De Amerikaanse National Institute of Standards and Technology (NIST) heeft in hun richtlijnen een duidelijke aanbeveling gedaan over het wijzigen van wachtwoorden. In tegenstelling tot wat velen misschien gewend zijn, stelt NIST dat het niet verplichten van periodieke wijzigingen van wachtwoorden veiliger kan zijn. Laten we dieper ingaan op hun advies en waarom dit een verstandig idee is.
Wat NIST zegt: geen verplichte periodieke wijzigingen
De NIST-richtlijnen stellen dat wachtwoordverifiers (zoals organisaties of systemen) niet moeten eisen dat gebruikers hun wachtwoorden regelmatig wijzigen zonder reden. Dit betekent dat de oude gewoonte om werknemers of gebruikers elke 60 of 90 dagen hun wachtwoord te laten veranderen, eigenlijk niet zo’n goed idee is. Deze aanpak is achterhaald en kan zelfs leiden tot zwakkere beveiliging.
Het enige moment waarop NIST wél eist dat een wachtwoord wordt gewijzigd, is wanneer er bewijs is dat het wachtwoord is gecompromitteerd. Bijvoorbeeld bij een datalek of als er frauduleuze activiteit is waargenomen.
Waarom gebruikers zwakkere wachtwoorden kiezen bij verplichte wijzigingen
Een van de belangrijkste redenen waarom NIST dit aanbeveelt, is dat gebruikers zwakke wachtwoorden kunnen kiezen als ze weten dat ze hun wachtwoord binnenkort toch weer moeten veranderen. Wanneer iemand een wachtwoord moet veranderen, kiezen ze vaak een gemakkelijk te onthouden variatie van hun oude wachtwoord. Bijvoorbeeld door gewoon een getal te verhogen (“Wachtwoord123” wordt “Wachtwoord124”). Dit soort veranderingen zijn voorspelbaar en maken het makkelijker voor aanvallers om wachtwoorden te raden of te kraken, vooral als eerdere wachtwoorden al zijn gelekt.
Zoals NIST verklaart:
"Gebruikers neigen naar zwakkere wachtwoorden als ze weten dat ze deze snel moeten veranderen. Wanneer ze dat doen, passen ze vaak standaardtransformaties toe, zoals het verhogen van een getal in hun wachtwoord. Dit biedt een vals gevoel van veiligheid, vooral als een van de vorige wachtwoorden is gecompromitteerd, aangezien aanvallers dezelfde transformaties kunnen toepassen."
In plaats van een willekeurige, verplichte wijziging, stelt NIST voor om wachtwoorden alleen te laten wijzigen wanneer er bewijs is dat ze zijn gecompromitteerd.
De voordelen van minder wachtwoordwijzigingen
De benadering van NIST biedt meerdere voordelen:
- Minder stress voor gebruikers: Veel gebruikers ervaren het veranderen van wachtwoorden als een vervelend en tijdrovend proces. Door minder vaak te wisselen, wordt de druk op hen verminderd.
- Betere wachtwoorden: Gebruikers kunnen zich focussen op het kiezen van sterke, unieke wachtwoorden die langer meegaan. Zonder de dreiging van een naderende wijziging zullen ze minder geneigd zijn om voorspelbare patronen te volgen.
- Minder kwetsbaarheid voor aanvallen: Door niet te vertrouwen op periodieke wijzigingen, maar alleen actie te ondernemen wanneer er echt bewijs van een inbraak is, wordt het voor aanvallers moeilijker om eenvoudig gederiveerde wachtwoorden te raden.
Wanneer moeten wachtwoorden dan wel gewijzigd worden?
Zoals eerder vermeld, moet een wachtwoord alleen worden gewijzigd als er bewijs is van een compromis. Dit kan bijvoorbeeld gebeuren wanneer:
- Een database met gehashte wachtwoorden is gelekt.
- Frauduleuze activiteiten zijn gedetecteerd op een account.
Dit zijn situaties waarin actie wél noodzakelijk is, omdat het huidige wachtwoord mogelijk in handen van kwaadwillenden is gevallen. In deze gevallen is het logisch om gebruikers te verplichten hun wachtwoord aan te passen om verdere schade te voorkomen.
Conclusie
De aanbeveling van NIST om wachtwoorden niet periodiek te wijzigen tenzij er bewijs is van een compromis, draait om het verbeteren van de beveiliging door menselijke gedragspatronen in acht te nemen. Wanneer gebruikers gedwongen worden om hun wachtwoorden vaak te wijzigen, leidt dit vaak tot voorspelbare en zwakkere wachtwoorden. Door in plaats daarvan sterke wachtwoorden aan te moedigen en deze alleen te veranderen bij een bewezen compromis, kan de algehele veiligheid van systemen verbeteren.
Organisaties zouden deze aanpak moeten overwegen om een balans te vinden tussen gebruikersgemak en effectieve beveiliging, zoals voorgesteld door de experts van NIST.
