PassProtect...

...er veel nieuwe kennis is op het gebied van wachtwoordveiligheid? Toch bieden veel organisaties weerstand tegen deze nieuwe theorieen. Aldus het NIST, een organisatie die zich heeft toegespitst op de beste werkwijze(n) omtrent wachtwoorden.

Geen arbitraire verplichtingen meer

Zo is het vaak verplicht om na een bepaalde tijd, je wachtwoord te wijzigen. Onzin, volgens het NIST. Het zou ervoor zorgen dat gebruikers eerder makkelijke wachtwoorden kiezen. Immers, ze moeten deze toch periodiek wijzigen. Dan liever iets wat makkelijk te onthouden toch?

Zo wordt bijvoorbeeld 'Winter2021!' veranderd in 'Lente2021!'. Deze weer in 'Zomer2021!', om vervolgens te eindigen met 'Herfst2021!'. Waarop het rijtje weer van voor af aan wordt afgegaan. Dit is natuurlijk wat we absoluut niet willen.

Geen verplichte complexiteit maar wél een minimale lengte

Hoe ingewikkelder, hoe beter, lijkt het motto met wachtwoorden. Dit blijkt toch iets anders te zitten dan gedacht.

Het NIST raad dan ook het houden van blacklists aan. Hier zitten veelgebruikte wachtwoorden in. Deze dienen vervolgens regelmatig te worden vergeleken met de door gebruikers gekozen wachtwoorden. Dit zou voor een betere beveiliging moeten zorgen.

Daarnaast is volgens het NIST, wiskundig gezien, lengte de beslissende factor. Complexiteit in een kort wachtwoord heeft weinig zin. Terwijl lengte bij een minder complex wachtwoord de beveiliging aanzienlijk verbeterd. Aldus het NIST.

Voer het screenen van nieuwe wachtwoorden in

Tot slot zegt het NIST dat screenen veel veiligheid kan opleveren. Maar dat dit onderdeel nog het meeste genegeerd wordt.

Net als bij HaveIBeenPwned.com is het idee om een database te hebben. Deze bevat veelgebruikte/slechte/gelekte wachtwoorden. Welke vervolgens worden vergeleken met die van gebruikers. Zo kan tijdig ingegrepen worden wanneer onveilige wachtwoorden in gebruik worden genomen.