Hoe vaak moet je je wachtwoorden veranderen?

De afgelopen jaren is er veel gesproken over het groeiende potentieel van wachtwoordloze authenticatie en wachtwoorden. Dankzij de bijna algemene toepassing van gezichtsherkenning op smartphones is de mogelijkheid om in te loggen op je favoriete apps of andere diensten door in je apparaat te kijken (of een andere methode van biometrische authenticatie) nu voor velen een realiteit. Maar het is nog steeds niet de norm, vooral in de desktopwereld, waar velen van ons nog steeds vertrouwen op de goede oude wachtwoorden.

Hier ligt de uitdaging, want wachtwoorden blijven een belangrijk doelwit voor fraudeurs en andere kwaadwillenden. Dus hoe vaak moeten we deze gegevens veranderen om ze veilig te houden? Het beantwoorden van deze vraag kan lastiger zijn dan je denkt.

Waarom het veranderen van wachtwoorden misschien geen zin heeft

Tot niet al te lang geleden werd aangeraden om wachtwoorden regelmatig te wijzigen om het risico op diefstal of kraken door cybercriminelen te beperken. De algemeen bekende tip was ergens tussen de 30 en 90 dagen.

De tijden veranderen echter en onderzoek suggereert dat het regelmatig veranderen van wachtwoorden, vooral volgens een vast schema, de accountbeveiliging niet noodzakelijkerwijs verbetert. Met andere woorden, er is geen pasklaar antwoord op de vraag wanneer je je wachtwoord(en) moet veranderen. Bovendien hebben velen van ons te veel online accounts om gemakkelijk bij te houden, laat staan om elke paar maanden (sterke en unieke) wachtwoorden te bedenken voor elk van hen. Bovendien leven we nu bijna overal in een wereld van wachtwoordmanagers en twee-factor authenticatie (2FA).

Het eerste betekent dat het makkelijker is om lange, sterke en unieke wachtwoorden voor elke account op te slaan en op te roepen. De tweede voegt een vrij naadloze extra beveiligingslaag toe aan het aanmeldproces met wachtwoorden. Sommige wachtwoordmanagers hebben nu dark web monitoring ingebouwd om automatisch aan te geven wanneer er mogelijk inloggegevens zijn gekraakt en circuleren op ondergrondse sites.

Er zijn in ieder geval een aantal dwingende redenen waarom beveiligingsexperts en wereldwijd gerespecteerde autoriteiten, zoals het Amerikaanse National Institute of Standards and Technology (NIST) en het Britse National Cyber Security Centre (NCSC), niet aanraden om mensen te dwingen hun wachtwoorden elke paar maanden te veranderen, tenzij aan bepaalde criteria wordt voldaan.

De reden is vrij eenvoudig:

• Volgens NIST: "Gebruikers hebben de neiging om zwakkere gememoriseerde wachtwoorden te kiezen als ze weten dat ze die in de nabije toekomst moeten veranderen".
• ‘’Wanneer die veranderingen plaatsvinden, kiezen ze vaak een wachtwoord dat lijkt op hun oude opgeslagen wachtwoord door een aantal veelvoorkomende transformaties toe te passen, zoals het verhogen van een getal in het wachtwoord", vervolgt NIST.
• Deze praktijk geeft een vals gevoel van veiligheid, want als een eerder wachtwoord is gecompromitteerd en je vervangt het niet door een sterk en uniek wachtwoord, dan kunnen aanvallers het gemakkelijk opnieuw kraken.
• Volgens het NCSC is het ook waarschijnlijker dat nieuwe wachtwoorden, vooral als ze om de paar maanden worden aangemaakt, worden opgeschreven en/of vergeten.

"Het is één van die contra-intuïtieve beveiligingsscenario's; hoe vaker gebruikers gedwongen worden om wachtwoorden te veranderen, hoe groter de algehele kwetsbaarheid voor aanvallen. Wat een heel verstandig, al lang bestaand advies leek, blijkt niet op te gaan tegen een strenge analyse van het hele systeem," stelt het NCSC.

"Het NCSC raadt organisaties nu aan om het regelmatig verlopen van wachtwoorden niet af te dwingen. Wij geloven dat dit de kwetsbaarheden vermindert die gepaard gaan met het regelmatig verlopen van wachtwoorden, terwijl het risico op langdurig misbruik van wachtwoorden nauwelijks toeneemt."

