Moeten gebruikers worden gedwongen om hun wachtwoorden regelmatig opnieuw in te stellen?

Een van de meest voorkomende beveiligingsadviezen voor accounts is dat gebruikers hun wachtwoord regelmatig moeten wijzigen. De redenering achter deze aanpak is om de tijdsduur dat een wachtwoord geldig is, te minimaliseren, voor het geval het ooit wordt gecompromitteerd. Deze hele strategie is gebaseerd op historisch advies van vooraanstaande cyberbeveiligingsgroepen zoals het Amerikaanse NIST of het National Institute of Standards and Technology.

Decennia lang volgden overheden en bedrijven dit advies op en dwongen hun gebruikers om regelmatig wachtwoorden opnieuw in te stellen, meestal om de 90 dagen. Na verloop van tijd bleek uit onderzoek dat deze aanpak niet werkte zoals bedoeld en in 2017 wijzigden NIST samen met het Britse NCSC of National Cyber ​​Security Centre hun advies om alleen wachtwoordwijzigingen te vereisen wanneer er een redelijk vermoeden van compromis is.

Waarom is het advies gewijzigd?

Het advies om regelmatig wachtwoorden te wijzigen is oorspronkelijk ingevoerd om de veiligheid te helpen vergroten. Puur logisch gezien is het advies om wachtwoorden regelmatig te vernieuwen zinvol. De ervaring in de echte wereld is echter iets anders. Onderzoek heeft uitgewezen dat het dwingen van gebruikers om hun wachtwoord regelmatig te wijzigen, hen aanzienlijk meer kans maakte om een ​​soortgelijk wachtwoord te gaan gebruiken dat ze alleen maar konden verhogen. In plaats van wachtwoorden als "9L=Xk&2>" te kiezen, gebruiken gebruikers bijvoorbeeld wachtwoorden als "Spring2019!".

Het blijkt dat mensen, wanneer ze worden gedwongen om meerdere wachtwoorden te bedenken en te onthouden en deze vervolgens regelmatig te wijzigen, consequent gebruik maken van gemakkelijk te onthouden wachtwoorden die onveiliger zijn. Het probleem met incrementele wachtwoorden zoals "Spring2019!" is dat ze gemakkelijk te raden zijn en het vervolgens gemakkelijk maken om toekomstige veranderingen te voorspellen. Gecombineerd betekent dit dat het forceren van wachtwoordresets gebruikers ertoe aanzet om gemakkelijker te onthouden en dus zwakkere wachtwoorden te kiezen, die doorgaans het beoogde voordeel van het verminderen van toekomstige risico's actief ondermijnen.

In het ergste geval kan een hacker bijvoorbeeld het wachtwoord "Spring2019!" compromitteren. binnen enkele maanden nadat het geldig is. Op dit punt kunnen ze varianten proberen met "Herfst" in plaats van "Lente" en zullen ze waarschijnlijk toegang krijgen. Als het bedrijf deze inbreuk op de beveiliging detecteert en gebruikers vervolgens dwingt hun wachtwoord te wijzigen, is de kans groot dat de betrokken gebruiker zijn wachtwoord gewoon verandert in "Winter2019!" en denken dat ze veilig zijn. De hacker, die het patroon kent, kan dit proberen als hij weer toegang krijgt. Afhankelijk van hoe lang een gebruiker dit patroon vasthoudt, kan een aanvaller dit gedurende meerdere jaren gebruiken voor toegang, terwijl de gebruiker zich veilig voelt omdat hij regelmatig zijn wachtwoord verandert.

Wat is het nieuwe advies?

Om gebruikers aan te moedigen om formule-wachtwoorden te vermijden, is het advies nu om wachtwoorden alleen opnieuw in te stellen als er een redelijk vermoeden bestaat dat ze zijn gecompromitteerd. Door gebruikers niet te dwingen regelmatig een nieuw wachtwoord te onthouden, is de kans groter dat ze in de eerste plaats een sterk wachtwoord kiezen.

In combinatie met dit zijn een aantal andere aanbevelingen gericht op het stimuleren van het maken van sterkere wachtwoorden. Deze omvatten ervoor zorgen dat alle wachtwoorden minimaal acht tekens lang zijn en dat het maximale aantal tekens minimaal 64 tekens is. Het adviseerde ook dat bedrijven beginnen af ​​te stappen van complexiteitsregels naar het gebruik van blokkeerlijsten met behulp van woordenboeken met zwakke wachtwoorden zoals "ChangeMe!" en "Password1" die aan veel complexiteitsvereisten voldoen.

De cybersecurity-gemeenschap is het er bijna unaniem over eens dat wachtwoorden niet automatisch moeten verlopen.

Opmerking: Helaas kan het in sommige scenario's nog steeds nodig zijn om dit te doen, omdat sommige regeringen nog wetten moeten wijzigen die het vervallen van wachtwoorden vereisen voor gevoelige of geclassificeerde systemen.