Het onboarden van medewerkers is een drukke tijd voor IT-teams. Nieuwe starters hebben apparaten, accounts, toegangsrechten en wachtwoorden nodig, allemaal binnen een strak tijdsbestek.
Dat betekent meestal dat u een tijdelijk wachtwoord voor de eerste dag moet delen, zodat werknemers voor de eerste keer toegang krijgen tot systemen. Het probleem is dat deze wachtwoorden niet altijd tijdelijk blijven. Ze kunnen via e-mail of sms worden verzonden, tussen accounts worden hergebruikt of helemaal nooit worden gewijzigd, waardoor onnodige risico’s ontstaan tijdens het onboardingproces.
Voor aanvallers kunnen zwakke of slecht beheerde onboarding-referenties een gemakkelijke route naar bedrijfssystemen bieden. Om het onboardingproces veiliger te maken zonder nieuwe medewerkers te vertragen, is het belangrijk om te begrijpen waarom typische methoden voor het delen van wachtwoorden risico’s met zich meebrengen.
Wanneer gemak belangrijker is dan veiligheid
De meest gebruikelijke aanpak voor het delen van initiële inloggegevens met nieuwe medewerkers is om ze in platte tekst via e-mail of sms te verzenden. Het is snel en handig, vooral tijdens drukke onboarding-periodes, maar het creëert ook een duidelijk zichtbaarheidspunt. Als deze berichten worden onderschept, doorgestuurd of geopend op een onbeveiligd apparaat, kunnen aanvallers onmiddellijk toegang krijgen tot bedrijfsaccounts en -systemen.
Het alternatief is het mondeling delen van wachtwoorden, persoonlijk of via de telefoon. Hoewel dit het risico op digitale onderschepping verkleint, brengt het ook eigen operationele uitdagingen met zich mee. IT-teams en nieuwe starters moeten hun planningen coördineren, en het proces mislukt vaak wanneer managers of derden wordt gevraagd om namens IT hun inloggegevens door te geven. Hoe meer mensen betrokken zijn bij het omgaan met een wachtwoord, hoe groter de kans dat het verkeerd wordt gebruikt of openbaar wordt gemaakt.
Geen van beide methoden biedt een bijzonder veilige of schaalbare manier om onboardingreferenties te verwerken. In veel gevallen balanceren organisaties toegangsgemak en beveiliging, en tijdelijke wachtwoorden worden uiteindelijk eerder een zwakke plek op de lange termijn dan een onboardingstap op de korte termijn.
Een veiligere benadering van het onboarden van wachtwoorden
Traditionele onboardingmethoden creëren risico’s omdat organisaties überhaupt gedwongen worden tijdelijke wachtwoorden te delen. Om dit probleem aan te pakken zijn er gespecialiseerde oplossingen zoals Specops First Day Password, beschikbaar als onderdeel van Specops uReset, waardoor het niet meer nodig is om eerstedagswachtwoorden te verspreiden.
In plaats van een tijdelijke inloggegevens te ontvangen via e-mail, sms of telefoon, stellen nieuwe medewerkers hun eigen wachtwoord in via een beveiligd inschrijvingsproces. Gebruikers ontvangen een inschrijvingslink via persoonlijke e-mail, sms of een optie “mijn wachtwoord opnieuw instellen” op hun apparaat dat bij het domein is aangesloten. Nadat ze hun identiteit hebben geverifieerd met behulp van een persoonlijk e-mailadres of mobiel nummer, kunnen ze vanaf het begin een wachtwoord aanmaken dat voldoet aan de beleidsvereisten van de organisatie.
Deze aanpak vermindert het risico dat gepaard gaat met onderschepte of verkeerd behandelde inloggegevens, terwijl het proces eenvoudiger wordt voor zowel IT-teams als nieuwe starters.
Het risico dat tijdelijke wachtwoorden permanent worden
De meeste inloggegevens zijn ontworpen om tijdelijk te zijn, waarbij van medewerkers wordt verwacht dat zij na hun eerste login een nieuw wachtwoord aanmaken. Het is echter gemakkelijk voor drukke gebruikers om deze stap te missen en het wijzigen van hun wachtwoord uit te stellen. Onboarding-workflows kunnen er ook niet in slagen een reset af te dwingen, of tijdelijke inloggegevens kunnen actief blijven zonder dat iemand het merkt.
