Wereldwijde dag voor het wijzigen van uw wachtwoord: een oproep tot actie ISMS.online

Wereldwijde dag voor het wijzigen van uw wachtwoord: een oproep tot actie

Door Christie Rae • 1 februari 2024

Op 1 februari is het Global Change Your Password Day, dat in 2012 werd opgericht om het bewustzijn van goede wachtwoordbeheerpraktijken te stimuleren. Het is geen geheim dat menselijke fouten de belangrijkste oorzaak van datalekken zijn: een onderzoek uit 2022 door de World Economic Forum ontdekte dat 95% van de cyberbeveiligingsproblemen voortkomt uit fouten.

Nu cyberdreigingen zich alleen maar blijven vermenigvuldigen, is het belangrijker dan ooit dat bedrijven preventieve actie ondernemen om mensvormige risico's te beperken, inclusief het verbeteren van wachtwoordbeheer.

Het belang van goed wachtwoordbeheer

Wachtwoorden vormen de eerste verdedigingslinie in cyberbeveiliging: de sleutels tot onze digitale voordeur. Het afdwingen van goed wachtwoordbeheer is daarom een cruciaal onderdeel van elke strategie voor bedrijfsrisicobeheer. Zwakke, gemakkelijk te raden wachtwoorden vergroten het risico op succesvolle datalekken, waardoor hackers toegang krijgen tot privé-e-mails, netwerken en gevoelige bedrijfs- en klantgegevens.

Gegevensbreuken creëren ook reputatie- en financiële risico's. De IBM Kosten van een datalek 2023 Uit het rapport blijkt dat de wereldwijde gemiddelde kosten van een datalek voor een bedrijf 4.5 miljoen dollar bedroegen, een stijging van 15% sinds 2020.

Ook reputatieschade kan grote gevolgen hebben. In 2018, De aandelenkoers van Facebook kelderde met meer dan $100 miljard na het datalek-incident waarbij Cambridge Analytica betrokken was. British Airways een val gehad in reputatiescore en aandelenkoers na een datalek in 2018 waarbij hackers toegang kregen tot de persoonlijke en financiële informatie van bijna 500,000 klanten.

Bovendien kan een goede wachtwoordbeveiliging de naleving ervan helpen verbeteren gegevensbeschermingsregels zoals de EU General Verordening gegevensbescherming (GDPR) en informatiebeveiligingsnormen zoals ISO 27001 .

Uitdagingen voor wachtwoordbeheer

In een ideale wereld zou elke medewerker voor elke login een uniek wachtwoord hebben. In de praktijk is het onthouden van meerdere verschillende wachtwoorden niet praktisch en kan dit tot wachtwoordmoeheid leiden. Het afdwingen van de naleving van het wachtwoordbeleid kan ook lastig zijn. Een goed beginpunt is het instellen van systeemregels voor de wachtwoordlengte en vereisen dat wachtwoorden na een bepaalde tijd worden bijgewerkt.

Best practices voor zakelijk wachtwoordbeheer

Organisaties kunnen er op verschillende manieren voor zorgen dat ze de best practices voor wachtwoordbeveiliging volgen:

Wachtwoordlengte en complexiteit

Overweeg om vereisten in te stellen dat wachtwoorden tussen de 12 en 20 tekens lang moeten zijn, met een reeks kleine letters en hoofdletters, speciale tekens en cijfers voor meer sterkte. Een studie van Het CyLab Beveiligings- en Privacyinstituut van Carnegie Mellon University ontdekte dat het vereisen van een minimale sterkte en een minimale lengte van 12 tekens een goede balans creëerde tussen beveiliging en bruikbaarheid.

Beleid bijwerken

Hoewel Global Change Your Password Day een tijdige herinnering is om wachtwoorden bij te werken, zou dit niet de enige keer moeten zijn dat wachtwoorden worden gewijzigd. Beveiligingssoftwarebedrijf McAfee raadt aan om wachtwoorden elke drie maanden te wijzigen.

Wachtwoord opnieuw gebruiken

Voor medewerkers kan het verleidelijk zijn om voor meerdere accounts binnen hun werkomgeving hetzelfde wachtwoord te gebruiken. Dit verhoogt echter het risico op accountovername. Als een bedreigingsacteur toegang heeft tot één account met dat wachtwoord, heeft hij/zij feitelijk toegang tot alle accounts. Het trainen en opleiden van medewerkers kan dit risico helpen beperken door hergebruik van wachtwoorden te ontmoedigen.