Wanneer moet je jouw wachtwoord wijzigen?

Er zijn echter verschillende scenario's die een wachtwoordwijziging noodzakelijk maken, vooral voor je belangrijkste accounts. Deze zijn onder andere:

• Je wachtwoord is betrapt bij een datalek door een derde partij. Je zult hier waarschijnlijk van op de hoogte worden gesteld door de provider zelf, of je kunt je hebben aangemeld voor dergelijke waarschuwingen op diensten zoals Have I Been Pwned, of je kunt op de hoogte worden gesteld door jouw wachtwoordbeheerder die automatische controles uitvoert op het dark web.
• Jouw wachtwoord is zwak en gemakkelijk te raden of te kraken (het kan voorkomen op een lijst van meest gebruikte wachtwoorden). Hackers kunnen tools gebruiken om veelgebruikte wachtwoorden uit te proberen op meerdere accounts in de hoop dat een van de wachtwoorden werkt - en vaak lukt dat.
• Je hebt het wachtwoord op meerdere accounts hergebruikt. Als een van deze accounts wordt gekraakt, kunnen kwaadwillenden geautomatiseerde "credential stuffing"-software gebruiken om je account op andere sites/apps te openen.
• Je hebt net ontdekt, bijvoorbeeld dankzij je nieuwe beveiligingssoftware, dat je apparaat is aangetast door malware.
• Je hebt je wachtwoord met iemand anders gedeeld.
• Je hebt net mensen verwijderd van een gedeelde account (bijvoorbeeld voormalige huisgenoten).
• Je hebt ingelogd op een openbare computer (bijvoorbeeld in een bibliotheek) of op het apparaat/computer van een ander.

Advies voor de sterkste wachtwoorden

Overweeg het volgende om de kans op accountovername te minimaliseren:

• Gebruik altijd sterke, lange en unieke wachtwoorden. Met zoveel online diensten en verschillende accounts is het een flinke opgave om telkens een nieuw, uniek en sterk wachtwoord te verzinnen. Maak eenvoudig veilige en generieke wachtwoorden met onze gratis wachtwoordgenerator.
• Sla deze op in een wachtwoordmanager die toegang heeft tot één hoofdwachtwoord en automatisch al je wachtwoorden voor elke site of app kan oproepen.
• Houd waarschuwingen over gestolen wachtwoorden in de gaten en onderneem onmiddellijk actie als je ze ontvangt.
• Schakel 2FA in wanneer het beschikbaar is om je account van een extra beveiligingslaag te voorzien.
• Overweeg om wachtwoordsleutels in te schakelen wanneer dit wordt aangeboden voor naadloze beveiligde toegang tot jouw accounts via jouw telefoon.
• Overweeg regelmatige wachtwoordcontroles: controleer de wachtwoorden voor al jouw accounts en zorg ervoor dat ze niet gedupliceerd of gemakkelijk te raden zijn. Wijzig zwakke of herhaalde wachtwoorden of wachtwoorden die persoonlijke informatie bevatten, zoals verjaardagen of huisdieren.
• Sla je wachtwoorden niet op in de browser, ook al lijkt dat een goed idee. Browsers zijn namelijk een populair doelwit voor kwaadwillenden, die malware voor het stelen van informatie kunnen gebruiken om je wachtwoorden te achterhalen. Het zou je opgeslagen wachtwoorden ook blootstellen aan iedereen die je apparaat/computer gebruikt.

Als je niet de willekeurige, sterke wachtwoorden gebruikt die worden voorgesteld door jouw wachtwoordmanager, raadpleeg dan deze lijst met tips van het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). Het stelt voor om waar mogelijk het langste wachtwoord of wachtwoordzin te gebruiken dat is toegestaan (8-64 tekens) en hoofdletters, kleine letters, cijfers en speciale tekens te gebruiken.

Hopelijk zullen de wachtwoorden - met de steun van Google, Apple, Microsoft en andere grote spelers in het tech-ecosysteem - op den duur het einde betekenen van het wachtwoordtijdperk. Maar zorg er in de tussentijd voor dat je accounts zo veilig mogelijk zijn.