Op 24 november 2024 was de tiende editie van de Nationale Verander-Je-Wachtwoord-Dag, een initiatief dat het bewustzijn over cybersecurity bevordert en mensen aanspoort om deze praktische beveiligingsmaatregel te nemen. Logisch, want tegenwoordig hebben we voor bijna alles (en meer) een digitaal account, met – je raadt het al – een wachtwoord. Dit maakt jou als organisatie kwetsbaar, want als dat ene wachtwoord wordt ontdekt, kunnen cybercriminelen mogelijk toegang krijgen tot de meest gevoelige gegevens. Een essentieel initiatief dus, die Verander-Je-Wachtwoord-Dag.
Maar zomaar wachtwoorden binnen organisaties veranderen is niet genoeg: het gaat er juist om wát dat wachtwoord is. Waar moet je op letten bij het beveiligen van je accounts?
Qwerty123
Een goed wachtwoord wordt niet snel gegokt, gelekt of gemanipuleerd. “Het creëren van sterke wachtwoorden komt nog niet van nature bij Nederlanders”, zegt Wouter Borremans, cybersecurity expert bij IT-dienstverlener Strict. “Zo blijkt uit recent onderzoek het meest voorkomende wachtwoord in Nederland: qwerty123. Mocht iemand toegang willen tot jouw account, dan is dit ook het eerste wat zij zullen proberen.” Vergelijkbare koplopers zijn 123456, wachtwoord, welkom01, amsterdam en computer. Ook bij organisaties blijven deze wachtwoorden populair. Jeroen Hentschke, securityexpert bij strategisch IT-partner Proximus NXT, vult aan: “Persoonlijke wachtwoorden kunnen ook heel zwak zijn: HenkdeVries (een naam) of 120387! (een geboortedatum met uitroepteken) zijn makkelijk te raden. Het is bekende informatie waar een cybercrimineel zo bij kan, dus dat kan tegenwoordig écht niet meer.” Maar wat houdt het hebben van een sterk wachtwoord dan wel in?
Maak een zin
Sterke wachtwoorden zijn vandaag de dag niet meer genoeg. Guido Gerrits, Vp Workforce Authentication bij wereldwijd technologiebedrijf Thales, zegt hierover: “Ook als ze speciale leestekens, cijfers en hoofdletters gebruiken is het wachtwoord van jouw medewerkers niet veilig. Het afdwingen van lange wachtwoorden – minimaal vijftien tekens – is essentieel. Lengte is effectiever dan complexiteit.” Dit is een idee waar Thomas Beuger, Security Consultant bij IT-dienstverlener Ictivity, zich in kan vinden. Hij geeft een goede tip om aan die vijftien tekens te komen: “Je kan bijvoorbeeld een zin gebruiken als wachtwoord. Zo heb je vanzelf een lange, persoonlijke combinatie van letters.”
Wachtwoord vergeten?
“Er is echter wel een reden dat medewerkers graag makkelijke, kortere wachtwoorden gebruiken. We vinden het vervelend om op ‘wachtwoord vergeten?’ te moeten klikken”, zegt Erik de Jong, Chief Research Officer bij cybersecurityaanbieder Tesorion. “De risico’s van hergebruik of het gebruik van vergelijkbare wachtwoorden zijn groot. Als één van jouw wachtwoorden wordt gelekt, bijvoorbeeld aan de hand van een phishingattack, kunnen cybercriminelen in al jouw accounts die dat (soortgelijke) wachtwoord vereisen.” Hentschke (Proximus NXT) raadt hierom wachtwoordmanagers aan. “Dit is een applicatie die wachtwoorden op je smartphone en in je webbrowser genereert, beheert en automatisch weer voor je invult. Zo wordt al het zware werk van je overgenomen.” Ook Beuger (Ictivity) is het hiermee eens. “Met een wachtwoordmanager hoeven jouw medewerkers maar één masterwachtwoord te onthouden. Veel makkelijker, dus! Een win-win situatie.”
Slimmer inloggen
Hoe lang, doordacht en gemanaged jouw wachtwoord ook is, het hebben van een wachtwoord blijft riskant. Borremans (Strict) legt uit: “Met de opkomst van kwantumcomputers worden traditionele wachtwoorden steeds kwetsbaarder. Zij kunnen berekeningen waar normale computers jaren over doen in een paar minuten oplossen. Een groot gevaar voor het traditionele wachtwoord.” De oplossing? Wordt wachtwoordloos en gebruik alternatieve methoden om in te loggen.
Erik de Jong, Chief Research Officer bij cybersecurityaanbieder Tesorion, is ook van mening dat mensen dwingen om hun wachtwoorden vaak te wijzigen, eigenlijk leidt tot slechtere wachtwoorden. Hij zegt: “Schaf af, die Verander-Je-Wachtwoord Dag. Vooropgesteld: zorgvuldig omgaan met wachtwoorden blijft belangrijk. Wachtwoorden zijn onderdeel van je authenticatieproces: het gaat daarbij om aantonen wie je bent. Gebruik bij voorkeur aanvullende methoden om in te loggen.” Een mogelijkheid daarvoor is multifactorauthenticatie (MFA): een systeem waarbij je jouw identiteit als gebruiker bevestigt aan de hand van meerdere factoren. Dus bijvoorbeeld via een wachtwoord én ook via een melding op je telefoon die je goed moet keuren. “MFA toevoegen is een goed voorbeeld van een veiligere vorm van inloggen, die wat mij betreft op alle plekken afgedwongen moet worden. Toch biedt zelfs dat geen volledige bescherming”, zegt de Jong. “Nóg beter is het gebruik van passkeys, een wachtwoordloze methode van authenticatie.”
Gerrits (Thales) is het hiermee eens: “Passkeys vervangen traditionele wachtwoorden met twee dingen: iets wat je hebt en iets wat je bént. Denk hierbij aan een melding op je telefoon en een vingerafdruk, of een melding in de mail en een face ID. Dit maakt passkeys veel moeilijker te stelen en ze zijn uniek per website.” Zelfs als een passkey wordt gecompromitteerd, blijven je andere accounts veilig. Gebruik het dus overal waar dat mogelijk is. Bij grote bedrijven zoals Google, Apple, Amazon, Sony en Nintendo kan het al.
Niet alleen veranderen
Hoewel Verander-Je-Wachtwoord-Dag een goed initiatief is, is het op zich niet genoeg om organisaties te beschermen tegen hun makkelijk-te-kraken wachtwoorden. In plaats van het jaarlijks veranderen van je wachtwoord, is het beter om echt te luisteren naar wat techexperts te zeggen hebben over wachtwoordgebruik. Beginnen met lange zinnen als wachtwoord, maak gebruik van een passwordmanager en, als het kan, stop volledig met wachtwoorden! Zo blijven jij en jouw team écht veilig.
Volg Security Management op LinkedIn