Waarom u wachtwoorden moet ruilen voor wachtwoordzinnen

Cyberbeveiliging
Waarom u wachtwoorden moet ruilen voor wachtwoordzinnen

Het advies veranderde decennialang niet: gebruik complexe wachtwoorden met hoofdletters, kleine letters, cijfers en symbolen. Het idee is om het voor hackers moeilijker te maken om wachtwoorden te kraken via brute force-methoden. Maar recentere richtlijnen laten zien dat onze focus moet liggen op de lengte van het wachtwoord, in plaats van op de complexiteit. Lengte is de belangrijkste beveiligingsfactor, en wachtwoordzinnen zijn de eenvoudigste manier om uw gebruikers langere wachtwoorden te laten maken (en onthouden!)

De wiskunde die ertoe doet

Wanneer aanvallers wachtwoord-hashes van een inbreuk stelen, gebruiken ze brute kracht door miljoenen gissingen per seconde te hashen totdat er iets overeenkomt. Hoe lang dit duurt, hangt van één ding af: hoeveel mogelijke combinaties er zijn.

Een traditioneel ‘complex’ wachtwoord van 8 tekens (P@ssw0rd!) biedt ruwweg 218 biljoen combinaties. Klinkt indrukwekkend totdat je je realiseert dat moderne GPU-opstellingen deze combinaties binnen maanden en niet jaren kunnen testen. Verhoog dat tot 16 tekens en gebruik alleen kleine letters, en je ziet 26^16 combinaties, miljarden keren moeilijker te kraken.

Dit is effectieve entropie: de feitelijke willekeur waar een aanvaller doorheen moet werken. Drie of vier willekeurige gewone woorden die aan elkaar zijn geregen (“tapijt-statisch-krakeling-aanroepen”) leveren veel meer entropie op dan het proppen van symbolen in korte reeksen. En gebruikers kunnen ze daadwerkelijk onthouden.

Waarom wachtwoordzinnen op elk front winnen

Het argument voor wachtwoordzinnen is niet theoretisch, maar operationeel:

Minder resets. Wanneer wachtwoorden gemakkelijk te onthouden zijn, stoppen gebruikers met het schrijven ervan op Post-it-notities of het recyclen van vergelijkbare variaties tussen accounts. Uw helpdesktickets dalen, wat alleen al de verandering zou moeten rechtvaardigen.

Betere aanvalsweerstand. Aanvallers optimaliseren voor patronen. Ze testen woordenboekwoorden met veel voorkomende vervangingen (@ voor a, 0 voor o), omdat mensen dat doen. Een wachtwoordzin van vier woorden omzeilt deze patronen volledig – maar alleen als de woorden echt willekeurig en niet-gerelateerd zijn.

In lijn met de huidige richtlijnen. NIST is duidelijk geweest: geef prioriteit aan lengte boven geforceerde complexiteit. Het traditionele minimum van 8 tekens zou echt tot het verleden moeten behoren.

Eén regel die de moeite waard is om te volgen

Stop met het beheren van 47 wachtwoordvereisten. Geef gebruikers één duidelijke instructie:

Kies 3-4 niet-gerelateerde veelvoorkomende woorden + een scheidingsteken. Vermijd songteksten, eigennamen of bekende zinsneden. Gebruik nooit meerdere accounts.

Voorbeelden: mango-gletsjer-laptop-oven of cricket.snelweg.mosterd.piano

Dat is het. Geen verplichte hoofdletters, geen verplichte symbolen, geen complexiteitstheater. Gewoon lengte en willekeur.

Uitrollen zonder chaos

Wijzigingen in de authenticatie kunnen weerstand oproepen. Zo minimaliseer je wrijving:

Begin met een pilotgroep en verzamel 50-100 gebruikers van verschillende afdelingen. Geef ze de nieuwe richtlijnen en monitoren (maar dwing ze niet af) gedurende twee weken. Let op patronen: nemen mensen standaard uitdrukkingen uit de popcultuur over? Voldoen ze consequent aan de minimale lengtevereisten?

Ga vervolgens voor de hele organisatie naar de modus Alleen waarschuwen. Gebruikers zien waarschuwingen wanneer hun nieuwe wachtwoordzin zwak is of gecompromitteerd is, maar ze worden niet geblokkeerd. Dit vergroot het bewustzijn zonder dat er draagvlakknelpunten ontstaan.

