Microsoft bestempelt verplicht veranderen wachtwoord als risico

Veel organisaties vragen van hun werknemers om enkele keren per jaar hun wachtwoord te veranderen. Na verloop van tijd vervalt een oud wachtwoord en wordt de gebruiker verplicht om er een nieuw in te stellen. Microsoft geeft nu aan dat die aanpak niet alleen verouderd is maar zelfs voor een slechtere beveiliging zorgt.

Wie intekent op Office365, al is het maar voor mail, is waarschijnlijk wel vertrouwd met het wachtwoordverval. Als werknemer moet je een wachtwoord voor je account kiezen maar dat vervalt na enkele maanden, waarna je een nieuw uniek wachtwoord moet bedenken. Het beleid bestaat in de naam van veiligheid maar werkt in de praktijk averechts. Dat beseft Microsoft nu zelf ook. De softwarereus raadt ondernemingen nu aan om de functie af te voeren, aangezien ze geen extra veiligheid met zich mee brengt en in de plaats daarvan de kwaliteit van de beveiliging zelfs omlaag haalt.

In een blogpost haalt Microsoft recent wetenschappelijk onderzoek aan. Dat toont aan dat wachtwoorden met een vervaldatum niet bijdragen aan de veiligheid. Er zijn betere alternatieven, zoals tweefactorauthenticatie of een blacklist met wachtwoorden waaruit een gebruiker niet kan kiezen.

Geen meerwaarde

Het grootste probleem is de menselijke factor: wie ieder half jaar zijn wachtwoord moet veranderen, kiest doorgaans voor eenvoudige wachtwoorden met beperkte iteraties. Het beleid weerhoudt mensen er met andere woorden van om voor een complex wachtwoord te kiezen. Bovendien is er geen enkele reden om een wachtwoord te veranderen dat niet is gekraakt. En circuleert een wachtwoord na een hack wel in het wild? Dan verander je het meteen, onafhankelijk van het beleid. Microsoft haalt de policy dan ook uit zijn baseline.

“Als de kans groot is dat wachtwoorden gestolen worden, is een automatische vervalperiode voor bestaande wachtwoorden altijd te lang”, redeneert Microsoft, “en als wachtwoorden niet gestolen worden, is er geen reden om ze te veranderen.” De policy is op die manier helemaal overbodig. “En als je werknemers bereid zijn om hun wachtwoord op de parking vrij te geven in ruil voor een snoepreep, en is er geen enkel beleid dat je kan redden.”

Alternatieven

Microsoft gaf in april al aan dat het geen heil meer zag in het beleid. Toen lanceerde Redmond kant- en klare beveiligingspolicies waarop bedrijven zich kunnen baseren om hun security in orde te brengen. Toen haalde de periodieke wachtwoordwijziging de baseline ook al niet.

In de plaats van je wachtwoord te veranderen, is het een beter idee om een goed en uniek wachtwoord te kiezen. Uniek is belangrijk voor wanneer er weer ergens een lek is bij een bedrijf dat wachtwoorden onvoldoende veilig opslaat, zodat er een mail-wachtwoordcombinatie te grabbel ligt op het net. Criminelen vatten doorgaans het plan op om dergelijke combinaties ook op andere sites te gaan gebruiken.

Een goed wachtwoord is verder een lang wachtwoord, dat niet noodzakelijk bol staat van de cijfers en speciale tekens. Lengte is de allerbelangrijkste factor. Een wachtzin is in dat opzicht de veiligste keuze. Ook een wachtwoordmanager gebruiken is een goede optie. Als organisatie is het dan weer een goed idee om tweefactorauthenticatie uit te rollen. Zo hoeft een gekraakt wachtwoord niet nefast te zijn.

Gerelateerd: Microsoft voorziet kant-en-klare beveiligingspolicies voor bedrijven