Sterke wachtwoorden, zwakke regels: tijd voor vooruitgang

Het voelde als een verademing toen ik kennisnam van het advies van het National Institute for Standards and Technology (NIST) in de Verenigde Staten over wachtwoorden. In hun nieuw voorstel willen ze enkele hardnekkige, maar contraproductieve regels rond wachtwoorden loslaten. Een van de belangrijkste veranderingen: het verplicht wisselen van je wachtwoord om de paar maanden.

Deze regel stamt uit een tijdperk waarin de meeste mensen weinig besef hadden van digitale beveiliging en simpele wachtwoorden gebruikten, zoals de naam van hun hond of hun geboortedatum. Die waren makkelijk te raden. Tegenwoordig echter, hebben veel mensen sterkere wachtwoorden, vaak automatisch gegenereerd door wachtwoordmanagers. Zo’n wachtwoord is zó veilig dat het helemaal niet regelmatig vervangen hoeft te worden. Sterker nog, de oude regel kan de beveiliging juist verzwakken, omdat gebruikers geneigd zijn een eenvoudiger, makkelijker te onthouden wachtwoord te kiezen wanneer ze gedwongen worden steeds te wisselen. Het NIST stelt dan ook terecht dat wachtwoorden alleen vervangen hoeven te worden wanneer ze daadwerkelijk gecompromitteerd zijn.

Daarnaast bekijkt NIST ook kritisch de regel om specifieke karakters, zoals hoofdletters of speciale tekens, verplicht te gebruiken. Ook deze regel blijkt vaak overbodig, vooral wanneer een wachtwoord lang genoeg is. In plaats van de beveiliging te versterken, maakt het de keuze voor een goed wachtwoord alleen maar moeilijker en kan het gebruikers weer richting onveiligere keuzes duwen. Wat verfrissend is aan dit nieuwe advies, is dat het werkelijk rekening houdt met de praktijk. Het lijkt bijna revolutionair om af te wijken van traditionele adviezen die jarenlang onaangetast zijn gebleven. Maar het opvallende is dat dit NIST-advies helemaal niet ‘nieuw’ is. Wie wat verder terugkijkt ontdekt dat ze al jaren geleden aangaven dat periodiek wisselen van wachtwoorden eerder een zwaktebod is dan een vorm van beveiliging.

Ga je nóg verder terug, dan kom je bij de spijtbetuiging van Bill Burr, de man achter de oorspronkelijke NIST-richtlijnen uit 2003. In 2017 gaf hij in een interview met de Wall Street Journal ruiterlijk toe dat – met de kennis van nu – zijn advies destijds onjuist was. Toch heeft deze openlijke herziening weinig impact gehad, want veel bedrijven en instellingen hangen nog steeds vast aan die verouderde regels. Het is ronduit verbijsterend dat we in een tijd waarin iedereen schreeuwt dat de wereld sneller verandert dan ooit, zo achterlopen in het bijstellen van onze digitale veiligheidspraktijken. Het lijkt erop dat we op het gebied van wachtwoordbeleid zijn blijven haken in 2003, terwijl de dreigingen van vandaag om veel slimmere en flexibelere oplossingen vragen.

Laten we daarom eindelijk luisteren naar de aanbevelingen die al jaren op tafel liggen. Of nog beter: laten we luisteren naar adviezen die vooruitkijken naar de toekomst. Misschien kunnen we ons dan eindelijk losweken uit het verleden en écht vooruitgaan.
 

Dr. Nicole van der Meulen is expert op het gebied van cybersecurity en emerging technologies en werkzaam bij SURF als Cybersecurity Innovation Lead, bereikbaar via ns.vandermeulen@gmail.com

Dit blog verscheen in IB5-2024.