Ondernemers en werknemers hebben steeds meer accounts en wachtwoorden nodig voor de verschillende producten en diensten. Elk account en wachtwoord brengt echter ook een risico op inbraak met zich mee. Om de veiligheid te waarborgen is het daarom nodig dat ondernemers goed nadenken over het beheer van deze wachtwoorden.

Het is tegenwoordig niet meer opmerkelijk als binnen een bedrijf honderden accounts met gebruikersnaam en wachtwoord worden gebruikt. Er zijn steeds meer kleine losse diensten die online worden aangeboden en elk een eigen account nodig hebben. Als daar niet op wordt toegezien is het snel gebeurd dat hetzelfde wachtwoord voor een reeks verschillende accounts worden gebruikt, ook worden wachtwoorden vaak opgeschreven in Word of tekstbestanden of zelfs post-its. Dit kan een ernstig veiligheidsrisico vormen.

Er zijn een aantal strategieën om de veiligheid te verbeteren. Met name zijn dit het beperken van het gebruik van wachtwoorden, het inzetten van een password manager, en een goed wachtwoordbeleid.

Gebruik van wachtwoorden beperken

Een strategie om inbraken te voorkomen is om het aantal losse accounts en wachtwoorden te beperken. Dit kan gedaan worden door gebruik te maken van single sign-on (SSO). Hierbij kan een programma of dienst gekoppeld worden aan een (Azure) Active Directory server, om vanuit daar de gebruikersaccounts te verifiëren. Hierdoor kan een medewerker zijn of haar bedrijfsaccount gebruiken voor meer dan alleen op het lokale netwerk of email in te loggen.

Dit lost ook een probleem op wanneer medewerkers de organisatie verlaten. Omdat medewerkers vaak zo veel accounts hebben is het makkelijk gebeurd dat een account van een bepaalde dienst niet wordt geblokkeerd of verwijderd en de medewerker daarmee nog steeds bij bedrijfsgegevens kan komen. Wanneer er gebruik wordt gemaakt van single

Een andere optie is om waar mogelijk inloggen mogelijk te maken via Windows Hello of andere beveiligingshardware die aan de gebruiker is gekoppeld, zoals een YubiKey of andere beveiligingssleutel.

Password managers

Ook wanneer single sign-on de voorkeur heeft zullen er altijd plekken overblijven waar het gebruik van wachtwoorden noodzakelijk is. Het is dan zaak om er voor te zorgen dat het werknemers zo makkelijk mogelijk wordt gemaakt om goede wachtwoorden te gebruiken en beveiligd op te slaan door middel van een password manager. Een password manager is een programma waarmee een of meer personen toegang krijgen tot een versleutelde opslag van wachtwoorden. De betere password managers kunnen daarbij ook rechten toekennen aan gebruikers zodat alleen de juiste medewerkers bij de nodige wachtwoorden kunnen komen.

Er zijn tal van password managers. Sommige daarvan, zoals LastPass of 1Password, zijn vooral bekend geworden door veelvoudig gebruik door particuliere gebruikers. In dit artikel richten wij ons echter specifiek op een zakelijke setting, waarin meerdere gebruikers (tegelijk) toegang tot de wachtwoorden moeten kunnen hebben, er gebruik gemaakt kan worden van een Active Directory server, en waar er ook op individueel of groepsniveau rechten toegekend kunnen worden om bepaalde wachtwoorden af te schermen.

Er kan gekozen worden voor een cloud-based oplossing of een systeem wat binnen het eigen netwerk draait. Beiden hebben zowel voor– als nadelen.

Cloud-based oplossingen

Voordelen: Geen technische kennis nodig. De oplossingen worden door gespecialiseerde bedrijven die zich ook kunnen focussen op de beveiliging van de gegevens.

Nadelen: De kosten zijn over het algemeen hoger doordat het beheer wordt uitbesteed. Kan (door het brede gebruik) getroffen worden door een grotere aanval die zich op de dienst als geheel richt.

Er zijn tal van aanbieders van cloud-based oplossingen voor het beheer van wachtwoorden. De meest bekende zijn 1Password en LastPass, maar ook platformen zoals Dashlane, Keeper en Bitwarden hebben veel gebruikers.

In eigen beheer

Voordelen: Volledige controle en betere mogelijkheden voor integratie met een (intern) bedrijfsnetwerk waardoor medewerkers automatisch ingelogd kunnen worden in het programma.

Nadelen: Er is vaak technische kennis nodig om de oplossing te installeren en configureren voor het interne netwerk, vaak is actief beheer ook nodig.

