Het laatste nieuws
Algemene voorwaarden
Algemene voorwaardenPrivacystatement
Klachtenregeling
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid adviseert organisaties om het periodiek veranderen van wachtwoorden niet langer te verplichten voor hun medewerkers of klanten, en deze maatregel te vervangen door compenserende maatregelen.
Het advies staat in een nieuwe versie van een factsheet over het gebruik van tweefactorauthenticatie. "Het periodiek vervangen van wachtwoorden, wat vaak als niet gebruiksvriendelijk wordt ervaren, is niet noodzakelijk als er compenserende maatregelen worden getroffen", zo laat het NCSC weten. De organisatie staat daarmee niet alleen. Experts waarschuwen al langer tegen het verplicht wijzigen van wachtwoorden, omdat gebruikers hierdoor zwakke wachtwoorden kiezen en vaker hun wachtwoorden opschrijven.
Aanbieders van internetdiensten en werkgevers kunnen als aanvullende maatregel monitoring en logging toepassen om zo onverwacht gebruik te detecteren. Ook kunnen gebruikers worden gewaarschuwd wanneer er een succesvolle of mislukte poging tot inloggen heeft plaatsgevonden. De gebruiker kan hierop reageren en eventueel maatregelen nemen, zoals het beëindigen van alle inlogsessies en het wijzigen van het wachtwoord.
Verder adviseert de vernieuwde factsheet om naar de relatieve sterkte van authenticatiemiddelen te kijken. Via een risicoanalyse kunnen organisaties vaststellen welk authenticatiemiddel het beste bij hen en hun dienstverlening past. "Authenticatiemiddelen verschillen in sterkte en daarmee de weerstand die zij tegen dreigingen bieden", aldus het NCSC.
Als laatste nieuwe toevoeging in de factsheet worden organisaties en gebruikers aangeraden om te onderzoeken wat Web Authentication (WebAuthn) voor hen kan betekenen. Deze open authenticatiestandaard biedt manieren om zonder wachtwoord in te loggen, bijvoorbeeld via biometrische kenmerken, tokens of andere hardware.