De securitytip van Ruben Raadsheer: vergeet je wachtwoord

In deze serie vragen we de experts van HP om hun beste securitytip prijs te geven. Deze keer spraken we met Ruben Raadsheer, Chief Technologist bij HP. Zijn tip? Vergeet je wachtwoord!

“Het klinkt misschien gek, maar wachtwoorden zijn onveilig”, vertelt Ruben. “De mensheid gebruikt al sinds heugenis een vorm van wachtwoorden. Door opkomst van computers hebben we afgelopen decennia onszelf moeten aanleren om steeds ingewikkeldere wachtwoorden te verzinnen.”

“Die kunnen we vervolgens niet onthouden, waardoor we ezelsbruggetjes verzinnen, herhaling toepassen of ze opschrijven. Maar door grote toename aan rekenkracht maakt voor de methodes van hackers een 1 of ! in het wachtwoord nauwelijks verschil.”

Securitytip: gebruik geen wachtwoorden

Ruben vertelt: “Veel werkgevers verplichten hun personeel om regelmatig een nieuw ingewikkeld wachtwoord te verzinnen. Vervolgens verzinnen medewerkers iets wat gemakkelijk te onthouden is, waarmee je het tegenovergestelde bereikt van wat je wilt.”

“Dit gebruik van wachtwoorden hebben we onszelf aangeleerd omdat er vroeger geen betere methodes waren. Computerbeveiliging met wachtwoorden is begonnen op mainframes; quasi-afgesloten netwerken met relatief weinig externe toegang. Nu vrijwel alles op internet aangesloten is, wordt veiligheid veel belangrijker.”

Is jouw wachtwoord al bekend?

“Tegenwoordig zijn er database dumps van websites als LinkedIn en Marriott. Daar kun je zo een wachtwoord vinden dat wellicht ook wel op andere plekken gebruikt wordt.”

Benieuwd of jouw wachtwoorden al ergens bekend zijn? Ontdek het hier.

“Misschien staat je eerste huisdier ergens op een gelekt social media account, of iets over de meisjesnaam van je moeder. Dit zijn vaakgebruikte herstelvragen. Deze informatie kunnen hackers combineren om snel bij je gegevens komen.”

Gevolgen van een gekraakt wachtwoord

Is een wachtwoord eenmaal gehackt, dan zijn de gevolgen vaak erger dan de werknemer in eerste instantie denkt. “Voor een werknemer lijkt het niet zo heel erg, voor hun gevoel hebben ze weinig te verbergen.”

“Toch kunnen criminelen via die medewerker verder binnendringen in het bedrijf. De endpoints van je medewerkers hebben namelijk een veel grotere attackvector dan de cloud of een datacenter.”

Veel dezelfde wachtwoorden

“De meeste bedrijven hebben maar enkele datacenters en clouds zijn erg goed beveiligd. Gemiddeld hebben medewerkers drie devices waarmee ze het bedrijfsnetwerk kunnen benaderen.”

“Als al die gebruikers zakelijk hetzelfde of vergelijkbaar wachtwoord gebruiken als voor andere online diensten, heb je een probleem. Daarom pleiten we voor het vergeten van je wachtwoord.”

Alternatieven voor een wachtwoord

Bij het lezen van de securitytip van Ruben denk je misschien: Hoe verschaf je je gebruikers toegang zonder wachtwoorden? “Gebruik een combinatie van certificaten met een pincode en/of biometrische toegang. Denk hierbij bijvoorbeeld aan een vingerafdruk, scan van het gezicht, de iris of hartritme. Dat wordt multifactor identificatie genoemd.”

“Het is een combinatie van iemand wat je hebt, wat je weet en wat je bent. Wordt er vreemd ‘gedrag’ geconstateerd? Dan trek je één van de factoren in, waardoor kwaadwillende geen toegang meer hebben.”

Zo is dat bijvoorbeeld ook bij de bank. Je krijgt na het invoeren van je pincode een melding met een verificatiecode. Dan combineer je iets wat je hebt: je telefoon (die vooraf is gekoppeld en met pin/biometrisch is beveiligd), en iets wat je weet: je unieke pincode voor de bank. En voor bijzondere acties heb je een extra factor nodig met een reader/scanner.”

Sure Admin om het BIOS wachtwoord te beschermen

Sinds de komst van Windows 10 en opmars van Linux is de beveiliging van het OS steeds beter, maar daaronder nog niet. Voorheen beveiligde men de endpoints (als het goed is) met een BIOS wachtwoord, gecreëerd door de IT-afdeling.

Vaak werd dan hetzelfde wachtwoord gebruikt voor laptops die in een bepaalde batch/maand/samenstelling binnenkwamen. Stel dat in augustus tien laptops binnenkwamen, dan kregen die allemaal hetzelfde wachtwoord. 

Meerlaagse beveiliging

Dit wachtwoord kan (in goede wil of niet) gedeeld worden met derden, maar ook weten IT’ers het nog wanneer ze bijvoorbeeld van werkgever veranderen.

Dit kan worden opgelost door voortdurend alle wachtwoorden te veranderen, of door te hopen dat je op goede voet uit elkaar gaat. Een betere manier is HP Sure Admin, deze oplossing regelt een meerlaagse beveiliging van de BIOS op basis van certificaten.

Een laatste securitytip van Ruben

Tot slot: “Mocht je nou nog niet kunnen overstappen op multifactor authenticatie, zorg dan voor zoveel mogelijk variatie in tekens, en belangrijker; zorg dat je wachtwoorden zo lang mogelijk zijn. De entropie van een wachtwoord neemt toe bij elk extra teken.”

“Verder moeten gebruikers geholpen worden zo gemakkelijk en veilig mogelijk te werken. Als beveiliging te ingewikkeld en onbegrijpelijk wordt gemaakt gaan gebruikers workarounds verzinnen. Waardoor je het tegenovergestelde bereikt en de veiligheid juist afneemt.”

Lees ook