Alleen afdwingen nadat u het volgende heeft gemeten:

  • Acceptatiepercentage van wachtwoordzin
  • Vermindering van het resetten van de helpdesk
  • Verboden wachtwoordhits uit uw blokkeerlijst
  • Door de gebruiker gerapporteerde wrijvingspunten

Volg deze als KPI’s. Zij zullen u vertellen of dit beter werkt dan het oude beleid.

Zorg dat het bij de juiste beleidsinstrumenten blijft

Uw Active Directory-wachtwoordbeleid heeft drie updates nodig om wachtwoordzinnen correct te ondersteunen:

  1. Verhoog de minimale lengte. Verplaats van 8 naar 14+ tekens. Dit ondersteunt wachtwoordzinnen zonder problemen te veroorzaken voor gebruikers die nog steeds de voorkeur geven aan traditionele wachtwoorden.
  2. Laat geforceerde complexiteitscontroles achterwege. Stop met het vereisen van hoofdletters, cijfers en symbolen. Lengte zorgt voor betere beveiliging met minder wrijving voor de gebruiker.
  3. Blokkeer gecompromitteerde inloggegevens. Dit is niet onderhandelbaar. Zelfs de sterkste wachtwoordzin helpt niet als deze al is gelekt bij een inbreuk. Uw beleid moet inzendingen in realtime vergelijken met bekende gecompromitteerde lijsten.

Selfservice-wachtwoordreset (SSPR) kan helpen tijdens de transitie. Gebruikers kunnen de inloggegevens op hun eigen tijd veilig bijwerken, en uw helpdesk mag niet het knelpunt zijn.

Wachtwoordcontrole geeft u inzicht in de acceptatiepercentages. U kunt accounts identificeren die nog steeds korte wachtwoorden of algemene patronen gebruiken, en u vervolgens op die gebruikers richten met aanvullende begeleiding.

Tools zoals Specops Wachtwoordbeleid vervullen alle drie de functies: het uitbreiden van beleidsminima, het blokkeren van meer dan 4 miljard gecompromitteerde wachtwoorden en integratie met SSPR-workflows. De beleidsupdates worden gesynchroniseerd met Active Directory en Azure AD zonder extra infrastructuur, en de blokkeerlijst wordt dagelijks bijgewerkt als er nieuwe inbreuken optreden.

Hoe dit er in de praktijk uitziet

Stel je voor dat je beleid 15 tekens vereist, maar alle complexiteitsregels laat vallen. Een gebruiker maakt paraplu-onderzetter-fontein-schets tijdens hun volgende wachtwoordwijziging. Een tool als Specops Wachtwoordbeleid vergelijkt het met de gecompromitteerde wachtwoorddatabase: het is schoon. De gebruiker onthoudt het zonder wachtwoordbeheerder omdat het vier concrete afbeeldingen zijn die aan elkaar zijn gekoppeld. Ze gebruiken het niet opnieuw omdat ze weten dat het specifiek is voor dit account.

Zes maanden later geen resetverzoek. Geen post-it en geen telefoontje naar de helpdesk omdat ze een symbool met dikke vingers hadden. Niets revolutionairs – gewoon simpel en effectief.

De zekerheid die u echt nodig heeft

Wachtwoordzinnen zijn geen wondermiddel. MFB is nog steeds van belang. Gecompromitteerde legitimatiebewaking is nog steeds van belang. Maar als u geld besteedt aan wijzigingen in het wachtwoordbeleid, dan is dit de plek waar u het aan kunt besteden: langere minimumwaarden, eenvoudigere regels en echte bescherming tegen inbreuk op de inloggegevens.

Aanvallers stelen nog steeds hashes en forceren deze offline. Wat er veranderd is, is ons begrip van wat ze daadwerkelijk vertraagt, dus uw volgende wachtwoordbeleid moet dat weerspiegelen. Interesse om het eens te proberen? Boek een live demo van Specops Wachtwoordbeleid.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Achter de schermen van het Pixel Tester-programma van Google

De WD_Black SN8100 SSD biedt nu maar liefst 8TB opslagruimte

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]