De nieuwste best practices van NIST voor wachtwoordgebruik

Het NIST framework is iets dat door veel IT partners gebruikt wordt als leidraad om de IT omgevingen van zichzelf en hun klanten in te richten.
Er wordt gewerkt volgens een vast stramien (Indentify -> Protect -> Detect -> Respond -> Recover) dat ervoor zorgt dat jouw IT-infra vlotjes draait en er geen ongewenste gasten aan je bedrijfsdata zitten.

Veel te complex om hier toe te lichten, maar de 9 onlangs toegevoegde richtlijnen omtrent wachtwoorden zijn wél interessant en binnen één LinkedIn post samen te vatten.

1. Wachtwoorden moeten minstens 8 tekens lang zijn, maar liever 15 tekens. hashtagsizematters

2. Er zou geen lengtelimiet mogen zijn voor wachtwoorden, maar als die er is minimum 64 karakters.
Een use-case voor het gebruik van een wachtwoordmanager, tenzij je absoluut geen fouten typt.

3. Alle mogelijke ASCII-tekens moeten toegestaan zijn, inclusief spaties.
Een wachtwoord dat uit 64 spaties bestaat gaat niemand raden, niet?

4. Unicode-tekens moeten mogelijk zijn en elk als één teken tellen voor het bepalen van de wachtwoordlengte.
Nood aan Japanse tekens in je wachtwoord? Done!

5. Er zijn geen complexiteit regels die een mengeling van verschillende tekentypes vereisen nodig. Complexiteit op zichzelf brengt geen grotere veiligheid.
Gedaan met ! of $ aan je alom gekende wachtwoord toe te voegen.

6. Gebruikers mogen niet verplicht worden regelmatig een nieuw wachtwoord in te stellen, enkel bij vermoeden van een inbreuk.
Buiten het feit dat het al even bekend is dat dit tot onveilig wachtwoorden leidt is het ook gewoon enorm vervelend. Nooit meer 1, 2, 3, …, 99 aan je wachtwoord moeten toevoegen lijkt ons alvast een goed idee.

7. Geen wachtwoord hints meer tonen aan niet geauthentiseerde gebruikers.
Wat het gebruik van hints vrij nutteloos maakt. De hints de vuilbak in dus.

8. Kennis-gebaseerde vragen als wachtwoord alternatief of reset methode zijn niet meer toegestaan.
Je moet de naam van je derde nicht langs moeders kant dus niet meer onthouden. Dat is vanaf nu dus enkel nog ongemakkelijk op familiefeestjes.

9. Het gehele wachtwoorden moet gecontroleerd worden; afsnijden is niet meer toegestaan.
Sommige applicaties deden dit effectief. Van jouw 64 karakters lange wachtwoord werden er maar 8 opgeslagen. Ver van geweldig.

Niet alle gebruikte systemen zullen hier aan voldoen maar nu heb je op z’n minst een set regels van de goede praktijk waarmee je de makers virtueel mee om de oren kan slaan.

Fusies en overnames: de mythe van betere service

Het viel me onlangs op dat het jachtseizoen weer op volle toeren draait: overnames en fusies in de IT-sector. Alleen...

Cyber security: begin bij de basis

Als het in de IT wereld over beveiliging gaat wordt er nogal snel naar “fear-based-selling”, verkopen op basis van angst,...

Phishing – laat je niet vangen!

Jaarlijks krijgen meer dan 75% van de bedrijven te maken met phishing. Het blijft daarmee de populairste aanvalsvector om ransomware...

Hoe kies je een IT service provider?

Door de grote vraag naar digitalisatie worden bedrijven gedwongen hun werking aan te passen. Hierdoor is IT een zeer kritiek...
Cookieconsent met Real Cookie Banner