30 apr Microsoft: periodiek wijzigen wachtwoorden zo goed als zinloos
Het periodiek wijzigen van wachtwoorden is een verouderde en overbodige maatregel die zo goed als zinloos is, aldus Microsoft. De softwaregigant heeft dan ook besloten om het wachtwoordverloopbeleid waardoor Windows-gebruikers periodiek gedwongen kunnen worden om hun wachtwoord te wijzigen uit de security baseline van Windows 10 versie 1809 en Windows Server 2019 te verwijderen.
“Als mensen gedwongen worden om hun wachtwoorden te wijzigen, maken ze te vaak kleine en voorspelbare aanpassingen aan hun bestaande wachtwoorden en/of vergeten hun nieuwe wachtwoorden”, zegt Microsofts Aaron Margosis. Hij wijst naar onderzoek waaruit blijkt dat er betere alternatieven zijn voor het periodiek wijzigen van wachtwoorden, zoals het handhaven van een lijst met verboden wachtwoorden en het gebruik van multifactorauthenticatie.
Om organisaties te helpen bij hun beveiliging biedt Microsoft een zogeheten “security baseline” met aanbevolen instellingen. Het gaat dan onder andere om allerlei group policies. De group policy voor het periodiek wijzigen van wachtwoorden is in de nieuwste versie van de baseline verwijderd. Volgens Margosis heeft deze functie nauwelijks enige waarde. Het biedt namelijk alleen bescherming als een wachtwoord of wachtwoordhash is gestolen tijdens de periode dat die geldig is en vervolgens door een aanvaller wordt gebruikt.
Als een wachtwoord echter nooit gestolen wordt is er ook geen reden om het verplicht te laten vervangen. En als blijkt dat een wachtwoord wel is gestolen, dan zullen de meeste organisaties of gebruikers meteen in actie komen en het veranderen, in plaats van te wachten tot de ingestelde periode verloopt. Het is dan ook de vraag hoeveel bescherming het periodiek wijzigen van wachtwoorden biedt.
“Het periodiek wijzigen van wachtwoorden is een verouderde en overbodige maatregel die zeer weinig waarde heeft, en we denken dat het niet zinvol is voor onze baseline om een bepaalde waarde te handhaven. Door het van onze baseline te verwijderen in plaats van een bepaalde waarde of helemaal geen expiratie aan te bevelen, kunnen organisaties kiezen wat het beste aan hun beoogde wensen tegemoet komt zonder dat het tegenstrijdig met ons advies is”, aldus Margosis.
Eind vorig jaar adviseerde het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid ook al om het periodiek wijzigen van wachtwoorden niet langer te verplichten en deze maatregel te vervangen door compenserende maatregelen.
Sorry, het is niet mogelijk om te reageren.