Nieuwe wachtwoorden zijn veiliger dan oude wachtwoorden. Simpelweg omdat ze nog niet around the block zijn geweest. Dat is de aanname die aan het frequente wijzigingsbeleid ten grondslag ligt. Helaas is dat inzicht sterk achterhaald. En onjuist, omdat het ervan uitgaat dat alle mensen rationeel handelen en feitelijk onfeilbaar zijn. Niemand noteert wachtwoorden in een schriftje. Niemand plakt post-its op laptops of monitors. En niemand kiest de geboortedatum van het meest recente (klein)kind als wachtwoord.
Daar komt bij dat mensen wachtwoorden vaak minimaal aanpassen als ze hiertoe worden verplicht. Bijvoorbeeld door (eureka!) een cijfer aan het oude wachtwoord toe te voegen. Dat levert een reëel veiligheidsrisico op, want onderzoek van Lorrie Cranor, informatica professor aan de Carnegie Mellon University, toont aan dat minimale wijzigingen het aanvallers juist makkelijker maken om het nieuwe wachtwoord te kraken. Bijvoorbeeld omdat het oorspronkelijke wachtwoord wél gecompromitteerd is. En alle vervolgen zich laten raden. Geheim1 wordt Geheim2 wordt Geheim3. Enzovoorts.
De opkomst van multifactor authenticatie (MFA) slaat een nieuwe deuk in het idee dat frequent wijzigen wenselijk of zelfs noodzakelijk is. MFA voegt een extra beveiligingslaag toe door – in aanvulling op het wachtwoord – een tweede vorm van verificatie te vereisen. Denk aan een sms-code of een biometrische scan. Dit betekent dat ‘zwarte hoeden’ die onverhoopt een wachtwoord bemachtigen, nog steeds bij de poort worden geweerd. Dit vermindert de noodzaak van frequent wijzigen aanzienlijk.
Het regelmatig wijzigen van wachtwoorden, was nooit een bijzonder goed idee. Het introduceert namelijk meer risico’s dan het wegneemt. Met de grootschalige introductie van ‘dubbelloops’ beveiligingsmethoden, zoals multifactor authenticatie, is het helemaal outdated. Tijd dus om niet het wachtwoord, maar het onderliggende beleid aan te passen door te kiezen voor effectieve beveiligingsmaatregelen die zorgverlening beter beschermen. En ook nog een hoop gedoe en irritatie bij medewerkers wegnemen.