De afgelopen weken moest politiek Nederland met de spreekwoordelijke billen bloot. Premier Mark Rutte en veel andere ministers moesten toegeven regelmatig privé mailadressen en telefoons te gebruiken voor zakelijke gesprekken,aldus de NOS. De reden? Enorme veiligheidsrestricties maakten werken met goedgekeurde apparaten praktisch onmogelijk. IT-managers zijn soms geneigd vanuit de techniek te denken en medewerkers van een organisatie te dwingen tot gebruiksonvriendelijke oplossingen. Terwijl een gemakkelijk te volgen wachtwoordbeleid hartstikke veilig kan zijn.
Wachtwoorden vormen al sinds de uitvinding ervan een probleem voor gebruikers ervan. In iedere organisatie van elke branche, wereldwijd, hebben mensen moeite om lange, complexe wachtwoorden te onthouden. IT-beleidsvoerders werken al decennia met de aanname dat een wachtwoord per se complex moet zijn. Iets als “ediVgdgrnei” is volgens hun denkwijze een beter wachtwoord dan “Verdediging”. Beide bestaan uit dezelfde letters, maar je kunt wel raden welk wachtwoord iemand beter onthoudt. Ze zijn allebei best veilig, maar kunnen véél beter.
Cybercriminelen die een organisatie password sprayen proberen in te loggen met een al bekende username en elke mogelijke combinatie van wachtwoorden. Zie het ‘raden’ naar het wachtwoord als het draaien aan een cijferslot. Elke letter is een cijfertje, en door hoofdletters en leestekens toe te voegen vergroot je het aantal mogelijk ‘letters’. Hoe langer de reeks, des te meer combinaties moet de password-bot nagaan en des te meer tijd is hij kwijt goed te gokken. Het is een simpele rekensom.
200 Jaar gokken
Het wachtwoord ‘Verdediging” heeft een hoofdletter en telt 11 karakters. Volgens securityspecialist ‘Hive Systems’ doet een computer er in 2022 gemiddeld vijf maanden over dit wachtwoord te kraken. Voeg een ‘1’ toe (Verdediging1, 12 tekens), en dit springt naar 200 jaar. Een eerste advies voor organisaties die worstelen met hun wachtwoordbeleid luidt daarom: maak een wachtwoord langer, niet complexer, en voeg een cijfer en zelfs spaties toe. ‘Verdediging1’ is dan nog onnodig kort: ‘CyberSecurity01’ zou volgens Hive Systems pas in 46 miljoen jaar te kraken zijn.
Waar deze versimpeling overigens aan voorbij gaat, is dat a) bekende combinaties als woorden wat gemakkelijker te raden zijn en b) de rekenkracht van computers nog altijd exponentieel groeit. Over een aantal jaar zijn ook bovenstaande voorbeelden helaas niet veilig genoeg meer. ‘Quantum Computing’ zou ervoor kunnen zorgen dat die miljoenen jaren een kwestie van dagen of minuten wordt. Organisaties moeten daarom een dubbel slot op hun deur schroeven, en medewerkers zich twee (of méér) keer laten identificeren.
2 Factor Authentication
Wat je wachtwoordbeleid ook is: een juiste combinatie van gebruikersnaam en wachtwoord is meestal genoeg om ‘binnen’ te komen. Dit zien wij in assessments die wij bij organisaties uitvoeren: soms zijn wel 60 tot 70 procent van de wachtwoorden snel te kraken en is er géén ‘2 Factor Authentication’ (2FA) ingesteld: een externe app die een gebruiker twee keer laat bewijzen écht te zijn, wie hij zegt te zijn. 2FA negeren is een vergissing, want als organisatie wil je niet dat dat je digitale veiligheid van één pijler afhankelijk is.
Met een 2FA trek je een externe beveiliger aan de mouw die als het ware de tweede deur beveiligt. Ben je binnen, dan moet je nog langs deze uitsmijter om bij de kroonjuwelen van de organisatie te kunnen. Voor hackers en andere cybercriminelen zijn ze haast niet te passeren: ze zouden dan (naast de eerste inlogggegevens die ze buit maakten) ook in de telefoon van de gebruiker moeten komen, of de 2FA-tool van Google, Microsoft of welke aanbieder dan ook moeten kraken. Dat lukt ze niet.
Luie inbrekers
Cybercriminelen zijn vaak luie inbrekers. Als ze zien dat een password spray niet snel werkt, en dat ze bij een zeldzame doorbraak alsnog tegen 2FA aanlopen, gaan ze vaak op zoek naar een gemakkelijker doelwit. Cybersecurity is dan ook vaak een kwestie van je basis goed op orde hebben. Lange, unieke wachtwoorden in combinatie met 2FA stuurt ze naar organisaties die de deur wél op een kier hebben staan. Tijd is namelijk geld, óók in de wereld van de cyberaanvallers.
Voor IT’ers is de oproep dan ook simpel. Wil je dat jouw collega’s geen maatregelen omzeilen en gewoon veilig werken? Raad ze dan aan een lang, maar gemakkelijk, wachtwoord te kiezen en maak 2FA noodzakelijk. Zo houd je inbrekers buiten de deur, maar hoef je ook niet zelf eens in de paar maanden een account te resetten omdat een gebruiker “AJbdau**bXadANh” niet kon onthouden. Het is hierbij belangrijk je medewerkers mee te nemen in dit proces en ze te vertellen waarom het belangrijk is een goed wachtwoord te hebben. Organisaties hebben meer waardevolle data dan ooit. De digitale deur dichthouden heeft daarom de hoogste prioriteit, en werknemers willen niet degene zijn die hem op een kiertje zet.
Auteur: Jort Kollerie, Manager Security Architecture bij Orange Cyberdefense