Het NIST framework is iets dat door veel IT partners gebruikt wordt als leidraad om de IT omgevingen van zichzelf en hun klanten in te richten.
Er wordt gewerkt volgens een vast stramien (Indentify -> Protect -> Detect -> Respond -> Recover) dat ervoor zorgt dat jouw IT-infra vlotjes draait en er geen ongewenste gasten aan je bedrijfsdata zitten.
Veel te complex om hier toe te lichten, maar de 9 onlangs toegevoegde richtlijnen omtrent wachtwoorden zijn wél interessant en binnen één LinkedIn post samen te vatten.
1. Wachtwoorden moeten minstens 8 tekens lang zijn, maar liever 15 tekens. hashtag#sizematters
2. Er zou geen lengtelimiet mogen zijn voor wachtwoorden, maar als die er is minimum 64 karakters.
Een use-case voor het gebruik van een wachtwoordmanager, tenzij je absoluut geen fouten typt.
3. Alle mogelijke ASCII-tekens moeten toegestaan zijn, inclusief spaties.
Een wachtwoord dat uit 64 spaties bestaat gaat niemand raden, niet?
4. Unicode-tekens moeten mogelijk zijn en elk als één teken tellen voor het bepalen van de wachtwoordlengte.
Nood aan Japanse tekens in je wachtwoord? Done!
5. Er zijn geen complexiteit regels die een mengeling van verschillende tekentypes vereisen nodig. Complexiteit op zichzelf brengt geen grotere veiligheid.
Gedaan met ! of $ aan je alom gekende wachtwoord toe te voegen.
6. Gebruikers mogen niet verplicht worden regelmatig een nieuw wachtwoord in te stellen, enkel bij vermoeden van een inbreuk.
Buiten het feit dat het al even bekend is dat dit tot onveilig wachtwoorden leidt is het ook gewoon enorm vervelend. Nooit meer 1, 2, 3, …, 99 aan je wachtwoord moeten toevoegen lijkt ons alvast een goed idee.
7. Geen wachtwoord hints meer tonen aan niet geauthentiseerde gebruikers.
Wat het gebruik van hints vrij nutteloos maakt. De hints de vuilbak in dus.
8. Kennis-gebaseerde vragen als wachtwoord alternatief of reset methode zijn niet meer toegestaan.
Je moet de naam van je derde nicht langs moeders kant dus niet meer onthouden. Dat is vanaf nu dus enkel nog ongemakkelijk op familiefeestjes.
9. Het gehele wachtwoorden moet gecontroleerd worden; afsnijden is niet meer toegestaan.
Sommige applicaties deden dit effectief. Van jouw 64 karakters lange wachtwoord werden er maar 8 opgeslagen. Ver van geweldig.
Niet alle gebruikte systemen zullen hier aan voldoen maar nu heb je op z’n minst een set regels van de goede praktijk waarmee je de makers virtueel mee om de oren kan slaan.