Waarom wachtwoorden die ‘nooit verlopen’ een riskante beslissing kunnen zijn

Wachtwoorden resetten kan frustrerend zijn voor eindgebruikers. Niemand vindt het leuk om onderbroken te worden door de melding ’tijd om je wachtwoord te wijzigen’ – en ze vinden het nog minder leuk als de nieuwe wachtwoorden die ze aanmaken worden afgewezen door het wachtwoordbeleid van hun organisatie. IT-teams delen de pijn, met het resetten van wachtwoorden via servicedesktickets en support calls als een dagelijkse last. Desondanks is het algemeen geaccepteerd dat alle wachtwoorden na een bepaalde tijd moeten verlopen.

Waarom is dit het geval? Heb je überhaupt wachtwoordverlopen nodig? Ontdek waarom verlopen bestaan ​​en waarom het instellen van wachtwoorden op ‘nooit verlopen’ misschien wat hoofdpijn bespaart, maar niet het beste idee is voor cybersecurity.

Waarom verlopen wachtwoorden?

Het traditionele wachtwoordresetbeleid van 90 dagen komt voort uit de noodzaak om te beschermen tegen brute-force-aanvallen. Organisaties slaan wachtwoorden doorgaans op als hashes, wat versleutelde versies zijn van de werkelijke wachtwoorden die zijn gemaakt met behulp van cryptografische hashfuncties (CHF’s). Wanneer een gebruiker zijn wachtwoord invoert, wordt het gehasht en vergeleken met de opgeslagen hash. Aanvallers die proberen deze wachtwoorden te kraken, moeten het juiste wachtwoord raden door potentiële wachtwoorden door hetzelfde hashalgoritme te halen en de resultaten te vergelijken. Het proces kan voor aanvallers nog ingewikkelder worden gemaakt door technieken als salting, waarbij willekeurige strings aan wachtwoorden worden toegevoegd voordat ze worden gehasht.

Brute-force-aanvallen zijn afhankelijk van verschillende factoren, waaronder de rekenkracht die de aanvaller tot zijn beschikking heeft en de sterkte van het wachtwoord. De resetperiode van 90 dagen werd beschouwd als een evenwichtige aanpak om brute-force-aanvallen te overtreffen zonder gebruikers te belasten met te frequente wijzigingen. Vooruitgang in de technologie heeft echter de tijd die nodig is om wachtwoorden te kraken verkort, wat aanleiding gaf tot een herevaluatie van dit beleid. Desondanks blijft de vervaltermijn van 90 dagen een aanbeveling in veel nalevingsnormen, waaronder PCI.

Waarom zijn sommige organisaties gestopt met het hanteren van vervaldata?

Een van de belangrijkste argumenten tegen het regelmatig laten verlopen van wachtwoorden is dat het kan leiden tot het hergebruik van zwakke wachtwoorden. Gebruikers brengen vaak kleine wijzigingen aan in hun bestaande wachtwoorden, zoals het veranderen van ‘Wachtwoord1!’ in ‘Wachtwoord2!’. Deze praktijk ondermijnt de beveiligingsvoordelen van wachtwoordwijzigingen. Het echte probleem hier is echter niet de handeling van het opnieuw instellen van wachtwoorden, maar eerder het beleid van de organisatie dat zwakke wachtwoorden in de eerste plaats toestaat.

De belangrijkste reden waarom organisaties hebben gekozen voor wachtwoorden die nooit verlopen, is het verminderen van de belasting van IT en servicedesks. De kosten en belasting van wachtwoordreset op IT-helpdesks zijn aanzienlijk. Gartner schat dat 20-50% van de IT-helpdeskoproepen verband houdt met wachtwoordreset, waarbij elke reset ongeveer $ 70 aan arbeid kost volgens Forrester. Dit telt op, vooral wanneer gebruikers vaak hun wachtwoorden vergeten nadat ze gedwongen werden om nieuwe te maken.

