Wachtwoord Beleid

Als bedrijf kun je veel maatregelen nemen tegen digitale inbraken. Een van de makkelijkste en ook goedkoopste maatregel is de implementatie van een goed wachtwoord beleid. Elke organisatie zou dit moeten vastleggen en een van de standaard dingen die wij implementeren bij elke nieuwe dienst die wij opleveren.

Aan de andere kant is het voor een hacker ook de makkelijkste manier om in te breken. Dit wordt vaak gedaan door middel van een Brute-Force Attack. Daarbij gebruikt een hacker tools waarmee een heleboel inlogpogingen gedaan worden, steeds met andere wachtwoorden.

Uit de praktijk hebben we ook vele andere voorbeelden, zoals medewerkers die uit dienst zijn waarvan het wachtwoord niet is geblokkeerd, of bedrijven waarvan de leidinggevende wil dat alle medewerkers hetzelfde wachtwoord gebruiken, maar ook het posten van een nieuwe werkplek op Facebook met op de monitor een post-it van het wachtwoord om in te loggen. Het begint dus vooral met logisch nadenken en uw medewerkers bewust te maken van het belang en gebruiken van een goed wachtwoordbeleid.

Wat is een goed wachtwoordbeleid?

Periodiek wijzigen
Min. 8 tekens
Hoofd- en kleine letters
Geen sociale wachtwoorden
Opleiden personeel
Geen postit met wachtwoord
Speciale tekens
Verplicht wijzigen
Individuele wachtwoorden

Als wij uw wachtwoord moesten hacken:

We zouden beginen met het verzamelen van gegevens, tegenwoordig is het via sociale media eenvoudig te achterhalen hoe jouw kinderen, vrouw en zelfs hoe jouw huisdieren heten. Ook geboortedatums zijn relatief makkelijk te achterhalen.

Ook jouw gebruikersnaam is belangrijk, in de meeste gevallen is dat het e-mail adres dus dit is relatief makkelijk te achterhalen.

Dan hebben we nog een aantal standaard wachtwoorden die veel gebruikt worden zoals: paswoord, 123456, letmein, de lokale voetbalclub, etc. Deze lijstjes zijn eenvoudig te downloaden en in te geven in een paswoord scanner.

Herken je een van bovenstaande punten in uw wachtwoord? Twijfel er dan niet over dat we na enig vooronderzoek binnen een half uur toegang hebben tot uw account!

Kijk in de rechter tabel hoe lang het zou duren voordat we jouw wachtwoord hebben gehackt, we gaan hier uit van een gemiddelde situatie, stel voor Google zou dit doen dan gaat het ongeveer 1000 x sneller!

Hoe snel is een wachtwoord te hacken?

Een en ander is afhankelijk van verschillende factoren, denk daarbij aan de snelheid van de computer van de hacker, de snelheid van de internetverbining en de complexibiliteit van het wachtwoord. We gaan hier uit van een gemiddelde situatie:

Paswoord Lengte: Alle Karakters Alleen kleine letters
3 karakters  0,86 seconde 0,02 seconde
4 karakters 1,36 minuut 0,46 seconde
5 karakters 2,15 uur 11,9 seconde
6 karakters 8,51 dagen 5,15 minuten
7 karakters 2,21 jaar 2,23 uur
8 karakters  2,10 eeuwen 2,42 dagen
9 karakters 20 millennia 2,07 maanden
10  karakters 1899 millennia 1,16 eeuw

Uw hond, vrouw, kinderen of favoriete voetbalclub zijn geen goed wachtwoord!

Hoe implementeert B/Focused Wachtwoord Beleid:

Eerst overleggen we met de klant hoe het bedrijf omgaat met wachtwoorden. We bespreken welke wachtwoorden er zijn, hoe deze worden opgeslagen, bijgehouden en gewijzigd. Aan de hand daarvan passen we onze bouwsteen Wachtwoord Beleid aan naar de vraagstelling van onze klant.

Na een akkoord, communiceren we dit met de gebruikers en leiden ze op zodat ze het belang zien van een goed wachtwoordbeleid voor elk bedrijf.  Immers als uw personeel niet achter het plan van een goed wachtwoord beleid zal staan, zal er waarschijnlijk weinig van terecht komen. Uw personeel moet weten wat ze moeten doen bij bijvoorbeeld personeelswijzigingen, om maar een onderdeel te noemen.

