Microsoft advies: laat wachtwoorden niet verlopen

Eén van de noodzakelijke kwaden van een veilige omgeving is dat je regelmatig je wachtwoord moet wijzigen. Meestal gebeurt dit natuurlijk op momenten dat dit helemaal niet uitkomt. Maar goed, veiligheid voor alles, dus verzin je ter plekke een nieuw wachtwoord en kun je er weer een paar weken tegenaan.

Tijdens het bijwerken van onze Secure Score, viel me op dat 1 van de acties om een hogere score te verkrijgen was: Do not expire passwords. Ik had eigenlijk het omgekeerde verwacht. Lang is ons voorgehouden dat wachtwoorden periodiek moeten verlopen omdat de kans dat ze achterhaald worden anders groter wordt. En veel organisaties die ik spreek verplichten hun gebruikers dan ook om dit regelmatig te doen. En nu zegt Microsoft: laat wachtwoorden niet verlopen!

De verklaring die Microsoft hier voor geeft is als volgt:

Hoewel dit niet de meest intuïtieve aanbeveling is, heeft onderzoek uitgewezen dat wanneer periodieke wachtwoord wijzigingen worden afgedwongen, de wachtwoorden zwakker worden, omdat gebruikers vaak iets zwakkers kiezen en vervolgens een vast patroon gebruiken om nieuwe wachtwoorden te kiezen. Als een gebruiker een sterk wachtwoord creëert: lang, complex en zonder gewone woorden daarin, is het over 60 dagen net zo sterk als vandaag. Het is Microsoft’s officiële beveiligingsstandpunt om wachtwoorden periodiek niet te laten verlopen zonder een specifieke reden.

Interessant en ook wel logisch eigenlijk. Een nieuw wachtwoord is vaak afgeleid van de vorige en omdat je je wachtwoord altijd op ongelegen momenten moet wijzigen kies je vaak voor een makkelijker wachtwoord. Een zoektocht op Internet toont dat Microsoft in dit advies niet alleen staat. Ook organisaties als het The National Institute of Standards and Technology (NIST) adviseert deze werkwijze. Zie de Digital Identity Guidelines

Het initiële wachtwoord moet natuurlijk wel een sterk wachtwoord zijn. En probeer een echt sterk wachtwoord maar eens te onthouden. Hiervoor zijn gelukkig diverse tips te geven zoals te vinden op https://www.consumentenbond.nl/internet-privacy/wachtwoord-onthouden. Daarnaast kunt je ook gebruik maken van password managers. Zelf ben ik sinds lang een tevreden gebruiker van KeePass, maar ook LastPass is een veelgebruikte. Voordeel is dat je een onmogelijk in te typen en te onthouden, en dus een sterk wachtwoord kunt genereren: door te kopieren en plakken hoef je dus niets te onthouden over in te typen!

Dus beheerders: zorg voor sterke wachtwoorden en zet die vervelende functie vervolgens maar uit!

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *