Wachtwoorden geven toegang tot de digitale wereld. Ze openen deuren naar een online omgeving waarin we tegenwoordig van alles regelen, maken, (ver)kopen, ontvangen en bewaren. Om dat te kunnen doen hebben we gebruikersaccounts; veelal op basis van een e-mailadres. Samen met een wachtwoord vormt dit een sleutel van de deur naar bijvoorbeeld digitale brievenbussen van je e-mail, naar netwerk- en informatiesystemen van het werk of naar applicaties van samenwerkingspartners.  

Om te zorgen dat anderen geen toegang hebben of krijgen tot inboxen, online opslaglocaties en zakelijke netwerken is het van belang om een wachtwoordbeleid te formuleren. Want daarmee maak je de digitale sleutels veiliger en is het risico op misbruik bij diefstal veel kleiner.  

Wat is een wachtwoordbeleid? 

Wachtwoordbeleid van een bedrijf beschrijft aan welke criteria wachtwoorden moeten voldoen, hoe medewerkers wachtwoorden dienen te gebruiken en hoe ze die het best kunnen bewaren. Deze regels gelden voor iedereen in de organisatie. Daarom is het beleid voor iedereen toegankelijk en wordt in het beleidsdocument ook uitgelegd waarom dit beleid nodig is.  

Waarom heb je een wachtwoordbeleid nodig? 

Over wachtwoorden en goed wachtwoordbeleid valt veel te zeggen. Want het staat buiten kijf dat inloggegevens heel gewild zijn en blijven bij hackers. Door diefstal, dan wel datalekken, circuleren miljoenen wachtwoorden online. Zorg daarom dat iedereen in de organisatie weet waarom er eisen worden gesteld zoals beschreven in het wachtwoordbeleid.  

Goed wachtwoordbeleid is nodig om je digitale eigendommen te beschermen. Kaders maken duidelijk wat mensen beter wel en beter niet kunnen doen en waarom.  

De grootste risico’s op het gebied van wachtwoorden zijn: 

  1. Kiezen voor (te) korte of voorspelbare wachtwoorden;  

  2. Een wachtwoord hergebruiken;  

  3. Ingestelde (standaard)wachtwoorden niet veranderen. 

Wat korte en voorspelbare wachtwoorden zo risicovol maakt?  Cybercriminelen beschikken over enorme databestanden met miljoenen veelgebruikte en gestolen wachtwoorden. Ze draaien dag en nacht software of kunstmatige intelligentie die automatisch verbanden kan leggen tussen een mailadres en een wachtwoord. Om deze zogenoemde ‘brute force-aanval’ tegen te gaan én daarmee toegang tot een zakelijk netwerk te voorkomen, helpen heldere instructies. 

Met hergebruik van wachtwoorden wordt bedoeld dat iemand maar één wachtwoord gebruikt om toegang te krijgen tot verschillende applicaties. Dat is erg gevaarlijk, want als dit wachtwoord wordt geraden of gestolen, kan de dief zichzelf toegang verschaffen tot al die applicaties. Wie daarvan slachtoffer wordt, zal uiteindelijk voor álle gebruikersaccounts een nieuw wachtwoord moeten instellen. Goed wachtwoordbeleid helpt om dat te voorkomen.  

Tot slot kunnen er apparaten, zoals een router, printer of beveiligingscamera’s op het bedrijfsnetwerk zijn aangesloten voorzien van een standaardwachtwoord, ingesteld door de fabrikant. Deze wachtwoorden zijn alom bekend bij kwaadwillenden, die de apparaten relatief eenvoudig online kunnen opsporen. Standaardwachtwoorden dienen daarom áltijd vervangen te worden.  

Een goed wachtwoordbeleid opstellen 

Goed wachtwoordbeleid bevat tenminste: 

  • Het doel:  

    • Te weten: het verbeteren van de veiligheid, verlagen van het risico op misbruik 

  • De criteria: 

    • hoe langer, hoe beter, maar minimaal 16 karakters of meer en een combinatie van kleine letters, hoofdletters, cijfers en speciale tekens (een spatie is ook een speciaal teken) 

  • De voorwaarden:  

    • Elk gebruikersaccount heeft een eigen wachtwoord; 

    • Wachtwoorden deel je niet met anderen, ook niet met collega’s; 

    • Noteer wachtwoorden nergens. 

  • Adviezen: 

    • Zorg dat een wachtwoord niet logisch is. Stel bij voorkeur een rare wachtwoordzin samen, zoals het 23 karakters lange: ‘peter REGENT w0rteltje$’; 

    • Stel multi-factor authenticatie (mfa) in indien mogelijk. 

  • De geldigheidsduur: Wanneer moeten werknemers hun wachtwoord(en) wijzigen? 

    • Bij sterke, unieke wachtwoorden in combinatie met mfa is regelmatig wachtwoorden, zonder reden, wijzigen niet nodig. Dat moet wel als een wachtwoord onaanvaardbaar zwak is of een kopie van een wachtwoord dat je elders gebruikt. Bij een vermoeden dat een wachtwoord is gestolen of gelekt, is spoedige wijziging geboden. 

    • Is gebruik van mfa niet mogelijk? Dan kun je kiezen voor verplichte wachtwoordwijziging, bijvoorbeeld na 45, 60 of 90 dagen. Accepteer hierbij alleen nieuwe wachtwoorden; geen variant (bv door toevoeging van een uitroepteken of cijfer) van een oud of veelgebruikt wachtwoord.  

  • Handhaving: Beschrijf consequenties van gewenst en ongewenst online gedrag, bijvoorbeeld: 

    • Compliment/beloning bij naleving;  

    • Cyberweerbaar gedrag weegt mee in beoordelings c.q. jaargesprekken;  

    • Awareness training / e-learning bij niet naleven.  

  • Datum en handtekening c.q. samensteller. 

    • De handtekening c.q. samensteller moet duidelijk maken dat het wachtwoordbeleid wordt gedragen door de directie of het managementteam. Waarbij de regels gelden voor iedereen. Leidinggevenden dienen het goede voorbeeld te geven en te stimuleren en controleren dat medewerkers het beleid naleven. Dit vergt continue aandacht, daarom is het verstandig om cyberweerbaar gedrag als vast onderwerp op te nemen in beoordelings- of jaargesprekken.

Een AVG proof wachtwoordbeleid 

Naleving van goed wachtwoordbeleid draagt bij om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Mocht er ooit sprake zijn van een datalek in de organisatie en er volgt controle door de Autoriteit Persoonsgegevens (AP), kan deze een gebrek aan wachtwoordbeleid beoordelen als nalatigheid. Daarvan is geen sprake als er maatregelen zijn genomen om misbruik van inloggegevens te voorkomen door middel van wachtwoordbeleid in combinatie met multi-factor authenticatie.  

Misbruik van gestolen of zwakke wachtwoorden om netwerken binnen te dringen, gebeurt nog steeds het vaakst.  Als CWB verwijzen we daarom naar de datalekzoekmachine Have I Been Pwned (HIBP). Organisaties kunnen hiermee controleren of wachtwoorden al eens zijn gelekt. Bovendien kunnen wachtwoorden tijdens aanmaak of wijziging worden vergeleken met de Pwnded Passwords-dataset. Zo kun je automatisch het hergebruik van kwetsbare wachtwoorden blokkeren nog vóórdat een account wordt aangemaakt of gewijzigd.  

Het gebruik van HIBP zou geen eenmalige actie moeten zijn, maar onderdeel van een bredere aanpak. Informatie over eerder gelekte accounts en wachtwoorden is vaak een voorbode van toekomstige aanvallen. Dankzij het actief en systematisch identificeren van deze signalen, kunnen organisaties sneller reageren op incidenten en ook preventieve maatregelen nemen.