Sommige organisaties kunnen daarom in de verleiding komen om eindgebruikers te dwingen één heel sterk wachtwoord te maken en deze wachtwoorden vervolgens zo in te stellen dat ze nooit verlopen. Zo beperken ze de IT-lasten en kosten voor het opnieuw instellen.

Wat zijn de risico’s van wachtwoorden die nooit verlopen?

Een sterk wachtwoord hebben en het nooit veranderen kan iemand een vals gevoel van veiligheid geven. Een sterk wachtwoord is niet immuun voor bedreigingen; het kan kwetsbaar zijn voor phishing-schema’s, datalekken of andere soorten cyberincidenten zonder dat de gebruiker het doorheeft. Het Specops Breached Password Report ontdekte dat 83% van de gecompromitteerde wachtwoorden voldeed aan de wettelijke normen voor lengte en complexiteit.

Een organisatie kan een sterk wachtwoordbeleid hebben waarbij elke eindgebruiker gedwongen wordt een sterk wachtwoord te maken dat bestand is tegen brute force-aanvallen. Maar wat gebeurt er als de werknemer besluit om zijn wachtwoord te hergebruiken voor zijn Facebook, Netflix en alle andere persoonlijke applicaties? Het risico dat het wachtwoord wordt gecompromitteerd, neemt aanzienlijk toe, ongeacht de interne beveiligingsmaatregelen die de organisatie heeft getroffen. Uit een onderzoek van LastPass bleek dat 91% van de eindgebruikers het risico van wachtwoordhergebruik begreep, maar 59% deed het toch.

Een ander risico met wachtwoorden die nooit verlopen, is dat een aanvaller een set gecompromitteerde inloggegevens gedurende een lange periode kan gebruiken. Het Ponemon Institute ontdekte dat het een organisatie doorgaans ongeveer 207 dagen kost om een ​​inbreuk te identificeren. Hoewel het verplicht stellen van wachtwoordverloop hier nuttig kan zijn, is het waarschijnlijk dat een aanvaller zijn doelen al heeft bereikt tegen de tijd dat het wachtwoord verloopt. Daarom adviseren NIST en andere richtlijnen organisaties om wachtwoorden alleen zo in te stellen dat ze nooit verlopen als ze mechanismen hebben om gecompromitteerde accounts te identificeren.

Hoe u gecompromitteerde wachtwoorden kunt detecteren

Organisaties moeten een uitgebreide wachtwoordstrategie aannemen die verder gaat dan de normale vervaldatum. Dit omvat het begeleiden van gebruikers bij het maken van sterke wachtwoordzinnen van ten minste 15 tekens. Een dergelijk beleid kan de kwetsbaarheid voor brute-force-aanvallen aanzienlijk verminderen. Eindgebruikers aanmoedigen om langere wachtwoorden te maken, kan ook worden bereikt door middel van lengtegebaseerde veroudering, waarbij langere, sterkere wachtwoorden langere tijd mogen worden gebruikt voordat ze verlopen. Deze aanpak elimineert de noodzaak voor een one-size-fits-all vervaldatum, op voorwaarde dat gebruikers zich houden aan het wachtwoordbeleid van de organisatie.

Echter, zelfs sterke wachtwoorden kunnen worden gecompromitteerd en er moeten maatregelen worden genomen om dit te detecteren. Als een wachtwoord eenmaal is gecompromitteerd, verandert de kraaktijd voor een wachtwoord in de rechteronderhoek van de bovenstaande tabel in ‘direct’. Organisaties hebben een gezamenlijke strategie nodig om ervoor te zorgen dat ze zichzelf beschermen tegen zowel zwakke als gecompromitteerde wachtwoorden.

Als u geïnteresseerd bent in het beheren van al het bovenstaande op een geautomatiseerde manier vanuit een eenvoudig te gebruiken interface binnen Active Directory, kan Specops Password Policy een waardevolle tool zijn in uw cybersecurity-arsenaal. Via de Breached Password Protection-service kan Specops Password Policy continu het gebruik van meer dan 4 miljard unieke bekende gecompromitteerde wachtwoorden controleren en blokkeren. Bekijk het zelf met een live demo.

Thijs Van der Does