Dat schept een probleem omdat wachtwoorden voor de eerste dag zelden zijn ontworpen met het oog op veiligheid op de lange termijn. Ze zijn eenvoudiger, voorspelbaarder of worden in bulk gegenereerd om de onboarding te versnellen. Als deze inloggegevens actief blijven, worden ze een gemakkelijk doelwit voor aanvallers die op zoek zijn naar eenvoudige manieren om toegang te krijgen tot bedrijfssystemen.
Recente incidenten laten zien hoe gevaarlijk ongewijzigde standaard- of tijdelijke inloggegevens kunnen zijn, vooral als ze zichtbaar blijven op internetgerichte systemen of gekoppeld zijn aan gevoelige gebruikersgegevens.
Benutten van zwakke referenties in kritieke infrastructuur
In november 2023 was de gemeentelijke waterautoriteit van Aliquippa in Pennsylvania, VS, het doelwit van de aan Iran gelieerde hacktivistische groep Cyber Av3ngers. De hackers maakten gebruik van programmeerbare logische controllers (PLC’s) die werden beschermd door de standaardreferentie “1111”, waardoor ze controle konden krijgen over een extern boosterstation dat twee townships bedient. Hoewel er geen risico was voor de watervoorziening, werd de ernst van het risico benadrukt doordat CISA andere faciliteiten waarschuwde om de standaardgegevens in soortgelijke systemen bij te werken en PLC’s van het open internet te ontkoppelen.
Het incident is een goed voorbeeld van hoe het instellen van inloggegevens een beveiligingszwakte op de lange termijn kan worden. Een wachtwoord bedoeld voor initiële implementatie of testen bleef actief op productiesystemen, waardoor aanvallers een eenvoudige route naar operationele technologieomgevingen kregen.
Inbreuk maken op een wervingsplatform via een slecht beveiligd beheerdersaccount
In 2025 ontdekten onderzoekers dat het AI-aangedreven wervingsplatform van McDonald’s, McHire, toegankelijk was via een zwak verouderd beheerdersaccount dat naar verluidt “123456” gebruikte als zowel de gebruikersnaam als het wachtwoord. Het platform, beheerd door Paradox.ai, verwerkte grote hoeveelheden informatie over sollicitanten als onderdeel van het wervings- en onboardingproces.
Met behulp van de standaardgegevens konden de onderzoekers toegang krijgen tot een testomgeving binnen het McHire-platform. Van daaruit konden ze chatinteracties bekijken die gekoppeld waren aan meer dan 64 miljoen sollicitaties. Paradox.ai reageerde snel nadat het probleem op verantwoorde wijze was bekendgemaakt, loste de kwetsbaarheid op en werkte het beveiligingsbeleid bij. Het incident benadrukt echter hoe gemakkelijk het vergeten van standaard- of testreferenties voor ernstige risico’s kan zorgen wanneer ze verbonden blijven met live systemen.
Beveilig uw onboardingprocessen met Specops
Wachtwoorden verdwijnen niet snel; Zelfs nu wachtwoordsleutels en wachtwoordloze authenticatie steeds populairder worden, spelen wachtwoorden nog steeds een centrale rol in de meeste onboarding- en toegangsbeheerprocessen.
Dat betekent dat organisaties veilige, betrouwbare manieren nodig hebben om inloggegevens gedurende hun gehele levenscyclus te beheren, inclusief het allereerste wachtwoord dat een gebruiker ontvangt. Het delen van tijdelijke inloggegevens of het vergeten om standaardwachtwoorden opnieuw in te stellen, creëert onnodige risico’s die aanvallers snel kunnen misbruiken.
Het verminderen van dat risico hoeft onboarding niet ingewikkelder te maken. Door gebruikers vanaf dag één veilig hun eigen wachtwoorden te laten aanmaken, kunnen organisaties de beveiliging verbeteren en tegelijkertijd IT-teams een schaalbaarder en beter beheersbaar onboardingproces geven.
Specops helpt organisaties bij het versterken van de wachtwoordbeveiliging in elke fase van de gebruikerslevenscyclus, van onboarding en het maken van wachtwoorden tot voortdurende beleidshandhaving en bescherming tegen inbreuk op wachtwoorden. Als u wilt zien hoe onze oplossingen in uw organisatie kunnen werken, boek dan vandaag nog een demo.
