Redactie - 29 september 2024

NIST wil af van contraproductieve regels rond wachtwoorden

Het National Institute of Standards and Technology (NIST) stelt onder meer voor om niet langer wachtwoorden om de paar maanden te vervangen. Ook wil het af van de regel om vreemde tekens te gebruiken.

NIST wil af van contraproductieve regels rond wachtwoorden image

Het NIST is de Amerikaanse federale autoriteit voor technologische standaarden die voor veel Amerikaanse bedrijven en organisaties gelden. In een nieuw voorstel wil het instituut af van enkele vervelende en contraproductieve regels rond wachtwoorden.

Gedwongen wachtwoord vervangen

Een belangrijke daarin: het gedwongen vervangen van je wachtwoord om de paar maanden. Die regel komt nog uit een tijd dat mensen minder kennis hadden en vaak onveilige wachtwoorden gebruikten, zoals de naam van hun hond. Ondertussen gebruiken veel mensen een sterker wachtwoord, of een wachtwoord dat automatisch gegenereerd wordt. Zo’n sterk wachtwoord hoeft niet vervangen te worden, en de regel kan zelfs veiligheid in de weg zitten, omdat het mensen kan aanzetten om een zwakker wachtwoord te kiezen dat makkelijker te onthouden is.

Daarnaast kijkt NIST in zijn nieuwe voorstel ook naar de regel om specifieke karakters te gebruiken. Wederom, in een wachtwoord dat lang genoeg is, heeft zo’n extra vraagteken of hoofdletter geen nut en maakt de regel het gewoon moeilijker voor mensen om een goed wachtwoord te kiezen.

Langere wachtwoorden en alle ASCII-tekens

NIST wil in zijn voorstel voor de nieuwe regels onder meer dat wachtwoorden minimum acht tekens lang zijn, en eigenlijk liefst minimum 15 tekens. Het instituut stelt voor dat alle ASCII-tekens worden aanvaard en dat bedrijven geen andere regels rond compositie (zoals het gebruiken van minimum een speciaal teken of cijfer) voorschrijven.

Het voorstel wil verder af van het verplicht periodiek opnieuw instellen van wachtwoorden, tenzij er bewijs is van een lek. NIST wil ook kennisgebaseerde vragen bannen om een wachtwoord te herstellen, zoals ‘Wat is de naam van je eerste huisdier’ of ‘Wat is de achternaam van je moeder’.

De regels zijn voorlopig een voorstel. NIST vraagt alvast feedback. Als de regels er komen, zijn ze alleen verplicht voor Amerikaanse bedrijven, maar gezien die vrij alomtegenwoordig zijn op het internet, is de kans wel groot dat hiermee een nieuwe zachte standaard wordt gezet voor zowat iedereen.

In samenwerking met Data News

Dutch IT Security Day BW tm 15-10-2024 Tanium BW 08/10/2024 - 01/11/2024
Freshworks BN + BW | Static Ad 9-2 | 07-10 tm 14-10

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!