‘Dwing eindgebruikers niet hun wachtwoord regelmatig te wijzigen’
De Britse National Technical Authority for Information Assurance (CESG) adviseert IT-beheerders eindgebruikers niet langer te dwingen regelmatig hun wachtwoord te wijzigen. Niet alleen helpt zo’n beleid nauwelijks misbruik van gestolen wachtwoorden te voorkomen, ook kan de grote hoeveelheid wachtwoorden die gebruikers moeten onthouden ertoe leiden dat zij voor zwakke wachtwoorden kiezen.
Dit schrijft het CESG in een recent advies aan IT-beheerders. Het CESG stelt dat de meeste beheerders eindgebruikers dwingen iedere 30, 60 of 90 dagen hun wachtwoord te wijzigen. Veel gebruikers hebben echter moeite wachtwoorden te onthouden, waardoor zij kiezen voor een variant op een oud wachtwoord. Deze wachtwoorden zijn voor cybercriminelen die het oude wachtwoord in handen hebben vaak eenvoudig te raden.
Niet effectief
Daarnaast wijst het CESG erop dat een beleid dat gebruikers dwingt wachtwoorden te wijzigen nauwelijks helpt misbruik van gestolen wachtwoorden tegen te gaan. Indien een wachtwoord door een cybercrimineel wordt buitgemaakt wordt deze over het algemeen direct misbruikt. Dit terwijl het wachtwoord pas dagen of zelfs weken later wordt gewijzigd. In de tussenliggende periode kan de aanvaller dus ongestoord zijn gang gaan.
Het CESG adviseert IT-beheerders daarom in te zetten op monitoringsoplossingen die ongebruikelijke inlogpogingen detecteren. Hiermee kunnen bijvoorbeeld inlogpogingen worden gedetecteerd vanaf ongebruikelijke locaties of apparaten. Indien deze meldingen onverklaarbaar zijn kan dit een indicatie zijn dat een wachtwoord is gestolen of uitgelekt, en is het verstandig dit wachtwoord te wijzigen.
Meer over
Lees ook
Jailbreak voor iPhone, iPad en iPod touch bevat een backdoor
Door een iPhone, iPad of iPod touch te jailbreaken kunnen gebruikers hun rechten op het apparaat vergroten. Dit stelt hen in staat via de jailbreak-appwinkel Cydia allerlei software op hun apparaten te installeren die niet zijn goedgekeurd voor Apple's App Store. Dit is echter niet zonder gevaar. Versie 1.0.3 van de jailbreak Evasi0n blijkt nameli1
Secure Pro Keyboard versleutelt draadloze verbinding met computer
Wie met gevoelige documenten werkt moet goed op zijn beveiliging letten. Alleen een virusscanner installeren is niet voldoende. Een keylogger, een oplossing die de toetsaanslagen op een machine registreert, is bijvoorbeeld beschikbaar in zowel een softwarematige als hardwarematige variant. De hardwarematige variant wordt door antivirussoftware nie1
Hackers misbruiken onwaakzaamheid over bekende kwetsbaarheid in netwerktijdprotocol
Sommige kwetsbaarheden worden zo weinig misbruikt dat eigenlijk niemand er aandacht aan besteed. Een voorbeeld hiervan is NTP-servers. Cybercriminelen hebben onverwachts een flinke hoeveelheid aanvallen op netwerktijdprotocol (NTP)-servers uitgevoerd, waardoor zij allerlei servers van grote bedrijven konden neerhalen. Symantec meldt een plotselin1