‘Dwing eindgebruikers niet hun wachtwoord regelmatig te wijzigen’

hacker4-gabor-kalman

De Britse National Technical Authority for Information Assurance (CESG) adviseert IT-beheerders eindgebruikers niet langer te dwingen regelmatig hun wachtwoord te wijzigen. Niet alleen helpt zo’n beleid nauwelijks misbruik van gestolen wachtwoorden te voorkomen, ook kan de grote hoeveelheid wachtwoorden die gebruikers moeten onthouden ertoe leiden dat zij voor zwakke wachtwoorden kiezen.

Dit schrijft het CESG in een recent advies aan IT-beheerders. Het CESG stelt dat de meeste beheerders eindgebruikers dwingen iedere 30, 60 of 90 dagen hun wachtwoord te wijzigen. Veel gebruikers hebben echter moeite wachtwoorden te onthouden, waardoor zij kiezen voor een variant op een oud wachtwoord. Deze wachtwoorden zijn voor cybercriminelen die het oude wachtwoord in handen hebben vaak eenvoudig te raden.

Niet effectief

Daarnaast wijst het CESG erop dat een beleid dat gebruikers dwingt wachtwoorden te wijzigen nauwelijks helpt misbruik van gestolen wachtwoorden tegen te gaan. Indien een wachtwoord door een cybercrimineel wordt buitgemaakt wordt deze over het algemeen direct misbruikt. Dit terwijl het wachtwoord pas dagen of zelfs weken later wordt gewijzigd. In de tussenliggende periode kan de aanvaller dus ongestoord zijn gang gaan.

Het CESG adviseert IT-beheerders daarom in te zetten op monitoringsoplossingen die ongebruikelijke inlogpogingen detecteren. Hiermee kunnen bijvoorbeeld inlogpogingen worden gedetecteerd vanaf ongebruikelijke locaties of apparaten. Indien deze meldingen onverklaarbaar zijn kan dit een indicatie zijn dat een wachtwoord is gestolen of uitgelekt, en is het verstandig dit wachtwoord te wijzigen.

Lees ook
Genetec kondigt nieuwe versie van Security Center aan

Genetec kondigt nieuwe versie van Security Center aan

Genetec Inc., technologieleverancier van oplossingen voor unified security, openbare veiligheid, operations en business intelligence, heeft een nieuwe versie aangekondigd van haar unified security platform Security Center.

WatchGuard breidt mogelijkheden voor identiteitsbescherming uit met AuthPoint Total Identity Security-bundel

WatchGuard breidt mogelijkheden voor identiteitsbescherming uit met AuthPoint Total Identity Security-bundel

WatchGuard Technologies lanceert vandaag AuthPoint Total Identity Security. Een uitgebreide bundel die de bekroonde AuthPoint multifactorauthenticatie (MFA)-oplossing combineert met zakelijk wachtwoordbeheer en mogelijkheden om darkwebcredentials te monitoren.

Wegiz belangrijke stap voor digitale beveiliging zorgsector

Wegiz belangrijke stap voor digitale beveiliging zorgsector

De kogel is door de kerk! In navolging van de Tweede Kamer stemde ook de Eerste Kamer op 19 april 2023 vóór de Wet elektronische gegevensuitwisseling in de zorg (Wegiz). Dit houdt in dat de uitwisseling van patiëntgegevens tussen zorgaanbieders voortaan verplicht elektronisch verloopt.