Er zijn een aantal oplossingen die binnen een eigen netwerk geplaatst kunnen worden zoals Password Depot en Bitwarden.

Alternatieven voor kleine organisaties

Voor zzp’ers en kleine ondernemingen zonder een eigen bedrijfsnetwerk kan het een optie zijn om voor een simpele oplossing te kiezen in de vorm van een gratis programma zoals KeePass of PasswordSafe. De beveiliging van deze programma’s zijn goed maar missen synchronisatie en mogelijkheden om per gebruiker rechten toe te kennen. Ze zijn daarom vooral geschikt zijn voor gebruik door één persoon die op één computer werkt.

Wachtwoordbeleid

Tot slot is het nodig om een wachtwoordbeleid op te stellen. In het wachtwoordbeleid zullen uiteraard de bovengenoemde punten opgenomen worden: Het beperken van het gebruik van wachtwoorden waar mogelijk, en het gebruik van een password manager. Het beleid moet ook noemen wat de eisen zijn voor de wachtwoorden die wel in gebruik zijn.

Vaak kan via de gebruikte password manager een policy ingesteld worden met een passende complexiteit. Omdat gebruikers (nagenoeg) altijd gebruik zullen maken van de password manager om wachtwoorden in te vullen kunnen complexe wachtwoorden gebruikt worden, deze hoeven immers niet meer ingetypt of onthouden worden.

Voor plekken waar gebruikers handmatig wachtwoorden in moeten vullen zal een apart beleid moeten komen. Hierbij moet gelet worden op dat er geen gedupliceerde wachtwoorden ontstaan, en dat er geen gebruik gemaakt wordt van gemakkelijk te raden wachtwoorden. Uit onderzoek van Microsoft blijkt dat een complexiteit van wachtwoorden niet heel hoog hoeft te zijn, zolang het niet makkelijk te raden is (door gebruik van “woordenboek woorden”) en het ontvangende systeem enigszins bescherm is tegen veelvoudige inlogpogingen. Uit onderzoek is ook gebleken dat complexiteitseisen zoals een bepaalde hoeveelheid grote letters, kleine letters, cijfers en speciale tekens vaak minder goed werken dan het afdwingen van lange wachtwoorden (bij voorkeur minstens 12 of 16 tekens lang).

Automatisch wachtwoorden laten verlopen?

Het was lang een standaardadvies om wachtwoorden automatisch te laten verlopen, maar onderzoek wijst uit dat dit averechts werkt. Het automatisch laten verlopen van wachtwoorden is daarom iets afgeraden wordt door beveiligingsexperts en veiligheidsdiensten zoals het Amerikaanse NIST, ook Microsoft zelf raadt dit af. Bij het automatisch verlopen van wachtwoorden neigen gebruikers naar het gebruik van zwakkere wachtwoorden en passen het vervolgens aan op een manier die makkelijk te raden is door hackers. Het gebruik van een password manager of inloggen door gebruik van een hardware sleutel kan hierbij helpen. Ook wordt aangeraden om waar mogelijk multi-factor authenticatie in te schakelen wanneer wachtwoorden niet automatisch verlopen.

Wachtwoorden dienen wel aangepast te worden wanneer er een (vermoeden) tot inbraak is. Als er bij voorbeeld bij een externe dienstverlener een datalek is geweest, dan dienen alle daaraan gerelateerde accounts opnieuw ingesteld te worden.

Veiligheid is meer dan wachtwoorden alleen

Het beveiligingen van een ICT omgeving van een bedrijf is niet geregeld door alleen een mooi wachtwoordbeleid op te stellen. Zoals bij elk beleid staat en valt het bij de naleving ervan. Het is daarom van belang dat medewerkers hierin gefaciliteerd worden en dat het opvolgen van het beleid ook de makkelijkste weg wordt. Verder moet de overige ICT infrastructuur ook goed beveiligd zijn, zowel door firewalls en anti-virus oplossingen als door fysieke beveiliging.

De medewerkers zelf moeten niet vergeten worden. Wanneer de soft– en hardware systemen goed zijn beveiligd dan is de menselijke factor de zwakste schakel en trekt daarmee aanvallen aan in de vorm van phishing & social engineering. Bij dit soort aanvallen doet een crimineel zich voor als een vertrouwd iemand (een klant, manager of collega) om daardoor toegang te krijgen tot interne systemen of iemand over te halen om bij voorbeeld een bedrag over te maken naar de bankrekening van de crimineel.