2.6 Wachtwoordbeleid
voorspellen
Werknemers – de gebruikers – willen vaak zo simpel mogelijk kunnen inloggen. Dat betekent vaak – als de gebruiker dat zelf mag bepalen – dat de wachtwoorden kort of gemakkelijk te onthouden zijn. Maar zo’n wachtwoord is voor kwaadwillenden vaak ook eenvoudig te voorspellen.
2.6.1 Verplichting
De netwerkbeheerder kan daar van alles aan doen, bijvoorbeeld een minimale lengte van het wachtwoord verplicht stellen of om de zoveel tijd een nieuw wachtwoord laten kiezen. Dat verdient meestal niet de populariteitsprijs en veel gebruikers hebben bij een verplichte maandelijkse wisseling van hun wachtwoord dan ook variaties als ‘wachtwoord01’ tot en met ‘wachtwoord12’ bedacht.
Risico
De praktijk leert dat veel beveiligingsrisico’s liggen bij de gebruiker en de rechten die hij heeft. Vrij instelbare wachtwoorden leiden vaak tot uiteindelijk voorspelbare toegangsrituelen. Sowieso is de rol van het wachtwoord belangrijk in vrijwel alle beveiligingsprocessen.
Er zijn in de meeste netwerkbeheeromgevingen zo veel instellingen mogelijk dat het best lastig is om een afgewogen beleid te bepalen dat voor de organisatie nuttig en voor de gebruiker prettig is.
2.6.2 Alleenrecht
Voorkom dat bepaalde personen in uw organisatie het alleenrecht hebben om bij bepaalde gegevens of de instellingen in uw netwerk te komen. Want wat gebeurt er als die persoon – door wat voor reden dan ook – niet meer in uw organisatie werkzaam is? Het komt vaak voor dat er één persoon is die uiteindelijk álle rechten in het netwerk heeft: de netwerkbeheerder. Daarmee is hij wel een ‘eiland’ in uw organisatie. Registratie van wachtwoorden buiten de beheerder om kan dan nuttig zijn. Leg die wel in de kluis van uw organisatie en niet in de la bij de receptie. Want anders is ook dat eiland snel te kraken.