Hulpmiddelen voor wachtwoordbeheer

Of ze nu op zichzelf staan of in browsers zijn opgenomen, deze tools zijn ontworpen om de kloof tussen beveiliging en bruikbaarheid te overbruggen, door sterke, unieke wachtwoorden voor elke site en applicatie op te slaan en veilig op te roepen. Het is echter essentieel om te weten dat als een hacker toegang krijgt tot de tool voor wachtwoordbeheer, hij alle wachtwoorden die erin zijn opgeslagen, kan compromitteren.

Implementatie van meervoudige authenticatie

Multi-factor authenticatie (MFA) vereist dat de gebruiker twee (of meer) vormen van verificatie verstrekt om toegang te krijgen tot een account. MFA kan bijvoorbeeld vereisen dat de gebruiker inlogt met zijn gebruikersnaam en wachtwoord en vervolgens een eenmalig wachtwoord (OTP) opgeeft via sms naar zijn telefoon. De gebruiker moet zowel zijn wachtwoord als het eenmalige wachtwoord opgeven om toegang te krijgen tot het account, wat een extra beveiligingslaag toevoegt.

Er zijn verschillende soorten MFA:

OTP's en op tijd gebaseerde OTP's

OTP’s zijn een sterke vorm van MFA en kunnen worden verzonden via authenticator-apps, wachtwoordmanagers of sms-berichten. Zodra het wachtwoord is gebruikt, is het niet langer geldig om opnieuw te gebruiken. Op tijd gebaseerde eenmalige wachtwoorden (TOTP’s) voegen een extra beveiligingslaag toe omdat ze slechts een beperkte tijd geldig zijn.

Het gebruik van OTP’s en TOTP’s met een authenticator-app of wachtwoordbeheerder is veiliger dan het ontvangen ervan via sms. Sms-berichten zijn vatbaar voor sim-hacking, onderscheppingsaanvallen en social engineering.

E-mail MFA

E-mail-MFA houdt in dat de tweede vorm van authenticatie van de gebruiker wordt afgeleverd op zijn e-mailadres. Deze vorm van MFA is weliswaar eenvoudig en toegankelijk voor gebruikers, maar brengt vergelijkbare risico's met zich mee voor sms-OTP's als een hacker toegang heeft tot het e-mailaccount waarop de code wordt afgeleverd.

Biometrische MFA

Biometrisch MFA-gebruik gezichtsherkenning, een vingerafdrukscan of een irisscan om de identiteit van de gebruiker te valideren en kan een sterke vorm van authenticatie zijn. Het wordt vaak gebruikt op mobiele telefoons, omdat de gebruiker biometrie kan configureren in plaats van een persoonlijk identificatienummer (PIN) te gebruiken om de telefoon te ontgrendelen en deze zelfs kan gebruiken om toegang te krijgen tot beveiligde apps zoals authenticator- en persoonlijke bank-apps.

Hoewel biometrische MFA een van de robuustere vormen van authenticatie is, kunnen gebruikers nog steeds vatbaar zijn als hun biometrische gegevens worden gestolen. In tegenstelling tot wachtwoorden kunnen deze gegevens niet worden gereset of gewijzigd.

Opleiding en beleidshandhaving van werknemers

Een van de belangrijkste obstakels voor verbeterde wachtwoordbeveiliging is het risico op menselijke fouten. Het opleiden van medewerkers is van cruciaal belang om ervoor te zorgen dat iedereen in de organisatie op de hoogte is van de risico's die gepaard gaan met slecht wachtwoordbeheer en hun verantwoordelijkheden op het gebied van cyberbeveiliging. Het is echter ook essentieel om oplossingen te bieden waarmee medewerkers zich op hun werk kunnen concentreren en wachtwoordmoeheid kunnen voorkomen.

Cybersecurity-training

Investeren in cyberbewustzijnstrainingen voor werknemers kan helpen het bedrijf veilig te houden en ervoor te zorgen dat het personeel andere risico's, zoals pogingen tot phishing-aanvallen, kan opmerken en rapporteren. Veel speciale trainingsplatforms stellen organisaties in staat cursussen in het hele bedrijf te geven, te controleren wie de vereiste training heeft voltooid en automatisch e-mailherinneringen te sturen naar achterblijvers.

