Heb je al goede voornemens? 3 tips voor het veiliger maken van inlogprocessen

Het is inmiddels december. Met het nieuwe jaar in aantocht is het tijd om vast na te denken over goede voornemens. En we weten allemaal dat het waarmaken van die voornemens nog wel eens een uitdaging kan zijn. Daarom is het belangrijk om concrete en haalbare acties uit te zetten. Stel dat je je voorneemt om je medewerkers te helpen hun inlogprocessen veiliger te maken, hoe pak je dat dan aan? In dit artikel deel ik mijn tips. Disclaimer: je hoeft niet tot het nieuwe jaar te wachten om ze op te volgen.

1. Maar één login onthouden dankzij een password-manager

Het feit dat je bij zoveel websites nog steeds moet inloggen met een e-mailadres en wachtwoord is vanwege de gebruiksvriendelijkheid. Mensen houden niet van gedoe. Het probleem is dat de meeste mensen gemakzuchtig zijn. En hoewel het verstandig is om voor elke website een ander wachtwoord te gebruiken, is de realiteit dat de meeste mensen hetzelfde wachtwoord of een variant daarvan gebruiken wanneer ze een wachtwoord aanmaken. Dat cybercriminelen slim genoeg zijn om wachtwoorden te kraken, wil niet zeggen dat je het ze daarom maar zo makkelijk mogelijk moet maken. Met een passwordmanager sla je twee vliegen in één klap. Omdat de tool automatisch complexe wachtwoorden genereert, hoeven medewerkers maar één wachtwoord te onthouden: die van de password manager zelf. Er zijn verschillende (gratis) password managers die je kunt gebruiken. Sinds twee jaar is het hybride werken heel normaal geworden en gebruiken medewerkers hun laptop voor zowel zakelijke als privé-accounts. Stimuleer medewerkers daarom om voor beide een password manager te gebruiken.

2. Gebruik lange wachtwoorden (die niet complex hoeven te zijn!)

Hoewel de industrie toewerkt naar een wachtwoordloze toekomst, zijn we er nog lang niet. De passwordmanager is een belangrijke eerste stap om de wachtwoorden lang genoeg te maken zodat cybercriminelen ze bijna niet kunnen achterhalen. Hoewel dat ene wachtwoord voor je passwordmanager ook lang moet zijn, betekent het niet dat je een onmogelijke woord-en-cijfer-combinatie uit je hoofd moet leren. Mijn advies: gebruik een wachtzin in plaats van een wachtwoord. Dus liever niet dat ongelofelijk makkelijk te kraken wachtwoord ‘welkom01’, maar de wachtzin ‘alleen ik ben welkom in mijn eigen account-01’. Makkelijk te onthouden voor een gebruiker, maar moeilijk genoeg voor een cybercrimineel om te raden. Laat je creativiteit de vrije loop, maar gebruik altijd ten minste 16 tot 20 karakters.

3. Bouw een extra controlestap in met non-phishable MFA

Een inlogproces wordt nog veiliger als je gebruikmaakt van Multi-Factor Authentication (MFA), waarmee je als gebruiker een extra handeling verricht, zoals het invoeren van een code, om te bevestigen dat jij degene bent die inlogt. Het probleem met verreweg de meeste MFA-oplossingen is dat ze makkelijk te phishen of omzeilen zijn. Mijn collega Roger Grimes houdt een LinkedIn-blog bij met de actuele ‘non-phishable’ MFA-oplossingen. Zelf ben ik een groot voorstander van passkeys. Dit zijn door FIDO ingeschakelde authenticatiegegevens die werken op basis van openbare sleutel-cryptografie. Ze zijn gekoppeld aan bepaalde gebruikers en hun apparaten en websites, diensten of applicaties. Die worden ook wel "Relying Parties" genoemd. Log je als gebruiker in bij een zo’n geregistreerde Relying Party (RP), dan moet je net als bij andere MFA-oplossingen een actie uitvoeren om de login goed te keuren. Bijvoorbeeld door te klikken op een login-bevestigingsbericht, het koppelen van een USB-sleutel of een veegpatroon of het checken van een vingerafdruk.

Wil je de bedrijfskritieke data van je organisatie beter beschermen? Met bovenstaande tips zorg je er in ieder geval voor dat het niet aan onveilige inlogprocessen van je medewerkers kan liggen.

Door: Jelle Wieringa, Security Awareness Advocate bij KnowBe4