Een van de meest voorkomende beveiligingsadviezen voor accounts is dat gebruikers hun wachtwoord regelmatig moeten wijzigen. De redenering achter deze aanpak is om de tijdsduur dat een wachtwoord geldig is, te minimaliseren, voor het geval het ooit wordt gecompromitteerd. Deze hele strategie is gebaseerd op historisch advies van vooraanstaande cyberbeveiligingsgroepen zoals het Amerikaanse NIST of het National Institute of Standards and Technology.
Decennia lang volgden overheden en bedrijven dit advies op en dwongen hun gebruikers om regelmatig wachtwoorden opnieuw in te stellen, meestal om de 90 dagen. Na verloop van tijd bleek echter uit onderzoek dat deze aanpak niet werkte zoals bedoeld en in 2017 NIST samen met de UK's NCSC, of het Nationaal Cyber Security Centrum, hebben hun advies gewijzigd om wachtwoordwijzigingen alleen te vereisen als er een redelijk vermoeden van compromis is.
Waarom is het advies gewijzigd?
Het advies om regelmatig wachtwoorden te wijzigen is oorspronkelijk ingevoerd om de veiligheid te helpen vergroten. Puur logisch gezien is het advies om wachtwoorden regelmatig te vernieuwen zinvol. De ervaring in de echte wereld is echter iets anders. Onderzoek toonde aan dat het dwingen van gebruikers om hun wachtwoord regelmatig te wijzigen, hen significant meer kans maakte om een soortgelijk wachtwoord te gaan gebruiken dat ze alleen maar konden verhogen. In plaats van wachtwoorden als "9L=Xk&2>" te kiezen, gebruiken gebruikers bijvoorbeeld wachtwoorden als "Spring2019!".
Het blijkt dat mensen, wanneer ze worden gedwongen om meerdere wachtwoorden te bedenken en te onthouden en deze vervolgens regelmatig te wijzigen, consequent gebruik maken van gemakkelijk te onthouden wachtwoorden die onveiliger zijn. Het probleem met incrementele wachtwoorden zoals "Spring2019!" is dat ze gemakkelijk te raden zijn en het vervolgens gemakkelijk maken om toekomstige veranderingen te voorspellen. Gecombineerd betekent dit dat het forceren van wachtwoordresets gebruikers ertoe aanzet om gemakkelijker te kiezen en daarom zwakkere wachtwoorden, die doorgaans het beoogde voordeel van het verminderen van toekomstige risico.
In het ergste geval kan een hacker bijvoorbeeld het wachtwoord "Spring2019!" compromitteren. binnen enkele maanden nadat het geldig is. Op dit moment kunnen ze varianten proberen met "Herfst" in plaats van "Lente" en zullen ze waarschijnlijk toegang krijgen. Als het bedrijf deze inbreuk op de beveiliging detecteert en gebruikers vervolgens dwingt hun wachtwoord te wijzigen, is dat redelijk waarschijnlijk zal de getroffen gebruiker zijn wachtwoord gewoon veranderen in "Winter2019!" en denken dat ze zijn zeker. De hacker, die het patroon kent, kan dit proberen als hij weer toegang krijgt. Afhankelijk van hoe lang een gebruiker zich aan dit patroon houdt, kan een aanvaller dit gedurende meerdere jaren gebruiken voor toegang, terwijl de gebruiker zich veilig voelt omdat ze regelmatig hun wachtwoord wijzigen.
Wat is het nieuwe advies?
Om gebruikers aan te moedigen formule-wachtwoorden te vermijden, is het advies nu om wachtwoorden alleen opnieuw in te stellen als er een redelijk vermoeden bestaat dat ze zijn gecompromitteerd. Door gebruikers niet te dwingen regelmatig een nieuw wachtwoord te onthouden, is de kans groter dat ze in de eerste plaats een sterk wachtwoord kiezen.
In combinatie met dit zijn een aantal andere aanbevelingen gericht op het stimuleren van het maken van sterkere wachtwoorden. Deze omvatten ervoor zorgen dat alle wachtwoorden minimaal acht tekens lang zijn en dat het maximale aantal tekens minimaal 64 tekens is. Het heeft ook aanbevolen dat bedrijven beginnen af te stappen van complexiteitsregels naar het gebruik van blokkeringslijsten het gebruik van woordenboeken met zwakke wachtwoorden zoals "ChangeMe!" en "Wachtwoord1" die aan veel complexiteit voldoen vereisten.
De cybersecurity-gemeenschap is het er bijna unaniem over eens dat wachtwoorden niet automatisch moeten verlopen.
Opmerking: in sommige scenario's kan het helaas nog steeds nodig zijn om dit te doen, omdat sommige regeringen de wetten die het vervallen van wachtwoorden voor gevoelige of geclassificeerde systemen vereisen, nog moeten wijzigen.