Verplicht wachtwoorden veranderen is ouderwetse onzin, aldus Microsoft
Hoewel de techgigant in het verleden al haar gebruikers met regelmaat aanspoorde hun wachtwoorden te veranderen, klinkt er nu een kritisch geluid over de praktijk. In de final security baseline die vorige week werd gepubliceerd, kondigt Microsoft aan dat ze gebruikers niet meer automatisch zullen vragen hun wachtwoord te veranderen.
Beveiligingsstandaard verlaagt niet
“Het verwijderen van functionaliteit die weinig waarde heeft, zonder te compenseren door iets anders terug te plaatsen, betekent niet dat we onze beveiligingsstandaard verlagen. Het versterkt simpelweg de boodschap dat veiligheid niet met een baseline alleen bereikt kan worden.”
Aanleiding hiervoor zijn wetenschappelijke onderzoeken over beveiliging. Die tonen aan dat een beveiligingsstrategie uit verschillende facetten moet bestaan. Er worden alternatieven aangedragen, zoals striktere regels over de lengte, combinaties, en lijsten van ‘verboden’ wachtwoorden. Ook wordt er geadviseerd mensen te helpen bij het kiezen van een wachtwoord.
Menselijke neiging
De menselijke neiging om een wachtwoord te kiezen dat makkelijk te onthouden is, zoals namen, associaties en woorden, maakt dat hackers ze gemakkelijk kraken. Echter, als het niet makkelijk te onthouden is, schrijven mensen ze ergens op, wat een nieuw risico meebrengt. Een wachtwoord alleen is daarom geen complete beveiligingsstrategie. Detectie, gebruikspatronen en biotechoplossingen zouden ook ingezet moeten worden.
Een betere oplossing is dan bijvoorbeeld twee-factor authenticatie. Microsoft heeft de optie om twee-factor authenticatie in te schakelen mogelijk gemaakt voor alle producten waarbij je inlogt met het Microsoft-account.