Wachtwoorden - De do’s en dont’s
leestijd: 4 minuten
Facebook
Twitter
LinkedIn

Wachtwoorden – De do’s en dont’s

Wachtwoorden; het levert menigeen regelmatig veel frustraties op. Minimaal een X aantal tekens, hoofdletters, kleine letters, cijfers én bovendien voor iedere website of applicatie een ander wachtwoord.

Dat kán weleens lastig zijn!

Waarom is het nu zo belangrijk dat we wachtwoorden complex maken? En hoe kunt u uw wachtwoorden zo veilig mogelijk maken, terwijl u ze óók nog kunt onthouden? Lees dan snel onderstaande tips!

Waarom is het gebruik van sterke wachtwoorden zo belangrijk?

De reden waarom het gebruik van sterke wachtwoorden zo belangrijk is, is vrij simpel. Het zorgt er namelijk voor dat onze gegevens alléén voor onszelf toegankelijk zijn.

Het is zodoende een belangrijke beveiligingsmaatregel, bijvoorbeeld tegen hackers.

Dat dit zeker geen overbodige luxe is, werd onlangs weer eens goed duidelijk toen bekend werd dat een Nederlander maar liefst 12 miljard (!) wachtwoorden te koop aanbood online.

Hackers kunnen wachtwoorden namelijk relatief gemakkelijk achterhalen wanneer u voor verschillende websites en softwaresystemen hetzelfde wachtwoord gebruikt. Zeg dus maar gedag tegen het jarenlang gebruiken van hetzelfde wachtwoord ‘Welkom123’…..    

Voor organisaties is het minder vrijblijvend

Organisaties die persoonsgegevens verwerken, zijn verplicht om deze gegevens goed te beveiligen. Dit volgt onder andere uit de AVG.

Wilt u meer lezen over deze wet en de bijbehorende verplichtingen? De eerdere blog over dit onderwerp kunt u hier lezen.

Op grond van artikel 32 lid 1 AVG valt hier óók het beschermen van de integriteit en vertrouwelijkheid van de systemen die organisaties gebruiken om persoonsgegevens te verwerken onder. Denk hierbij aan de softwareprogramma’s waarmee persoonsgegevens worden verwerkt, zoals:

  • Een elektronisch patiëntendossier
  • Een CRM-systeem
  • Een facturatiesysteem
  • Etc.

Nu klinkt de bescherming van de integriteit en vertrouwelijkheid van verwerkingssystemen misschien wat juridisch. Schrik niet, het betekent eigenlijk:

  • Dat de systemen waarin een organisatie persoonsgegevens verwerkt goed beveiligd moeten zijn
  • Dat onbevoegden niet zomaar toegang kunnen krijgen tot de systemen.

Goed nieuws: het hanteren van een wachtwoordbeleid is een prima oplossing om te kunnen voldoen aan deze wettelijke verplichting!

Tips voor het bepalen van sterke wachtwoorden

Nu komen we direct bij de tweede vraag. Hoe maakt u nu een sterk wachtwoord? En hoe zorgen we ervoor dat we al deze wachtwoorden ook nog kunnen onthouden?

De oplossing: gebruik een wachtwoordzin!

Een wachtwoordzin is, zoals de naam al doet vermoeden, een samenvoeging van verschillende woorden die samen één zin vormen. Het voordeel hiervan is dat uw wachtwoord door het gebruik van meerdere woorden in één zin direct veel langer wordt.

Hoe langer het wachtwoord is, des te moeilijker het is voor hackers om uw wachtwoord te kraken.

Als uitgangspunt voor de ideale lengte van een wachtwoordzin kunt u hanteren dat uw zin minimaal 17 à 20 tekens moet bevatten. Dit mogen uiteraard letters, cijfers en leestekens zijn. Het liefste zelfs een combinatie van allemaal.

Naast de lengte van een wachtwoord is er nóg een factor die de veiligheid van wachtwoorden sterk bepaald. Namelijk de voorspelbaarheid ervan.

Hoe minder voorspelbaard het wachtwoord is, des te moeilijker het is voor hackers om uw wachtwoord te achterhalen.

Hackers hebben talloze manieren om wachtwoorden te kraken, waarvan het uitproberen van de meest gangbare wachtwoorden er één is. Zorg er zodoende voor dat uw wachtwoordzin géén logische of voorspelbare zin is, maar een samenvoeging van meerdere willekeurige woorden en leestekens.