Nu implementeren we het afgesproken beleid en verplichten alle gebruikers hun wachtwoord aan te passen naar conform afgesproken waarden.

Ik heb een supergoed wachtwoord maar toch ben ik gehackd, hoe kan dat?

In uw jeugd had u een favoriet boek, de eerste regel van dat boek kent u uit u hoofd en gebruikt u als wachtwoord. Als extra complexibiliteit hebt u nog wat speciale tekens en cijfers toegevoegd op alle plekken waar een i voorkomt. Dit wachtwoord is zo complex en onraadbaar dat is onmogelijk te hacken….

Maar toch…..

Het probleem hiervan is dat hackers soms uw wachtwoord niet eens hoeven te hacken om daar toegang toe te krijgen. Online diensten als Facebook, LinkedIN, Yahoo, Dropbox en nog vele andere aanbieders hebben dit wachtwoord namelijk al voor u gelekt. Hackers kunnen voor een paar tientjes op het darknet toegang krijgen tot miljoenen e-mailadressen en wachtwoorden. Hebt u al jarenlang datzelfde moeilijke wachtwoord als hierboven beschreven dan kan het dus toch nog zijn dat u eenvoudig te hacken bent met dit wachtwoord op andere platformen waar ook weer allemaal handige tooltjes voor zijn die dit geautomatiseerd voor een hacker afwerken en ze aan het eind van de week een mooie rapportage ontvangen welke accounts allemaal te misbruiken zijn.

Have I been pwnd? oftewel zijn mijn inloggegevens gecompromiteerd?

Op de website https://haveibeenpwned.com/ kunt u controleren of uw e-mail adres gecompromitteerd is met een hack bij een online dienst. In onderstaande printscreen een voorbeeld van mij eigen e-mail adres van een paar jaar geleden. In dit geval is mijn e-mail adres op 4 platvormen die ik destijds gebruikte gelekt, namelijk 500px, Dropbox, Houzzz en LinkedIN.

have i been pwned

Hoe onthoud ik mijn wachtwoorden?

In principe geen slechte manier. Alleen lastig te beveiligen tenzij het in een kluis ligt wat dan weer lastig is voor de makkelijkheid van gebruik, iedereen die toegang heeft tot het boekje kan snel wat foto’s maken en daarmee is het wachtwoord gecompromitteerd. In principe adviseren wij geen boekjes…

Dit is al beter, veel telefoons zijn tegenwoordig beveiligd met tweeweg verificatie waardoor zelfs bij het verlies van uw telefoon de wachtwoorden niet zo maar in te zien zijn. Hou wel in de gaten dat uw notitieblok gesynchroniseerd wordt met een cloud dienst zodat u bij verlies van de telefoon niet alle wachtwoorden kwijt bent. De standaard notitieblokken van Google, Apple en mijn persoonlijke favoriet OneNote van Microft zijn allemaal potentiele gegadigden om dit in bij te houden.

Geen goed idee, beveiligde Excel bestanden zijn vaak toch makkelijk te hacken en dit is vaak ook bekend bij meerdere medewerkers of personen in een zakelijke omgeving. Let er ook op dat als iemand uit dienst gaat alle wachtwoorden in het excel bestand aangepast worden!

Goede en handige methode. Er zijn z0wel online varianten als Google Passwords, LastPass en offline mogelijkheden waarvan keeppass de beste is. Keeppass bestandjes zijn ook een beter alternatief dan de gedeelde excel documenten op een gedeelde datalocatie in een bedrijf. LastPass is mijn persoonlijke favoriet, eigenlijk gewoon omdat ik niet alles bij Google wil opslaan. Zet wel altijd twee weg verificatie aan op uw online password manager!

Speciale software geschikt voor zakelijk waxchtwoord beheer door medere medewerkers. Als ICT bedrijf hebben wij duizenden wachtwoorden die we met een team moeten kunnen inzien en beheren, Onmogelijk verantwoord te doen met van de vorige genoemde methoden….

Welke tooling wij daarvoor gebruiken? Dat vertel ik u graag in een persoonlijk gesprek!