Password policies

Voor digitale beveiliging worden vaak wachwoorden gebruikt. Tegelijkertijd zijn wachtwoorden ook de grootste zwakke plek in digitale beveiliging. Veel mensen gebruiken geen sterke wachtwoorden of hergebruiken wachtwoorden op verschillende plekken. Als aanvallers in kunnen loggen met het wachtwoord van een gebruiker, kunnen ze soms veel schade aanrichten.

Dit is de reden dat veel grote organisaties zogenaamde password policies hebben. Bijvoorbeeld over de lengte of complexiteit van een wachtwoord, hoe lang een wachtwoord geldig is (bijv. ieder jaar wijzigingen), hoe vaak je het kunt wijzigen (bijv. een wachtwoord mag niet hetzelfde zijn als een van de vorige 10 wachtwoorden) of hoe snel een account wordt geblokkeerd bij invoer van een verkeerd wachtwoord (bijv. na 5 mislukte inlogpogingen wordt dat account voor 10 minuten geblokkeerd).

Vaak is echter onduidelijk waarom deze eisen ingesteld zijn. Soms kan het ook contraproductief werken. Zo is bijvoorbeeld bekend dat het instellen van bepaalde tekens die je in een wachtwoord moet gebruiken, er in de praktijk vaak toe leidt dat gebruikers (onbewust) zwakkere wachtwoorden kiezen (password1!, password2!, password3!, …) omdat zij het lastig vinden deze wachtwoorden te onthouden. Terwijl het uiteindelijke scenario waar deze eis bescherming tegen zou moeten bieden, een brute force aanval waarbij een aanvaller systematisch allerlei wachtwoorden afgaat, erg onwaarschijnlijk is als een accountblokkering na mislukte inlogpogingen is geïmplementeerd. Effectief leidt een dergelijk password policy dan dus tot zwakkere beveiliging, in plaats van sterkere beveiliging.

Ook de economische effectiviteit niet altijd duidelijk. Als een bedrijf van 1000 werknemers ieder half jaar hun wachtwoord moet wijzigen, waardoor zij een uur lang niet meer productief zijn (denk aan het opnieuw instellen van email op al hun apparaten, telefoongesprekken met helpdesks als het wachtwoord wijzigen niet lukt), kan dit vele duizenden euro’s aan omzetverlies op jaarbasis betekenen. Het is maar de vraag of deze ‘investering’ opweegt tegen het verminderde risico op een cyberaanval.

Het kan interessant zijn om van bepaalde organisaties te onderzoeken wat voor password policies zij gebruiken, welke specifieke aanvalsscenarios ze hier mee proberen te voorkomen en of deze password policy berargumenteerbaar effectief is

Interessante vragen:

• Wat is een sterk wachtwoord (belangrijke term: entropie)?
• Hoe proberen cybercriminelen wachtwoorden te kraken?
• Hoe worden wachtwoorden opgeslagen en gebruikt in computer systemen (belangrijke term: hashing)?
• Wat zegt de psychologie over hoe mensen omgaan met hun wachtwoord (belangrijke term: usability en human computer interaction)?
• Wat zijn de economische gevolgen van cyber aanvallen en wat kunnen password policies hierin betekenen?

Literatuur tips:

• https://www.microsoft.com/en-us/research/wp-content/uploads/2016/02/SoLongAndNoThanks.pdf
• https://www.microsoft.com/en-us/research/wp-content/uploads/2016/02/tr-2007-64.pdf
• https://ieeexplore.ieee.org/document/8418642
• https://link.springer.com/chapter/10.1007/978-1-4614-1981-5_2
• https://aisel.aisnet.org/amcis2012/proceedings/ISSecurity/20/
• https://dl.acm.org/doi/abs/10.1145/3027063.3053100
• https://dl.acm.org/doi/abs/10.1145/1753326.1753384
• https://www.sciencedirect.com/science/article/pii/S0167404820300870