BLOG: Verander Je Wachtwoorden Dag: zo werkt een effectief wachtwoordbeleid

In Nederland is 24 november uitgeroepen tot Nationale Verander Je Wachtwoorden Dag. Een goed moment om stil te staan bij het gebruik van wachtwoorden in je organisatie. Daniël Krukziener, adviseur van L2P, vertelt wat er nodig is voor een goede omgang met wachtwoorden op de werkvloer.

Techplatform Tweakers is initiatiefnemer van Nationale Verander Je Wachtwoorden Dag. Sinds 2014 wordt er op 24 november in Nederland aandacht gevraagd voor het effectieve gebruik van wachtwoorden. Tweakers - en inmiddels ook vele andere organisaties - geven dan praktische tips om een sterk wachtwoord te bedenken en te onthouden. Het advies is om een combinatie te maken van letters, cijfers en symbolen, en minimaal acht tekens te gebruiken. Een ander veelgehoord advies is om voor elk account een specifiek wachtwoord te gebruiken én om elk wachtwoord te veranderen aan de hand van een cyclus.

Het is natuurlijk belangrijk voor organisaties om regelmatig stil te staan bij cyber awareness op de werkvloer, en een actueel wachtwoordenbeleid past daarbij. Maar wat betekenen de adviezen van Nationale Verander Je Wachtwoorden Dag precies voor organisaties die werken met regels en normenkaders zoals de BIO2 en ISO 27001?

Wachtwoordenbeleid volgens de BIO

De nieuwe Baseline Informatiebeveiliging Overheid (BIO2) legt de focus op authenticatie-informatie. Hierbij gelden volgens deze handreiking verschillende vereisten voor wachtwoorden.

Een algemeen uitgangspunt van de BIO2 is dat een sterk wachtwoord uit minimaal acht karakters bestaat én een complexe combinatie van letters, cijfers en symbolen heeft. Voor wachtwoorden met meer dan twintig tekens is een minder complexe combinatie toegestaan. Als de organisatie twee-factor authenticatie toepast, dan gelden er geen expliciete termijnen voor de aanpassing van een wachtwoord. Als twee-factor authenticatie ontbreekt, dan moet een wachtwoord minimaal eenmaal per jaar worden veranderd.

Wachtwoordenbeleid volgens ISO 27002

Werkt jouw organisatie met de ISO 27002, of ben je aan de slag met het certificeringsproces daarvoor? Volgens het normenkader moeten de eisen die een organisatie stelt aan wachtwoorden zijn afgestemd op de specifieke situatie. Het wachtwoordenbeleid bepaal je dus op basis van het risicomanagement rond informatiebeveiliging.

Algemene richtlijnen van de ISO 27002 zijn onder meer dat wachtwoorden complex zijn, dat in wachtwoorden geen persoonlijke gegevens worden gebruikt, en dat de organisatie een cyclus vaststelt om op gezette tijden de wachtwoorden te vernieuwen. Het gebruik van wachtwoordmanagers is hierbij een potentieel hulpmiddel.

NIST, NIST2 en wachtwoorden

Het Cybersecurity Framework van het National Institute of Standards and Technology (NIST) geeft een aantal specifieke richtlijnen, die niet volledig overeenkomen met veelgebruikte uitgangspunten voor wachtwoordbeleid.

In het concept voor de nieuwe versie van de standaard (NIST2) staat bijvoorbeeld een minimale wachtwoordlengte van acht tekens. De maximale lengte is 64 tekens. Het advies is om vijftien tekens te gebruiken. Verder stelt NIST2 onder andere dat wachtwoorden vooral moeten worden vernieuwd na een concrete aanleiding, zoals een hack. Daarbij mogen wachtwoordreeksen die in gebruik waren tijdens een incident niet opnieuw worden ingezet. Ook voor de zogenoemde wachtwoordherstelvragen gelden regels.

Drie thema's voor de toekomst

Er zijn dus verschillende perspectieven op effectief wachtwoordenbeleid. De best practice voor de ideale omgang met wachtwoorden is sterk afhankelijk van de omstandigheden en doelstellingen van je organisatie, en de wet- en regelgeving en normenkaders waarmee je te maken hebt.

In mijn visie zijn er drie thema's om zeker mee aan de slag te gaan:

· De implementatie van meer-factor authenticatie. Meer-factor authenticatie is steeds meer de norm voor de beveiliging van (persoons)gegevens. Kijk wat er nodig en haalbaar is in jouw organisatie.

· De balans tussen informatiebeveiliging en gebruiksvriendelijkheid. Houd de gebruiksvriendelijkheid van je werkwijze steeds in het oog. Is twee-factor authenticatie voor alle processen en systemen werkbaar? Zijn wachtwoorden
  met een relatief groot aantal letters misschien prettiger in gebruik dan zeer complexe combinaties van letters, cijfers en symbolen?

· Continue alertheid op het gebruik van wachtwoorden. Let op concrete aanleidingen om collega's aan te sporen om wachtwoorden te veranderen. Denk aan een recente hack(poging). Maar ook aan de eerste signalen daarvan,
  zoals een plotselinge toename van het aantal verzoeken om een wachtwoord te resetten, of een opmerkelijke groei van gefaalde inlogpogingen.

Vanuit perspectieven zoals de BIO 2.0 en de NIST2 is een standaard tijdsschema om wachtwoorden te veranderen niet de beste strategie. Verander Je Wachtwoorden Dag is dan ook een uitstekende gelegenheid om na te denken over informatiebeveiliging, maar niet noodzakelijkerwijs een aanleiding om direct met de aanpassing van wachtwoorden aan de slag te gaan.