Wachtwoorden veilig opslaan 

De gemiddelde gebruiker moet tientallen wachtwoorden onthouden. Dat leidt tot onwenselijk hergebruik van wachtwoorden of het gebruik van algemene wachtwoorden, zoals ‘Welkom1234’ of ‘Admin’.  

Wachtwoorden kun je beter niet noteren. In ieder geval nóóit op briefjes aan of bij een laptop. De meest veilige manier om wachtwoorden te bewaren, is het gebruik van een wachtwoordbeheerder. Zo’n passwordmanager maakt niet alleen unieke, onmogelijk te raden wachtwoorden, maar slaat ze ook op in een veilige, gecodeerde omgeving. 

Browsers, zoals Google Chrome, Mozilla Firefox en Microsoft Edge, bieden een handige mogelijkheid om wachtwoorden op te slaan. Daarmee kan de browser het wachtwoord automatisch invullen als een gebruiker online wil inloggen. Hoewel de browsers meestal sterke versleuteling gebruiken om wachtwoorden veilig op te staan, ontbreekt een extra beveiligingslaag voor de lijst met opgeslagen wachtwoorden. Denk daarbij aan een hoofdwachtwoord of biometrische verificatie zoals een vingerafdruk. Wie toegang heeft tot je apparaat, kan daardoor al je wachtwoorden zien én gebruiken. 

Een bijkomend risico is dat kwaadwillende software (malware) toegang kan krijgen tot jouw opgeslagen wachtwoorden. Zo bestaat er malware die speciaal is ontworpen om browsergegevens te stelen. Deze kan je versleutelde wachtwoorden ontcijferen of de lijst met opgeslagen wachtwoorden exporteren. Gebruik de functionaliteit in browsers dan ook alleen in combinatie met multi-factor authenticatie. Deel je een apparaat met een andere gebruiker? Sla dan geen wachtwoorden op in de browser. Doe dat ook niet op openbare computers zoals die in bibliotheken.  

Browsers zijn minder veilig dan speciale wachtwoordmanagers. Aan wachtwoordmanagers zijn echter wel kosten verbonden.  

Mfa: Multi-factor authenticatie 

Het gebruik van multi-factor authenticatie voorkomt dat iemand toegang krijgt tot een account door het wachtwoord te raden of te stelen. Want fouten of hacks kunnen altijd gebeuren. De meest effectieve bescherming is ervoor zorgen dat niemand zich kan aanmelden bij je accounts tenzij hij of zij een tweede vorm van identificatie biedt.  

Multi-factor authenticatie is dus een manier om de authenticiteit van een gebruiker te verifiëren op meer dan één enkele manier. Door meerdere factoren te combineren, wordt de beveiliging aangescherpt.  

Met multi-factor authenticatie, legitimeer je iemand door 

  • te vragen wat hij/zij weet: een wachtwoord of code; 
  • te controleren wat hij/zij heeft: toegang tot een specifiek telefoonnummer of e-mailadres; 
  • te checken wij hij/zij is: een uniek biometrisch kenmerk zoals een vingerafdruk of gezicht.  

Om multi-factor authenticatie te bereiken, moeten ten minste twee verschillende technologieën worden gebruikt voor het authenticatieproces. De meest voorkomende manier is met een wachtwoord en een 6-cijferig nummer dat een hele korte tijd geldig is.  

Voor die nummers zijn er diverse (gratis) authenticator-apps, bijvoorbeeld van Google, 2FAS, Microsoft en Twilio. Zo’n app installeer je op je mobiele telefoon. Daarna kun je met die authenticator QR-codes scannen voor services van derden. Nadat je je wachtwoord hebt ingevoerd, vind je in de authenticator het gevraagde 6-cijferige nummer. Pas als je deze hebt ingevoerd, komt de toegang tot stand.  

