Sterke en gebruiksvriendelijke wachtwoorden: 13 tips voor jouw zakelijke wachtwoordbeleid

Uit onderzoek is gebleken dat mensen meestal maar vijf wachtwoorden onthouden. Hierdoor worden er vaak gemakkelijk te raden wachtwoorden aangemaakt, om deze vervolgens te hergebruiken voor verschillende online accounts. Dit maakt het voor cybercriminelen  gemakkelijker om wachtwoorden te achterhalen. Om dit als organisatie te voorkomen, hebben wij 13 tips voor jouw zakelijke wachtwoordbeleid op een rijtje gezet.

1. Stop met het opleggen van onnodig complexe regels voor de samenstelling van wachtwoorden

De vaste regels die je vaak onder het aanmaken van een wachtwoord ziet staan, zoals hoofdletters, kleine letters, één cijfer en een speciaal teken hebben geen prioriteit meer bij het aanmaken van een wachtwoord. Deze regels zorgen er juist voor dat gebruikers geen sterkere wachtwoorden gaan instellen. In de volgende tip lees je wat wij in plaats hiervan aanraden.

2. Maak wachtwoordzinnen in plaats van woorden

Zinnen zijn langer en complexer, maar ook makkelijk te onthouden. Het is verstandig om een zin te gebruiken die in je hoofd is blijven hangen, bijvoorbeeld met speciale tekens en hoofdletters. Uit testen van Hive Systems in april 2023 blijkt dat wachtwoorden met acht tekens, bestaande uit kleine en hoofdletters, tekens en cijfers binnen enkele minuten geraden kunnen worden door geautomatiseerde wachtwoordkrakers.

Bron: Overzicht van de testen van Hive Systems in april 2023

3. Gebruik een minimumlengte van 12 tekens

Volgens de NIST-richtlijn, het Amerikaanse National Institute of Standards and Technology, is de lengte de belangrijkste factor voor de sterkte van wachtwoorden. Daarom stellen zij een minimale vereiste lengte van 12 tekens voor die kan oplopen tot maximaal 64 tekens in combinatie met spaties. Hoe meer tekens, hoe beter!

4. Maak gebruik van een variatie aan tekens

Als gebruikers hun wachtwoorden instellen, moeten ze kunnen kiezen uit alle afdrukbare ASCII- en UNICODE-tekens, inclusief emoji’s. Daarnaast moeten gebruikers de mogelijkheid hebben om spaties te gebruiken.

5. Vermijd het hergebruiken van wachtwoorden

Het is inmiddels algemeen bekend dat gebruikers hun wachtwoorden niet moeten hergebruiken voor verschillende online accounts. Wanneer cybercriminelen één wachtwoord weten, is het gemakkelijk om ook de andere online accounts te hacken.

6. Wijzig je wachtwoorden niet regelmatig

Het NIST adviseert om wachtwoorden zo min mogelijk te wijzigen, tenzij de gebruiker daarom vraagt of er bewijs is van een inbreuk. De meeste gebruikers kunnen niet voortdurend nieuwe, redelijk sterke wachtwoorden bedenken daarom is het advies om wachtwoorden zo min mogelijk te wijzigen. In het geval dat een app of website cruciaal is voor jouw organisatie, kan je je werknemers nog steeds dwingen om wachtwoorden te wijzigen per periode.

7. Maak geen gebruik van hints en kennisgebaseerde verificatie

Wachtwoordhints en kennisgebaseerde verificatievragen kunnen gebruikers helpen om hun vergeten wachtwoorden te achterhalen. Deze manieren zijn echter van grote waarde voor cybercriminelen. Een veelvoorkomende verificatievraag is bijvoorbeeld: ‘’de naam van je eerste huisdier’’. Dit is voor cybercriminelen heel gemakkelijk te achterhalen na bijvoorbeeld onderzoek op je social media-accounts.

8. De zwarte lijst van veelgebruikte wachtwoorden

Bij het aanmaken van een nieuw wachtwoord is het verstandig om je wachtwoord te vergelijken met de

zwarte lijst van veelgebruikte wachtwoorden. Wanneer je overeenkomsten ziet is het goed om een andere samenstelling of ander wachtwoord te kiezen. 

9. Stel een korte houdbaarheid in voor oorspronkelijke wachtwoorden

Wanneer een nieuwe werknemer een account aanmaakt en een eerste wachtwoord moet verzinnen, is het verstandig dat het eerste wachtwoord na een korte tijd vervalt. Daarna verzint de werknemer een sterk wachtwoord die voor een langere tijd blijft bestaan.

10. Breng gebruikers op de hoogte van wachtwoordwijzigingen

Als gebruikers hun wachtwoord wijzigen, moet in een ideale situatie eerst worden gevraagd om het oude wachtwoord in te voeren en tweefactorauthenticatie (2FA) in te schakelen. Wanneer deze taken zijn gebeurd, moeten gebruikers een melding krijgen van wachtwoordwijziging.

11. Wees voorzichtig met het wachtwoordherstelproces

Het is goed als het herstelproces niet het huidige wachtwoord en verdere informatie over het bestaan van het account onthult. Dit zijn maatregelen om te voorkomen dat cybercriminelen aan onnodig informatie komen.

12. Gebruik anti-automatiseringscontroles

Een voorbeeld van een anti-automatiseringscontrole is CAPTCHA. De controles kunnen de meest voorkomende wachtwoorden, soft lock-outs, rate limiting, CAPTCHA, IP-adresbeperkingen, of op risico gebaseerde beperkingen zoals locatie, eerste aanmelding op een apparaat en recente pogingen om het account te ontgrendelen, blokkeren.

13. Vertrouw niet alleen op wachtwoorden

Hoe sterk en uniek een wachtwoord ook is, het inschakelen van een extra beveiligingslaag (2FA), op je wachtwoord is heel verstandig. Een ander alternatief is het gebruik van speciale hardware en op software gebaseerde eenmalige wachtwoordgenerators, zoals beveiligde apps die op je mobiele apparaat geïnstalleerd kunnen worden.