In de systeemconfiguratie kan de minimale sterkte worden ingesteld voor wachtwoorden. Hiervoor kun je een aanvraag doen via een supportticket. Bij het activeren van deze functionaliteit zullen alle toekomstige in te voeren wachtwoorden en wachtwoorden die gewijzigd worden moeten voldoen aan bepaalde eisen.
In dit artikel lees je hoe het wachtwoordbeleid functioneert.
Theorie
Onze wachtwoordsterktemeter bepaalt de sterkte van een wachtwoord op basis van zogenaamde entropie. De entropie van een wachtwoord is een combinatie van de lengte en de mogelijke variatie van de gebruike karakters. De mate van entropie geeft aan hoe willekeurig en dus lastiger te raden een wachtwoord is. Entropie wordt in de praktijk vaak uitgedrukt in bits waarbij een wachtwoord dat in een eerste poging de helft van de tijd geraden wordt een entropie van 1 bit heeft. Een toename in bit is exponentieel. Naarmate het aantal bits toeneemt wordt het dus exponentieel moeilijker het wachtwoord te raden.
Zie voor meer informatie https://en.wikipedia.org/w/index.php?title=Password_strength&oldid=855577824
Minimale sterkte
De minimale sterkte is instelbaar op 3 niveau’s: matig, sterk en zeer sterk.
Dit vertaalt zich naar de volgende bit sterkte:
- matig: 33 bits
- sterk: 49 bits
- zeer sterk: 65 bits
Onze wachtwoordsterktemeter berekent de complexiteit van een wachtwoord aan de hand van de lengte, tekengroepen (cijfers, kleine letters, grote letters & overige tekens) en de variatie binnen die tekengroepen (“aa" is minder complex dan “ m" dat weer minder complex is dan “az", bijvoorbeeld).
Een verplichting van het gebruik van verschillende tekengroepen biedt, in tegenstelling tot wat er vaak gedacht wordt, geen extra veiligheid op het wachtwoord.
Onze functionaliteit geeft een indicatie op basis van de hierboven beschreven wachtwoord entropie. Door een minimale sterkte af te dwingen weet je zeker dat wachtwoorden relatief sterk zullen zijn, maar kan het zijn dat een sterk wachtwoord niet als zodanig door ons herkend wordt. Als voorbeeld: een wachtwoord met één miljoen a's is in principe zeer sterk, maar wordt door ons als net zo zwak gezien als één enkele a.
Periodiek wijzigen wachtwoord
In ons platform is het niet mogelijk om in te stellen dat wachtwoorden periodiek gewijzigd moeten worden. We hebben hiervoor gekozen omdat onderzoek uitwijst dat een dergelijk beleid veel tijd en geld kan kosten door het herstellen van vergeten wachtwoorden en zelfs resulteert in minder sterke wachtwoorden. Er zijn op internet meerdere bronnen te vinden die dit ondersteunen, maar een goed startpunt is deze blog op sans.org: https://www.sans.org/blog/the-debate-around-password-rotation-policies/ (engels). Veel betere manieren om wachtwoorden veilig te houden zijn de eerder genoemde minimale wachtwoordsterkte, controleren op het gebruik van uitgelekte wachtwoorden en het toepassen van multi-factor authenticatie (beide in te stellen in ons platform).
Impact wachtwoordbeleid
Het wachtwoordbeleid is van toepassing op álle gebruikers, zowel frontend- als backendgebruikers. Overweeg goed de balans tussen veiligheid en gebruikersgemak.
Als je minimale wachtwoordsterkte wilt laten instellen, maak dan hier een ticket aan.