Password policies

Voor je digitale bescherming moet je vaak een wachtwoord instellen. Tegelijkertijd is gebleken dat wachtwoorden de meest zwakke plek zijn van bescherming. Men gebruikt zwakke wachtwoorden, of hetzelfde voor ieder account. Grote organisaties hebben daarom zogeheten “password policies”. Dit zijn eisen die aan een wachtwoord worden gesteld, bijvoorbeeld over de lengte, de tekens, de geldigheidsduur, geen hergebruik van wachtwoorden, hoe vaak je het zelf mag wijzigen en hoeveel keer je een verkeerd wachtwoord mag ingeven.

Niet alle eisen werken altijd even goed. Soms kan het juist contraproductief werken. Bijvoorbeeld de eis “er moet een cijfer en een teken in”, leidt in de praktijk tot password1!, password 2!, password3!, etc. Dit zijn makkelijk te raden wachtwoorden.

Een eis die wel goed werkt, is een blokkeringssyteem dat na 5 pogingen het account afsluit werkt goed tegen een zogenaamde brute force aanval, waarbij een generator allerlei wachtwoorden probeert.

Ieder half jaar een nieuw wachtwoord kan economisch slecht uitpakken. Als een bedrijf met 1000 werknemers deze allemaal na zes maanden een nieuw wachtwoord laat instellen en in de praktijk blijkt dat iedereen daar een uur over doet (denk aan het opnieuw instellen van al je appraten, overleg met de helpdesk) dan heb je op jaarbasis veel omzetverlies. Weegt dit op tegen het risico van een cyberaanval?

Je kan bij een organisatie onderzoeken welke password policies ze gebruiken, welke aanval scenario’s ze proberen te voorkomen en of de gekozen policy effectief is.

Tips en relevante vragen hierbij:

  • Kijk naar wiskundig bewijs voor de sterkte van je wachtwoord, belangrijke term hierbij is entropie.
  • Hoe proberen aanvallers wachtwoorden te kraken? Welke cyber security aspecten spelen een rol?
  • Hoe worden wachtwoorden opgeslagen? Welke informatica aspecten over hashing algoritmen spelen een rol?
  • Mensen hebben gedrag en gewoontes bij het gebruik en maken van wachtwoorden. Welke psychologie aspecten van hoe mensen omgaan met wachtwoorden spelen een rol? Denk aan usability aspecten en human computer interaction.
  • Wat zijn de economische aspecten van de password policy binnen een bedrijf?