AVG-proof wachtwoordbeleid: zo doe je dat

Hoewel de meeste mensen wel het belang inzien van het gebruik van unieke, sterke wachtwoorden en het periodiek wijzigen van inloggegevens, komen datalekken nog geregeld voor. Vooral organisaties waar een wachtwoordbeleid en goede ondersteuning op cybersecurityvlak ontbreken, zijn kwetsbaar. Zeker als ze tien, vijftien jaar hetzelfde eenvoudige wachtwoord hergebruiken voor meerdere accounts. Zodra dat wordt gekraakt, kan een hacker in alle systemen grasduinen en schade aanrichten. Hoe voorkom je dat en vermijd je kostbare imago- en bedrijfsschade?

blog-wachtwoordbeleid.jpg

Wachtwoorden en andere beveiligingsmaatregelen worden vaak als een noodzakelijk kwaad gezien. Het blijkt voor veel gebruikers lastig om meer dan een handjevol ingewikkelde wachtwoorden te onthouden, waardoor het verleidelijk is om inloggegevens te hergebruiken of te kiezen voor een simpel wachtwoord.

Een getrainde hacker kan de combinatie van een bedrijfsnaam plus de cijfers ‘1234’ of ‘2021’ vaak al binnen een paar minuten kraken. Hij maakt gebruik van zogenoemde brute-force aanvallen om op een geautomatiseerde manier duizenden gebruikersnamen en wachtwoorden uit te proberen, totdat een combinatie blijkt te werken. Vervolgens kan hij gebruikers bijvoorbeeld de toegang tot klantgegevens en productiemachines ontzeggen.

Best practices

Er zijn verschillende manieren om de risico’s op zo’n scenario te beperken. Een helder beleid rondom wachtwoorden is er een van. Benadruk binnen de organisatie het belang van unieke wachtwoorden die geen voor de hand liggende (persoonlijke) informatie bevatten, maar wel cijfers, hoofdletters en speciale tekens. Een best practice is het gebruik van wachtwoordzinnen: een zin als ‘IkHeb200Autobanden’ is eenvoudig te onthouden, maar kost minimaal één miljard jaar (!) om te kraken.

Een wachtwoordzin is makkelijk te onthouden, maar lastig te kraken.

Pascal Thönissen, Security Officer

Daarnaast is het slim om het aantal inlogpogingen te beperken, zodat een account na een x-aantal mislukte pogingen voor korte tijd wordt afgeschermd of afgesloten. Aanvullend kan ingesteld worden dat een IP-adres wordt geblokkeerd nadat er meerdere keren vanaf dit adres gepoogd wordt om in te loggen.

Misschien nog wel het belangrijkst is bewustwording. Wachtwoorden horen niet op post-its of e-mails door de organisatie te slingeren. Wanneer een wachtwoord bij meer mensen bekend is, hebben hackers ook meer mogelijkheden om het te achterhalen. Moet je toch de inlog voor een systeem delen, gebruik dan liever een wachtwoordkluis om dit op een veilige manier te doen. Inloggegevens zijn dan versleuteld opgeslagen en toegang is in een handomdraai in te trekken.

AVG-proof wachtwoordbeleid

Op fora die populair zijn onder hackers is al jaren een levendige handel in inloggegevens. Regelmatig worden bundels met miljarden gestolen e-mailadressen en wachtwoorden uitgewisseld, in interactieve databases met zoek- en sorteerfunctionaliteiten. Daarmee kunnen hackers eenvoudig hun aanvalsprocessen automatiseren. Omdat je niet kunt uitsluiten dat een wachtwoord vroeg of laat uitlekt – de mens is vaak de zwakste schakel bij informatiebeveiliging – is het verstandig om maatregelen te nemen.

Onderdeel van een AVG-proof wachtwoordbeleid is de verplichting om regelmatig – bijvoorbeeld elke paar maanden – wachtwoorden te wijzigen. Zorg er eventueel met technische middelen voor dat oude wachtwoorden niet worden geaccepteerd. Zo voorkom je meteen dat mensen die de organisatie verlaten hebben, nog toegang tot gevoelige data hebben. Ons Managed Services-team ondersteunt je hier graag bij, zodat een periodieke wijziging niet ertoe leidt dat (geautomatiseerde) processen stoppen.

Multifactor-authenticatie

Een gebruikersnaam en sterk wachtwoord volstaan vandaag de dag echter niet om gevoelige gegevens en systemen af te schermen. Om het risico op hacks te verlagen, raden we aan multifactor-authenticatie (MFA) in te schakelen. Sommige verzekeraars verplichten dit zelfs bij het afsluiten van een cybersecurityverzekering.

Bij MFA voert een gebruikers tijdens het inloggen iets in wat hij weet (zoals een wachtwoord) en iets wat hij heeft (zoals een sms-code of vingerafdruk). De extra verificatie kan ook plaatsvinden via een smartphone-app, waar met een druk op de knop de identiteit van de gebruiker kan worden bevestigd.

Deze manier van inloggen kost nauwelijks extra moeite en is effectief tegen zowel brute-force aanvallen als phishing, waarbij een gebruiker wordt verleid tot het prijsgegeven van gevoelige gegevens. Zelfs bij een geslaagde aanval heeft een dader nog steeds de extra vorm van identificatie nodig om zich toegang te verschaffen. Cybercriminelen gaan dan liever op zoek naar een makkelijkere prooi. MFA kan ook op VPN-verbindingen worden ingesteld om te voorkomen dat kwaadwillenden aan een gebruikersnaam en wachtwoord voldoende hebben om op het bedrijfsnetwerk te komen.

Hulp nodig bij het vormgeven van een wachtwoordbeleid of het nemen van andere maatregelen op het gebied van beveiliging? Ons Managed Services-team helpt je graag verder. Neem contact op!