Cloudgebaseerde platformen, intranetten en extranetten, boekhoud- of HR-systemen zijn slechts enkele van de middelen die Belgische organisaties in hun dagelijkse werking gebruiken. Daarnaast zijn sociale media, bankapps, e-mails, applicaties en websites ook enkele van de vele accounts die medewerkers in hun dagelijks leven gebruiken via apparaten die organisatiegegevens bevatten. Voor elk van deze accounts is een wachtwoord vereist om toegang te krijgen.
Respecteer altijd het wachtwoordbeleid, het beleid voor aanvaardbaar gebruik en het beleid inzake gegevensclassificatie van je organisatie om een toereikend en consistent cyberbeveiligingsniveau te waarborgen.
Er zijn een aantal templates voor referentiedocumenten beschikbaar voor een snelle en vlotte uitvoering van het cyberbeveiligingsbeleid in je organisatie. Je krijgt toegang tot deze templates via deze link.
Hoe langer, hoe beter. Lange wachtwoorden zijn efficiënter omdat ze voor cybercriminelen moeilijker te hacken zijn, gezien de vele mogelijkheden die het aantal tekens kan geven. Wachtwoorden moeten uit minstens 12 tekens bestaan, waarbij kleine letters, hoofdletters, cijfers en symbolen worden gecombineerd om de complexiteit te vergroten.
Een goede techniek om een sterk wachtwoord in te stellen is het maken van een 'wachtwoordzin', bv.: "Alice is op het strand in Oostende". Kort de namen in en hou het gewenste aantal letters over, bv.: "Ae is op ht str in Oo". Maak dit wachtwoord nog sterker door enkele letters toe te voegen of te vervangen door cijfers en/of symbolen. Vervang een ‘e’ bijvoorbeeld door het cijfer 3 of een 's' door het cijfer 5. Kies een willekeurig getal en symbolen, maar zorg ervoor dat je de uiteindelijke volgorde onthoudt.
Zodra je een sterk wachtwoord hebt aangemaakt, hou je het strikt persoonlijk en mag je het nooit delen. Vooral met professionele wachtwoorden moet je zorgvuldig omgaan. Vraag bijvoorbeeld nooit aan een collega om in jouw naam in te loggen.
Cybercriminelen kunnen phishingtechnieken gebruiken of een website hacken om wachtwoorden te stelen en toegang te krijgen tot persoonlijke informatie, of de gelekte identificatiegegevens te verkopen op het dark web. Met die gestolen informatie willen ze schade toebrengen door geld te stelen of gevoelige informatie te gebruiken om ongewenste en/of illegale diensten te verkrijgen. Zodra ze één wachtwoord kennen, zullen ze dat wachtwoord ook op andere accounts uitproberen en trachten toegang te krijgen tot meer diensten om nog meer schade aan te richten, of ze zullen zich binnen het organisatienetwerk proberen te verplaatsen om toegang te krijgen tot meer informatie. Om het risico op compromittering van meerdere accounts te beperken, is het dus van groot belang dat je verschillende wachtwoorden gebruikt voor verschillende accounts.
Gebruik nooit hetzelfde wachtwoord voor verschillende accounts. Zo beperk je de schade als er iets ergs gebeurt.
Multifactorauthenticatie is een betrouwbare manier om het gebruik van wachtwoorden te versterken. Bij multifactorauthenticatie worden meerdere manieren – factoren – gebruikt om aan te tonen dat je bent wie je beweert te zijn en toegang te krijgen tot je account.
Die factoren kunnen zijn:
Multifactorauthenticatie vereist de combinatie van minstens twee van deze factoren om je toegang te geven tot een account. Je kan bijvoorbeeld een wachtwoord gebruiken en een code die via een tekstbericht naar je mobiele telefoon wordt verzonden. Daarnaast kan bij multifactorauthenticatie ook gebruik worden gemaakt van een verificatie-app. Itsme® bijvoorbeeld is een gratis Belgische app waarmee elke inwoner op een veilige, gemakkelijke en betrouwbare manier zijn identiteit kan bewijzen of transacties kan bevestigen. Naast deze app kunnen ook andere bekende verificatie-apps worden gebruikt: Google Authenticator, Microsoft Authenticator of Authy.
De meest gebruikte diensten bieden een vorm van tweestapsverificatie en hebben een korte instructiepagina. Je vindt al deze diensten en instructies op https://www.safeonweb.be/nl/tweestapsverificatie-toevoegen-hoe-doe-ik-dat.
Hoewel het geen wondermiddel is, zal dit het een aanvaller toch moeilijker maken om jou of je organisatie te compromitteren. Meestal is dit voldoende om een opportunistische aanvaller af te schrikken.
Verschillende, sterke wachtwoorden voor verschillende accounts kunnen helpen om informatie te beschermen. In het dagelijks leven gebruiken mensen echter veel verschillende accounts en kan het behoorlijk lastig zijn om een wachtwoord voor elk van die accounts te onthouden. Dit betekent niet dat ze voor alle accounts hetzelfde wachtwoord moeten gebruiken en het risico om gehackt te worden moeten aanvaarden. Er werd hier immers een specifieke oplossing voor ontwikkeld: de wachtwoordkluis.
Wachtwoordkluizen helpen alle verschillende wachtwoorden te beheren door ze veilig op te slaan. Sommige wachtwoordkluizen kunnen zelfs willekeurige wachtwoorden genereren en ervoor zorgen dat ze sterk genoeg zijn. Stel één sterk wachtwoord in om toegang te krijgen tot de wachtwoordkluis.
Veel wachtwoordkluizen zijn beschikbaar in een gratis of betalende versie. Je kan je ICT-verantwoordelijke raadplegen voor advies over de keuze van een wachtwoordkluis. Die dient wel in overeenstemming te zijn met het beleid van de organisatie. Om je te helpen vind je hier een lijst met een aantal wachtwoordkluizen:
Zoals elke technologische oplossing kunnen ook wachtwoordkluizen kwetsbaarheden vertonen waarvan misbruik kan worden gemaakt. De fabrikanten doen er echter alles aan om het product veilig te houden. Om een extra beschermingslaag toe te voegen, raden we aan om multifactorauthenticatie te gebruiken om toegang te krijgen tot de wachtwoordkluis.
Als er aanwijzingen zijn dat een wachtwoord werd onthuld of gedeeld, verander dan onmiddellijk al je wachtwoorden. Vergeet niet om de wachtwoorden grondig te wijzigen. Slechts één letter of cijfer toevoegen zal geen groot effect hebben, aangezien de meeste hackers een lijst bijhouden van combinaties van gehackte accounts.
Werd je professioneel wachtwoord onthuld of gedeeld, neem dan contact op met je ICT-verantwoordelijke en volg zijn instructies.
Het doel van deze inhoud is om goede cyberbeveiligingspraktijken te delen en onder de aandacht te brengen.
Sommige van deze adviezen kunnen anders van toepassing zijn, afhankelijk van de context van uw organisatie.
Houd u altijd aan het beleid en de instructies die binnen uw organisatie van kracht zijn.
Vraag bij twijfel altijd eerst advies aan uw IT-manager.
