doordat er bovendien een ander complex wachtwoord voor elke toepassing gebruikt wordt, kan een kwaadwillende relatief weinig schade aanrichten.
Voor systemen waarbij het gebruik van een password manager niet mogelijk is zit er niets anders op dan toch regelmatig je wachtwoord te wijzigen. Als je wil inloggen op je Mac of Windows kun je bijvoorbeeld geen passwordmanager gebruiken. Bijkomend nadeel is dat iemand die toegang heeft tot je Mac of Windows systeem, vaak ook toegang heeft tot je passwordmanager. Zorg er dus in ieder geval voor dat je je passwordmanager ook met een complex wachtwoord beveiligt.
En, zoals overal geldt: voorkomen is beter dan genezen! Denk je dat je wachtwoord gecompromitteerd is, dat het niet complex is of dat een ander het in zijn bezit heeft, wijzig het dan direct!