Je kunt ook kiezen voor een speciaal apparaatje dat je identiteit kan verifiëren door bijvoorbeeld een vingerafdrukscan. Een bekend voorbeeld hiervan is de Yubikey.  

Bouw de extra controle met multi-factor authenticatie tenminste in voor toegang tot systemen die je zeker wilt beschermen zoals de administratie, het ordersysteem en back-upbestanden.  

Maak liever geen gebruik van mfa via een SMS-bericht. SMS-berichten zijn namelijk niet versleuteld en kunnen op verschillende manieren onderschept worden. Verder wordt mfa via e-mail ontraden omdat e-mailaccounts te hacken zijn en daardoor de code(s) te stelen.  

Voorbeeld van een goed wachtwoordbeleid 

De basis voor goed wachtwoordbeleid staat in onze preventiekaart over wachtwoorden. Je kunt deze hier vrij downloaden van de CWB-website.  

Besef daarbij dat gebruikers vaak een hekel hebben (gehad) om gedwongen regels over lengte en moeilijkheid na te leven of om wachtwoorden met bepaalde tussenpozen te veranderen. Onderzoek heeft aangetoond dat zulke frustratie juist leidt tot onveilig gedrag.  

Organisaties moeten altijd bedenken wat het best past binnen de organisatie. Als medewerkers bewust zijn van informatiebeveiliging en een steentje willen bijdragen, kan het beleid lastigere regels bevatten. Is het bewustzijn laag, dan moeten de eisen niet complex zijn en volstaat de voorwaarde dat een wachtwoord vooral lang en onlogisch moet zijn. Dat kan eventueel in de vorm van drie woorden die niets met elkaar te maken hebben, zoals ‘laptop vangt parasol’.  

Hoe kan het CWB helpen? 

Op het besloten portaal van het CWB is veel aandacht besteed aan wachtwoorden en wachtwoordmanagers. Zo beschikken CWB-leden bijvoorbeeld over een handleiding in twee delen die helpt om een wachtwoordmanager aan te schaffen.  

Verder houden we voor onze participanten de ontwikkelingen in de gaten, zoals de opkomst van zogeheten passkeys; een veilig en gebruiksvriendelijk alternatief voor wachtwoorden, gebaseerd op cryptografie of biometrie (gezichtsherkenning, vingerafdrukken, irisscans en stemherkenning). Deze passkeys maken phishing nagenoeg onmogelijk. Bijkomend voordeel is het gebruikersgemak. En voor organisaties betekent het minder beheerlast, lagere kosten voor wachtwoordherstel en een hogere tevredenheid. Steeds meer applicaties en systemen ondersteunen de technologie, waaronder wachtwoordmanagers. 

Wil je meer weten of op de hoogte gehouden worden? Neem dan gerust contact op met Lisette Oosterbosch (Stuur een e-mail of bel: 06-83111210 op ma.di.do) of Nannie van Bijsterveldt (Stuur een e-mail of bel: 06-15904539 op ma.wo.do). We helpen je graag verder. Want samen maken we de sector digitaal weerbaarder. Meer informatie over het lidmaatschap en de kosten vindt u hier.     

Beveilig je organisatie met een sterk wachtwoordbeleid! 

Wachtwoorden zijn heel risicovol en blijven één van de zwakste schakels in digitale beveiliging. Ze zijn gevoelig voor phishing, brute-force-aanvallen, hergebruik en datalekken. 

Zorg daarom dat personeel weet wat er van hen wordt verwacht en leg vooral ook uit waarom dat zo is. Want als we het bewustzijn verhogen, verbetert de cyberveiligheid en is het bedrijf een stuk weerbaarder. Bovendien draagt aantoonbaar wachtwoordbeleid bij aan de eisen uit de AVG én aan die van de Cyberbeveiligingswet. Ook daarover leest u alles op deze CWB-website.  

Ontdek wat het CWB doet