Hoe vaak heb jij de afgelopen weken je wachtwoord moeten wijzigen? Lastig maar je doet het omdat je nu eenmaal weet dat het erbij hoort. Als je je auto parkeert in de stad dan doe je hem ook op slot en als je ’s morgens wilt inloggen dan hoort daar een wachtwoord bij. Het hebben van wachtwoorden zit al zo in ons systeem gebakken dat we er mee kunnen leven. Dit in tegenstelling tot veel andere beveiligingsmaatregelen (die wel echt werken). Nee, die proberen we toch liever te omzeilen.
Jammer dat het zo werkt en een tip voor de mede-beveiligers in andere organisaties. Schaf de huidige wachtwoord-policy af, want het heeft geen zin meer.
Het gebruik van wachtwoorden als voornaamste beveiliging tegen ongewenste indringers is bijna net zo verouderd als het gebruik van een driecijferig fietsslot: je voorkomt er nog net mee dat iedereen zomaar met je fiets gaat rennen, maar met een paperclip en een vloeipapiertje krijgt iedere basisscholier hem open (bron).
Voordat alle enthousiaste beveiligers aan de slag gaan om de wachtwoord-policy aan te passen, is het misschien raadzaam om nog even aan te halen dat we natuurlijk niet zomaar zonder wachtwoorden kunnen en ik durf zelfs te beweren dat een vorm van wachtwoord voorlopig nog in gebruik zal blijven (ook pincodes reken ik trouwens voor het gemak even tot wachtwoorden).
“De waarheid is dat iedereen die nu nog waardevolle data probeert te beschermen, daarvoor minimaal multifactor authenticatie en/of aanvullende beveiligingsmaatregelen zal moeten treffen,” meent Peter Lindstrom, analist bij Spire Security. “Het wachtwoord alleen kent teveel zwakke plekken, waaronder de voor de hand liggende menselijke fouten.”
Waar het dus op neer komt is dat een wachtwoord alleen niet meer voldoende is. Er moet meer gebeuren. Er moet een combinatie zijn van:
– iets wat je weet (kennis)
– iets wat je bezit
– iets wat je bent (persoonlijke eigenschap)
Helaas maar waar voor alle beveiligers die zo blij zijn dat het wachtwoordbeleid binnen de organisatie lijkt te werken (met name omdat het technisch afgedwongen wordt en je er als medewerker maar mee te leven hebt). We zullen aan de slag moeten en we zullen al die organisaties die alleen nog maar van “kennis” (een wachtwoord) gebruik maken moeten overtuigen dat ze met een driecijferig fietsslot werken.
Nou, ik wens iedereen, die de taak krijgt toegewezen om het management te overtuigen, heel veel succes. Heb je een succesverhaal waardoor het jou wel gelukt is. Laat het ons dan weten, dan kunnen we die informatie delen en elkaar weer verder op weg helpen.
Nu ga ik snel mijn wachtwoorden wijzigen want ook ik maak me wel eens schuldig aan “de vloek van het herbruikbare wachtwoord”