Een datalek als gevolg van zwakke wachtwoorden die rondslingeren op post-its? Dergelijke slordigheden kunnen organisaties onder de Algemene verordening gegevensbescherming (AVG) duur komen te staan. Reden genoeg om het wachtwoordbeleid nog eens grondig tegen het licht te houden.
De Global Data Protection Regulation (GDPR), zoals de AVG in het Engels heet, vervangt De Nederlandse Wet bescherming persoonsgegevens. Deze nieuwe privacywet biedt EU-burgers meer controle over hun eigen gegevens. Bedrijven die persoonsgegevens verwerken, zijn gebonden aan een reeks verplichtingen.
Passende maatregelen
Artikel 32 van de AVG verplicht verwerkers om ‘passende technische en organisatorische maatregelen’ te treffen voor de bescherming van persoonsgegevens. De Europese wetgever laat voor een groot deel in het midden hoe die maatregelen eruit moeten zien. Zo worden er geen eisen gesteld aan wachtwoorden.
Wel zijn er enkele best practices als het gaat om het gebruik van wachtwoorden die de Autoriteit Persoonsgegevens tevreden zullen stellen. 5 voorbeelden:
1. Dwing regelmatig wijzigen wachtwoorden af
In de ideale situatie moeten eindgebruikers iedere 30, 60 of 90 dagen hun wachtwoorden wijzigen. De praktijk is helaas anders. Zo ontdekte Varonis Systems dat bij een groot deel van de onderzochte bedrijven wachtwoorden nooit worden gewijzigd.
Deze nalatigheid vergroot de kans dat eerder uitgelekte wachtwoorden nog steeds in gebruik zijn. Aanvallers krijgen bovendien ruimschoots de tijd om wachtwoorden te kraken. Dwing gebruikers daarom om wachtwoorden regelmatig te wijzigen door ze beperkt ‘houdbaar’ te maken.
2. Benadruk belang unieke wachtwoorden
De vorige maatregel staat regelmatig ter discussie. Veel gebruikers hebben moeite om wachtwoorden te onthouden, zeker als ze die regelmatig moeten wijzigen. De ‘oplossing’ is hergebruik van oude wachtwoorden. Daarbij bestaat het risico dat de wachtwoorden al eens zijn uitgelekt en in het bezit zijn van cybercriminelen.
Druk gebruikers daarom op het hart om altijd unieke wachtwoorden te bedenken. Zorg er eventueel met technische middelen voor dat oude wachtwoorden niet worden geaccepteerd. En wachtwoorden als ‘1234567’, ‘qwerty’ en ‘admin’ zijn uiteraard uit den boze.
3. Houd wachtwoorden strikt persoonlijk
Het is misschien een open deur: gebruikers moeten wachtwoorden strikt privé houden en niet delen met bijvoorbeeld een collega die snel ‘even iets’ op moet zoeken. Toch komt het in de praktijk nog altijd voor dat wachtwoorden op een post-it worden geschreven en breed worden gedeeld. Met de nodige risico’s. Als een wachtwoord bij veel mensen bekend is, hebben aanvallers ook meer mogelijkheden om dat wachtwoord te achterhalen.
En wat te denken van de cybercrimineel die zich voordoet als een IT-collega die je wachtwoord nodig heeft om een probleem op te lossen. Die help je toch? Vervolgens heeft de hacker ineens wel toegang tot gevoelige gegevens. Het is dan ook belangrijk om te benadrukken dat wachtwoorden persoonsgebonden zijn en geheim moeten blijven.
4. Stap over op tweefactorauthenticatie
Een inlog met gebruikersnaam en wachtwoord volstaat vandaag de dag niet meer om gevoelige gegevens af te schermen. Het gebruik van tweefactorauthenticatie is in veel situaties een betere optie. De gebruiker voert tijdens het inloggen iets in wat hij weet (zoals een wachtwoord) en iets wat hij heeft (zoals een sms-code).
Zijn de data zeer gevoelig? Dan is het verstandig om een identificatiemiddel te gebruiken met een ‘substantieel’ of ‘hoog’ betrouwbaarheidsniveau. Denk aan middelen zoals eHerkenning, Idensys of PKIoverheid-certificaten.
5. Besteed aandacht aan beheer wachtwoorden
Uit het eerder aangehaalde onderzoek van Varonis blijkt dat de zogenaamde ‘ghost users’ een hardnekkig probleem vormen. Veel bedrijven hebben te maken met accounts die nooit worden gebruikt, bijvoorbeeld omdat de betreffende medewerkers al lang uit dienst zijn.
Ook kan het gaan om testaccounts met eenvoudig te raden wachtwoorden die nooit meer zijn opgeheven. Voor aanvallers vormen deze accounts een dankbare springplank om het netwerk binnen te dringen. Let er daarom op dat inactieve accounts worden opgeheven en maak het opheffen van gebruikersnaam en wachtwoord onderdeel van de uitdienstprocedure.
Voorkom boetes
Hoewel nog niet duidelijk is welke ‘passende maatregelen’ de toezichthouder precies verwacht, helpt het bij een datalek wel als u kunt aantonen dat u heeft nagedacht over uw beleid en processen. Ook als het gaat om het gebruik van wachtwoorden. Daarmee voorkomt u torenhoge boetes die kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.