Wachtwoordbeleid

Ontwikkel een wachtwoordbeleid dat is afgestemd op best practices en communiceer dat beleid binnen het hele bedrijf. Dit kan worden gedaan naast cyberbeveiligingstraining om iedereen in het bedrijf te helpen de besluitvorming achter het beleid te begrijpen en de naleving door medewerkers te verbeteren.

Beleid zou de minimale wachtwoordlengte, complexiteit, toegestane tekentypen en andere elementen kunnen specificeren. Zoals gezegd kan het IT-team de apparaten van werknemers ook zo instellen dat updates na een bepaalde periode, bijvoorbeeld 90 dagen, nodig zijn.

Hoe ISO 27001 en andere raamwerken kunnen helpen

Kaders voor informatiebeveiliging zoals ISO 27001 en regelgeving zoals de AVG vereisen dat bedrijven actie ondernemen op het gebied van wachtwoordbeveiliging.

De AVG vereist bijvoorbeeld dat bedrijven persoonsgegevens veilig verwerken met behulp van ‘passende technische en organisatorische maatregelen’ ISO 27001:2022 Bijlage A Controle 5.17 vereist dat authenticatie-informatie veilig wordt bewaard. In de controlerichtlijnen staat ook dat gebruikers moeilijk te raden, sterke wachtwoorden moeten kiezen die voldoen aan de industriestandaarden:

● Wachtwoorden mogen niet gebaseerd zijn op persoonlijke informatie die gemakkelijk kan worden verkregen, zoals namen of geboortedata.
● Wachtwoorden mogen niet gebaseerd zijn op informatie die gemakkelijk te raden is.
● Wachtwoorden mogen geen veel voorkomende woorden of woordreeksen bevatten.
● Gebruik alfanumerieke tekens en speciale tekens in uw wachtwoord.
● Wachtwoorden moeten een minimumlengtevereiste hebben.

Vijf stappen om het wachtwoordbeleid te verbeteren

1) Controleer het huidige wachtwoordbeleid

Controleer het bestaande wachtwoordbeleid van de organisatie. Moet het vernieuwd of verbeterd worden? Als er geen actueel wachtwoordbeleid bestaat, ontwikkel er dan een in overeenstemming met de industriestandaarden.

2) Communiceer binnen het hele bedrijf

Zorg ervoor dat al het personeel op de hoogte is van het nieuwe of bijgewerkte wachtwoordbeleid. Definieer het beleid en waarom het essentieel is, en overweeg om werknemers tegelijkertijd op te leiden. Organisaties moeten ook kijken naar het trainen van managers, zodat zij het beleid bij anderen kunnen bepleiten.

3) Implementeer tools voor wachtwoordbeheer

Kies goedgekeurde tools voor wachtwoordbeheer. Het gebruik van een beheertool verlicht de last van het onthouden van verschillende inloggegevens voor verschillende accounts, waardoor de kans groter wordt dat werknemers dit accepteren.

4) Gebruik MFA

Implementeer MFA als een extra manier om gebruikers te authenticeren en het risico op phishing te beperken.

5) Investeer in de opleiding van werknemers

Train medewerkers om een nieuw of bijgewerkt wachtwoordbeleid te volgen en leer ze over het gebruik van wachtwoordbeheer en MFA-tools. Dit kan de buy-in verbeteren en het personeel helpen het belang van goed wachtwoordbeheer te begrijpen.

Het is tijd om actie te ondernemen

In onze digitale wereld is het voor bedrijven belangrijker dan ooit om de balans op te maken van hun cyberbeveiliging. Global Change Your Password Day dient als een oproep tot actie voor bedrijfsleiders. Dit is het moment om proactief kwetsbaarheden te identificeren, waaronder een slecht wachtwoordbeleid, en het risico van cyberbedreigingen voor bedrijven, gegevens en – bij uitbreiding – mensen te verminderen.

Bent u klaar om actie te ondernemen om uw bedrijf te beveiligen en uw wachtwoordbeheer te verbeteren? Ontdek hoe onze oplossing voor het informatiebeveiligingsbeheersysteem (ISMS) uw organisatie kan helpen de beveiliging te verbeteren en het wachtwoordbeleid af te stemmen op krachtige raamwerken voor informatiebeveiliging.

Christie Rae

Christie is contentmarketingspecialist bij ISMS.online. Met meer dan zeven jaar ervaring wil ze informatieve, boeiende inhoud schrijven en heeft ze in een groot aantal sectoren gewerkt, waaronder cyberbeveiliging, software as a service, technologie en farmaceutica.