De zin “Dit is het wachtwoord van Saskia” is zodoende een stuk onveiliger en makkelijker te hacken dan de zin “@2017 italy koffie kinderen”.

Hoe kunnen we al die wachtwoorden onthouden?

Nu duidelijk is hóe we sterke wachtwoorden kunnen maken, komen we aan bij het tweede probleem.

Hoe zorgen we ervoor dat we voor iedere website of softwaresysteem een andere wachtwoordzin gebruiken én al die wachtwoordzinnen kunnen onthouden? Nou, bijvoorbeeld door het toepassen van deze twee tips:

  1. Maak een wachtwoordzin die is samengesteld met op het oog willekeurige woorden, maar die u kunt onthouden door middel van een ezelsbruggetje. Bovenstaande wachtwoordzin zou u bijvoorbeeld kunnen onthouden door het volgende ezelsbruggetje: “In 2017 ben heb ik in Italië koffie gedronken op een terras met mijn partner en kinderen”. Op die manier onthoudt u uw wachtwoordzin veel sneller!
  2. Gebruik een vaste wachtwoordzin en breng daar voor iedere website of softwaresysteem enkele wijzigingen in aan die voor ú makkelijk te onthouden zijn. Bijvoorbeeld door altijd de naam van de betreffende website of het systeem in uw wachtwoordzin op te nemen. Wanneer u bovenstaande wachtwoordzin zou gebruiken voor uw Facebookaccount, dan zou u bijvoorbeeld de volgende wachtwoordzin kunnen hanteren: “@2017 italy koffie kinderen Facebook”.

Tot slot nog een tip voor een sterk wachtwoordbeleid

Zoals ik hiervoor reeds heb besproken, dienen organisaties de integriteit en vertrouwelijkheid van softwaresystemen te beschermen door het toepassen van een op het beveiligingsrisico afgestemd wachtwoordbeleid.

Dit betekent zodoende dat de ‘zwaarte’ van het wachtwoordbeleid afhankelijk is van de gehele situatie, zoals:

  • Het soort persoonsgegevens die worden verwerkt in het betreffende systeem
  • De hoeveelheid persoonsgegevens die daarin worden verwerkt
  • De gevolgen van een eventueel datalek
  • Etc.

Maak eventueel gebruik van meerfactorauthenticatie!

Hieruit volgt dus dat u het ene systeem beter zal moeten beveiligen dan de andere. Waar u bij de een kunt volstaan met het een sterk wachtwoord die regelmatig vervangen wordt, is dit voor een systeem die bomvol persoonsgegevens staat vrij karig..

Bij deze laatste is het bijvoorbeeld aan te raden om gebruik te maken van twee factor authenticatie (2FA).

2FA houdt in dat u niet alleen uw wachtwoord moet invoeren bij het inloggen, maar u daarbij óók op een andere manier moet bewijzen dat u het écht bent. Dit kan bijvoorbeeld door een verificitatiecode die u ontvangt op uw mobiele telefoon.

De wijze waarop 2FA wordt ingericht voor een softwaresysteem, mag u overigens zelf bepalen. Dit kan zodoende met behulp van bijvoorbeeld een sms, een token via een authenticatie app of een e-mail, aanvullend op de reguliere inlog met een gebruikersnaam en wachtwoord.

Medische gegevens & meerfactorauthenticatie

Het instellen van 2FA is in ieder geval aan te raden indien er véél, bijzondere of gevoelige persoonsgegevens worden verwerkt binnen één softwareprogramma. Een EPD-systeem is hier een mooi voorbeeld van.

Dit sluit overigens ook aan op het advies van de Autoriteit Persoonsgegevens en het Nationale Cyber Security Centrum én op een aantal geldende normen (met name de NEN7510). Beide partijen adviseren om waar mogelijk gebruik te maken van 2FA, maar in ieder geval indien er medische gegevens worden verwerkt.

Heeft u ondersteuning nodig bij het opstellen van een passend wachtwoordbeleid voor uw organisatie? Neem vrijblijvend contact op met MvK Consultancy om de mogelijkheden te bespreken!

Marjolein van Kooij

Marjolein van Kooij

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Wij houden u graag op de hoogte van onze diensten en kwalitatieve blogs.