Digitale veiligheid: wachtwoorden stammen uit het dinosauriërstijdperk
- Geschreven door Victor Visser
“Het kost mij ongeveer een uurtje om jullie Facebook-account te hacken”, stelde een Nederlandse hacker enige tijd geleden live in het radioprogramma ‘Evers staat op’ op Radio538. Hij was niet aan het opscheppen: de man in kwestie had een bloeiende loopbaan als hacker achter de rug. Totdat hij door de Amerikaanse FBI werd betrapt. Inmiddels heeft hij zijn leven gebeterd en is hij een succesvol securityspecialist.
Wat is een goed wachtwoord?
“Wat is een goed wachtwoord?”, vroegen de radio Dj’s aan de voormalige hacker. Goede vragen die voor zowel particulieren als ondernemers van belang zijn. Het antwoord was ontnuchterend. “Maak een zo lang mogelijk wachtwoord. Zoals ‘DeHondLooptOpStraat’. Een zin is namelijk veel makkelijker te onthouden dan moeilijke combinaties van letters en tekens. En een lopende zin laat zich weer lastiger automatisch ‘raden’ door speciale hacksoftware. Bepaal daarnaast goed voor jezelf welke accounts belangrijk zijn en gebruik daar weer verschillende wachtwoorden voor.”
Op de vraag ‘Zijn wachtwoorden nog wel zo toekomstbestendig als beveiliging?’, had de securityspecialist ook al een eenvoudig antwoord: “Nee.” Zij stammen nog uit het dinosauriërtijdperk, aldus de voormalige hacker op de radio. “Vingerafdrukken, iris-scan, stemherkenning: het werkt allemaal veiliger dan een wachtwoord, maar geen van alle methoden zijn nog waterdicht.”
Stappenplan voor veilige wachtwoorden
Is het dan volledig nutteloos om nog met wachtwoorden te werken als het gaat om de cybersecurity van de onderneming? Nee. Maar het is wel verstandig om een paar zaken goed te regelen. Nederland ICT, de branchevereniging van ICT-bedrijven in Nederland, heeft daarvoor een handzaam stappenplan opgesteld.
• Bedenk wie bij welke gegevens mag komen en doe dit op basis van ‘need-to-know’. Leg duidelijk vast wie toegang heeft tot welke delen van het informatiesysteem. Dit kan in de beveiligingsrichtlijnen. Hierdoor houdt u het overzicht.
• Beperk speciale bevoegdheden op computers of het netwerk zoveel mogelijk. Zorg dat alleen door u aangewezen medewerkers extra bevoegdheden hebben, zoals administratorrechten.
• Laat regelmatig controleren of de toegangsrechten die medewerkers hebben, ook nog kloppen met hun functie.
• Zorg dat op tijd toegangsrechten worden verwijderd wanneer medewerkers uit dienst gaan of van functie wijzigen. Het is hiervoor dus wel belangrijk dat niet iedere medewerker hetzelfde wachtwoord heeft.
• Maak voor elke medewerker een eigen gebruikersaccount aan met eigen wachtwoord.
• Stel medewerkers verplicht om persoonlijke wachtwoorden geheim te houden.
• Verplicht medewerkers periodiek hun wachtwoord te wijzigen (bijvoorbeeld een keer per vier maanden). Een oud wachtwoord mag dan niet worden gebruikt.
• Stel regels op voor de wachtwoorden en dwing deze technisch af.
• Stel computers zo in dat deze automatisch vergrendelen als ze een aantal minuten niet gebruikt zijn, en stel een wachtwoord verplicht voor ontgrendeling.
• Verplicht medewerkers het standaardwachtwoord direct te wijzigen in bijvoorbeeld nieuwe software, computers, smartphones of voicemaildiensten
• Zorg voor een overzicht welke externe partijen toegang hebben met welk wachtwoord en pas dit aan als de situatie verandert.
Welk gevaar ligt er op de loer?
Het is nog steeds geen kwestie van een stappenplan volgen en Klaar is Kees. Voor een goede beveiliging van data en applicaties is meer nodig. En bovenal is en blijft het mensenwerk. De beste technische maatregelen zijn nutteloos als medewerkers ze domweg omzeilen door bijvoorbeeld wachtwoorden op een PostIT-velletje te noteren en op hun beeldscherm plakken.
Hoe een goede cybersecurity en digitale veiligheid voor ondernemers in de praktijk werkt? Wij hebben dat voor u in een praktisch e-book gevat.
