Bekijk onze
vacatures

Klantenservice
Bel 085 484 04 84 

5 tips voor een AVG-proof wachtwoordbeleid

11 mei 2018
Terug

5 tips voor een AVG-proof wachtwoordbeleid

5 tips voor een AVG-proof wachtwoordbeleid

Een datalek als gevolg van zwakke wachtwoorden die rondslingeren op post-its? Dergelijke slordigheden kunnen organisaties onder de Algemene verordening gegevensbescherming (AVG) duur komen te staan. Reden genoeg om vandaag tijdens World Password Day het wachtwoordbeleid nog eens grondig tegen het licht te houden.

International Password Day 2018 valt op een cruciaal moment. Op 25 mei 2018 vervangt de Global Data Protection Regulation (GDPR), zoals de AVG in het Engels heet, onze Wet bescherming persoonsgegevens. De nieuwe privacywet biedt EU-burgers meer controle over hun eigen gegevens. Bedrijven die persoonsgegevens verwerken, zijn gebonden aan een reeks verplichtingen.

Passende maatregelen

Artikel 32 van de AVG verplicht verwerkers bijvoorbeeld om ‘passende technische en organisatorische maatregelen’ te treffen voor de bescherming van persoonsgegevens. De Europese wetgever laat voor een groot deel in het midden hoe die maatregelen eruit moeten zien. Zo worden er geen eisen gesteld aan wachtwoorden.

Wel zijn er enkele best practices als het gaat om het gebruik van wachtwoorden die de Autoriteit Persoonsgegevens tevreden zullen stellen. 5 voorbeelden:

1. Dwing regelmatig wijzigen wachtwoorden af

In de ideale situatie moeten eindgebruikers iedere 30, 60 of 90 dagen hun wachtwoorden wijzigen. De praktijk is helaas anders. Zo ontdekte Varonis Systems dat bij een groot deel van de onderzochte bedrijven wachtwoorden nooit worden gewijzigd.

Deze nalatigheid vergroot de kans dat eerder uitgelekte wachtwoorden nog steeds in gebruik zijn. Aanvallers krijgen bovendien ruimschoots de tijd om wachtwoorden te kraken. Dwing gebruikers daarom om wachtwoorden regelmatig te wijzigen door ze beperkt ‘houdbaar’ te maken.

2. Benadruk belang unieke wachtwoorden

De vorige maatregel staat regelmatig ter discussie. Veel gebruikers hebben moeite om wachtwoorden te onthouden, zeker als ze die regelmatig moeten wijzigen. De ‘oplossing’ is hergebruik van oude wachtwoorden. Daarbij bestaat het risico dat de wachtwoorden al eens zijn uitgelekt en in het bezit zijn van cybercriminelen.

Druk gebruikers daarom op het hart om altijd unieke wachtwoorden te bedenken. Zorg er eventueel met technische middelen voor dat oude wachtwoorden niet worden geaccepteerd. En wachtwoorden als ‘1234567’, ‘qwerty’ en ‘admin’ zijn uiteraard uit den boze.

3. Houd wachtwoorden strikt persoonlijk

Het is misschien een open deur: gebruikers moeten wachtwoorden strikt privé houden en niet delen met bijvoorbeeld een collega die snel ‘even iets’ op moet zoeken. Toch komt het in de praktijk nog altijd voor dat wachtwoorden op een post-it worden geschreven en breed worden gedeeld. Met de nodige risico’s. Als een wachtwoord bij veel mensen bekend is, hebben aanvallers ook meer mogelijkheden om dat wachtwoord te achterhalen.

En wat te denken van de cybercrimineel die zich voordoet als een IT-collega die je wachtwoord nodig heeft om een probleem op te lossen. Die help je toch? Vervolgens heeft de hacker ineens wel toegang tot gevoelige gegevens. Het is dan ook belangrijk om te benadrukken dat wachtwoorden persoonsgebonden zijn en geheim moeten blijven.

4. Stap over op tweefactorauthenticatie

Een inlog met gebruikersnaam en wachtwoord volstaat vandaag de dag niet meer om gevoelige gegevens af te schermen. Het gebruik van tweefactorauthenticatie is in veel situaties een betere optie. De gebruiker voert tijdens het inloggen iets in wat hij weet (zoals een wachtwoord) en iets wat hij heeft (zoals een sms-code).

Zijn de data zeer gevoelig? Dan is het verstandig om een identificatiemiddel te gebruiken met een ‘substantieel’ of ‘hoog’ betrouwbaarheidsniveau. Denk aan middelen zoals eHerkenning, Idensys of PKIoverheid-certificaten.

5. Besteed aandacht aan beheer wachtwoorden

Uit het eerder aangehaalde onderzoek van Varonis blijkt dat de zogenaamde ‘ghost users’ een hardnekkig probleem vormen. Veel bedrijven hebben te maken met accounts die nooit worden gebruikt, bijvoorbeeld omdat de betreffende medewerkers al lang uit dienst zijn.

Ook kan het gaan om testaccounts met eenvoudig te raden wachtwoorden die nooit meer zijn opgeheven. Voor aanvallers vormen deze accounts een dankbare springplank om het netwerk binnen te dringen. Let er daarom op dat inactieve accounts worden opgeheven en maak het opheffen van gebruikersnaam en wachtwoord onderdeel van de uitdienstprocedure.

Bron: KPN.com

Nieuws

ISDN stopt. Stap nú over.
11 oktober 2018

ISDN stopt. Stap nú over.

Supersnel internet en de cloud hebben onze manier van communicatie flexibeler, veelzijdiger en goedkoper gemaakt. Communicatie wordt daarbij steeds digitaler; bellen via internet is binnen veel organisaties al de norm. Het tijdperk van ISDN loopt daarom op zijn einde.

Meer
MKB Office wint de Blauwe Veer
04 oktober 2018

MKB Office wint de Blauwe Veer

Op dinsdag 25 september 2018 heeft MKB Office de “De Blauwe Veer” ontvangen van Telfort Zakelijk voor beste persoonlijke dienstverlening aan zakelijke klanten van Telfort.

Meer
5 tips voor een AVG-proof wachtwoordbeleid
11 mei 2018

5 tips voor een AVG-proof wachtwoordbeleid

Een datalek als gevolg van zwakke wachtwoorden die rondslingeren op post-its? Dergelijke slordigheden kunnen organisaties onder de Algemene verordening gegevensbescherming (AVG) duur komen te staan. Reden genoeg om vandaag tijdens World Password Day het wachtwoordbeleid nog eens grondig tegen het licht te houden.

Meer
AVG: deze tools versnellen de eindsprint
11 mei 2018

AVG: deze tools versnellen de eindsprint

De Algemene verordening gegevensbescherming (AVG) zadelt organisaties met flink wat werk op. Zo kan het opstellen van een verwerkingsregister een aardige kluif zijn. Gelukkig staat u er niet alleen voor. Handige hulpmiddelen zijn inmiddels breed beschikbaar. Een overzicht.

Meer
Laat ICT voor u werken
24 april 2018

Laat ICT voor u werken

Altijd online en bereikbaar zijn: het is in ons privéleven haast vanzelfsprekend. Op het werk ligt het vaak nog anders. Dat hoeft echter niet zo te zijn. Met de nieuwste ICT-toepassing garandeert u maximale bereikbaarheid van uw werknemers en kunnen zij op afstand met elkaar samenwerken. Optimaal samenwerken – veilig en efficiënt via de cloud.

Meer