Foto team lid

Waarom we wachtwoorden zo vaak wijzigen en waarom we dat niet moeten willen

Matthias van Alphen

Bij veel zorgorganisaties is het een standaardprocedure: collega’s worden er elke drie maanden fijntjes op gewezen dat ze hun wachtwoord moeten wijzigen. Dat lijkt vanuit beveiligings​ ​perspectief een logische keuze, want een fris en fruitig wachtwoord kan nog niet overal en nergens zijn beland. Dat het verplicht wijzigen van wachtwoorden als last wordt ervaren, moeten we op de koop toenemen. Toch? Nou, nee. Al was het maar omdat de meerwaarde van frequent wijzigen een mythe is. Sterker, vaak heeft het een tegenovergesteld effect..  

Waarom verplicht wijzigen?

Nieuwe wachtwoorden zijn veiliger dan oude wachtwoorden. Simpelweg omdat ze nog niet around the block zijn geweest. Dat is de aanname die aan het frequente wijzigingsbeleid ten grondslag ligt. Helaas is dat inzicht sterk achterhaald. En onjuist, omdat het ervan uitgaat dat alle mensen rationeel handelen en feitelijk onfeilbaar zijn. Niemand noteert wachtwoorden in een schriftje. Niemand plakt post-its op laptops of monitors. En niemand kiest de geboortedatum van het meest recente (klein)kind als wachtwoord.

De risico’s van minimale aanpassingen

Daar komt bij dat mensen wachtwoorden vaak minimaal aanpassen als ze hiertoe worden verplicht. Bijvoorbeeld door (eureka!) een cijfer aan het oude wachtwoord toe te voegen. Dat levert een reëel veiligheidsrisico op, want onderzoek van Lorrie Cranor, informatica​​​​​ ​professor aan de Carnegie Mellon University, toont aan dat minimale wijzigingen het aanvallers juist makkelijker maken om het nieuwe wachtwoord te kraken. Bijvoorbeeld omdat het oorspronkelijke wachtwoord wél gecompromitteerd is. En alle vervolgen zich laten raden. Geheim1 wordt Geheim2 wordt Geheim3. ​Enzovoorts. ​

Multifactor to the rescue

De opkomst van multifactor​ ​authenticatie (MFA) slaat een nieuwe deuk in het idee dat frequent wijzigen wenselijk of zelfs noodzakelijk is. MFA voegt een extra beveiligingslaag toe door – in aanvulling op het wachtwoord – een tweede vorm van verificatie te vereisen. Denk aan een sms-code of een biometrische scan. Dit betekent dat ‘zwarte hoeden’ die onverhoopt een wachtwoord bemachtigen, nog steeds bij de poort worden geweerd. Dit vermindert de noodzaak van frequent wijzigen aanzienlijk.

Recht naar het punt

Het regelmatig wijzigen van wachtwoorden, was nooit een bijzonder goed idee. Het introduceert namelijk meer risico’s dan het wegneemt. Met de grootschalige introductie van ‘dubbelloops’ beveiligingsmethoden, zoals multifactor​ ​authenticatie, is het helemaal outdated. Tijd dus om niet het wachtwoord, maar het onderliggende beleid aan te passen door te kiezen voor effectieve beveiligingsmaatregelen die zorgverlening beter beschermen. En ook nog een hoop gedoe en irritatie bij medewerkers wegnemen.