Hier moet je aan denken bij wachtwoorden en andere authenticatie-zaken

Security

Iedere week houden onze digital natives het nieuws in de gaten. Deze week is Back-end Developer Ezra aan het woord. Hij selecteerde het artikel ‘Passwords Evolved: Authentication Guidance for the Modern Era’ van Troy Hunt over wachtwoorden en beveiliging op het web.

Vroeger was alles beter, toen had je geen wachtwoord nodig om je computer te kunnen openen, maar vroeger was je computer ook nog niet aangesloten op het internet en kon iemand dus alleen op je computer inbreken door in je huis of kantoor in te breken. Tegenwoordig is dat wel anders, zelfs je koffiemachine is aangesloten op het internet of things. Daarom hebben we tegenwoordig wachtwoorden nodig.

Voor elk account en apparaat heb je een ander wachtwoord nodig, want anders is het niet veilig. En je wachtwoord moet wel ‘veilig’ zijn. Minimaal 20 tekens, 6 hoofdletters, 3 andere tekens en ga zo maar door. En natuurlijk wil je dat het wachtwoord geregeld veranderd, want stel je voor dat iemand toch je wachtwoord heeft gezien. Dus elke maand verplicht een ander wachtwoord en we onthouden je laatste 12 wachtwoorden zodat je hackers volgende maand niet weer toegang geeft tot je account.

Mijn hoofd overstroomt tegenwoordig omdat ik al deze wachtwoorden moet onthouden en ik ben niet de enige. Dat is precies de reden waarom dit juist niet veilig is. Niemand kan zoveel verschillende moeilijke wachtwoorden onthouden die continu veranderen en dus verzinnen mensen slimme trucjes om het wachtwoord te onthouden. En juist deze slimme trucjes zorgen ervoor dat al deze regels het internet juist onveiliger maken.

Het NIST heeft recentelijk een update gedaan aan hun Digital Identities Guidelines document. Troy Hunt, Regional Director en MVP van Microsoft legt uit wat we wel en niet moeten doen om de veiligheid van onze data te garanderen. Onderstaand een korte vertaling van de update.

Een langer wachtwoord is veiliger

Veel te veel websites geven wachtwoorden nog steeds een veel te korte maximale lengte, terwijl het bekend is dat hoe langer het wachtwoord, hoe sterker het wachtwoord is. Dus moeten we het wachtwoord dan maar zo lang maken als een gebruiker zelf wil? Het NIST raad maximaal 256 tekens aan.

Alle tekens zijn speciaal

Het is niet veilig om als regel in te stellen dat een wachtwoord uit een bepaalt aantal tekens moet bestaan. Om de eenvoudige reden dat een wachtwoord niet meer te onthouden is en hierdoor is W4chtw00rd! eigenlijk niets anders dan gewoon wachtwoord.

Wachtwoord hints

Herinner jij je wachtwoord hints als ‘ Wat is de meisjesnaam van je oma? Of wat is de naam van je eerste huisdier? Langzaam verdwijnt dit, gelukkig maar want het is niet veilig.

Password managers FTW

Volgens Troy Hunt is het enige veilige wachtwoord een wachtwoord die je je niet kan herinneren. Daarom is het verstandig je wachtwoord in een password manager op te slaan. Op deze manier kan je wachtwoord manager de moeilijke wachtwoorden onthouden waar je computer een stuk beter in is dan jij zelf. Zorg er dus voor dat je website goed met wachtwoord managers (zoals bijvoorbeeld lastpass of keepass) om kan gaan en ga dit deze zeker niet tegenwerken door bijvoorbeeld plakken uit te schakelen in je inlogformulieren.

Geen verplichte wachtwoord wijzigingen

Het verplichten van regelmatig je wachtwoord wijzigen werkt averechts. Mensen verzinnen slimme trucjes om gemakkelijk een wachtwoord te wijzigen om hier omheen te werken door bijvoorbeeld steeds een 1 achter het wachtwoord te plakken. En waarom? Als iemand je wachtwoord heeft gestolen gaan ze niet 3 maanden wachten om deze te gebruiken, maar zullen ze dit zo snel mogelijk doen voordat het wachtwoord om welke reden dan ook is veranderd. Vraag gebruikers alleen hun wachtwoord te veranderen als je verdenkingen hebt dat iemand deze wellicht gestolen kan hebben.

Vreemd gedrag

Dit is een belangrijk onderdeel van de nieuwe manier van beveiliging. Laat je gebruikers weten als hun account vreemd gedrag vertoond. Stuur bijvoorbeeld een mailtje als er ingelogd wordt in het account op een moment of vanaf een plek die je niet verwacht. En geef de gebruiker de mogelijkheid om hier wat aan te doen door het bijvoorbeeld mogelijk te maken direct bij alle browsers uit te loggen en het wachtwoord te veranderen.

Weiger geschonden wachtwoorden

Als een wachtwoord door een hack op het internet is verschenen is deze niet meer veilig, deze wachtwoorden komen op lijsten te staan die hackers als eerst zullen gebruiken om te proberen in te loggen.

Binaire beveiliging

Ingelogd zijn zou niet meer zwart of wit moeten zijn. Alle 50 tinten grijs ertussen komen in de update in het artikel ook aan bod. Denk bijvoorbeeld aan het blokkeren van een account als iemand meerdere keren foutief heeft ingelogd, maar je kan ook iemand minder rechten geven als je ziet dat je vanaf een plek ingelogd zijn van waar ze normaal niet inloggen en pas volledige toegang krijgen als gebruikers kunnen verifiëren dat ze het echt zelf zijn. Op deze manier zouden hackers wellicht kunnen zien hoeveel geld er op je spaarrekening staat, maar het geld overmaken gaat niet.

Lees hier het volledige artikel van Troy Hunt om te leren wat wel en niet kan.