Wachtwoorden: wat uw bedrijf kan leren van Hollywood

Recent doken berichten op van een hack op clouddiensten als iCloud en Dropbox. Zijn deze diensten onveilig? In praktijk blijken vooral de wachtwoorden van de gebruikers de achilleshiel. Hoe gaat u hier als bedrijf mee om?

Dropbox was het recente geval. Hackers dreigden ermee om miljoenen Dropbox-wachtwoorden online te zetten en wilden hiervoor betaald worden in Bitcoins. Dropbox ontkent gekraakt te zijn en beweert dat de wachtwoorden bij een andere webdienst zijn gestolen. Veel mensen gebruiken dezelfde wachtwoorden voor verschillende diensten, wat dit soort hacks mogelijk maakt.

[related_article id=”161920″]

Jennifer Lawrence
Enkele weken geleden had Apple met iCloud iets gelijkaardigs voor. Privéfoto’s, en sommige daarvan zelfs behoorlijk intieme, van Amerikaanse filmsterren zoals Jennifer Lawrence (zie foto) werden van iCloud ontvreemd. Ook hier zou het gaan om wachtwoorden die via andere weg werden ontfutseld.

Slecht gebruik van wachtwoorden veroorzaakt ook risico’s voor bedrijven. Als een website, waarbij uw medewerkers geregistreerd zijn, te maken krijgt met een wachtwoordlek, kunt u daar niets meer aan doen. U moet maar hopen dat uw werknemers doordacht gebruik maken van wachtwoorden.

Wachtwoorden bezorgen ook werknemers veel kopzorgen. Onderzoeksbureau Gartner berekende dat de gemiddelde werknemer jaarlijks drie keer de IT-support contacteert voor een verloren of vergeten wachtwoord.

Zo’n werknemer verliest, zo blijkt uit ander onderzoek, tussen de 1 à 1,5 werkdag, of zowat 330 euro per jaar aan slecht wachtwoordbeheer. “Voor een bedrijf met 500 werknemers kost dit al snel 160.000 euro, alleen al aan verloren productiviteit”, aldus Barry Scott, EMEA chief technology officer voor Centrify, het bedrijf dat het onderzoek liet uitvoeren.

Wachtwoorden blijken een gedeelde verantwoordelijkheid. Er zijn twee voorzorgsmaatregelen die bedrijven kunnen uitvoeren, en twee die de eindgebruikers het best opnemen.

1. Phish uw gebruikers

Phishing-aanvallen zijn nog altijd een belangrijke oorzaak van wachtwoordlekken. Gebruik daarom antiphishingtools. Ze zijn niet waterdicht, maar het is beter dan geen verdediging. Technologie is niet de enige oplossing. Probeer ook regelmatig uw eigen gebruikers te testen: stuur hen een vervalst bericht om in te loggen en kijk of ze erin trappen.

2. Gebruik tweetrapsauthenticatie

Meer en meer bedrijven implementeren tweefactorauthenticatie, zodat diefstal van een wachtwoord niet voldoende is om in het account in te breken. Maar dan moet u het wel goed implementeren. Beveilig uw tweefactorauthenticatiedatabase goed, zodat die niet gecompromitteerd wordt. En maak tweefactorauthenticatie niet optioneel.

Ook de cloudaanbieders zelf, zoals Apple met zijn iCloud, zetten hier meer op in. Zo kunnen gebruikers van iCloud een code ontvangen op hun mobiel toestel waarmee ze toegang tot de iCloud krijgen. Bovendien zal Apple meldingen versturen als geprobeerd is om in te loggen op het account van gebruikers, die zo kunnen controleren of zij dat zelf hebben gedaan.

3. Hergebruik uw wachtwoorden niet

Probeer ervoor te zorgen dat uw gebruikers hun wachtwoorden niet hergebruiken op verschillende websites. De kans is immers groot dat uiteindelijk een van die websites gekraakt wordt. Hackers zullen een gekraakt wachtwoord altijd op andere websites uitproberen. Dit is een belangrijke boodschap naar uw personeel.

4. Verander uw wachtwoorden regelmatig

U moet ervan uitgaan dat tenminste één van uw wachtwoorden ergens in een hackersdatabase zit te wachten tot het gekraakt wordt. Verander daarom al uw wachtwoorden één keer per jaar, of zelfs vaker (bijvoorbeeld maandelijks) als u het risico nog wilt reduceren.

Op 11 december verzorgen Smart Business en ZDNet.be een (gratis) seminarie over business continuity. Meer info over dit seminarie vindt u op: www.businessmeetsit.be .