Waarom Change Your Password Day net op tijd komt voor jouw organisatie
1 februari staat jaarlijks in het teken van het veranderen van wachtwoorden. Waarom dat in normale omstandigheden een noodzaak is, hoeven we je niet meer te vertellen. Waarom dat vandaag belangrijker is dan ooit, en hoe je te werk moet gaan, dat geven we je wél graag mee.
Eind januari doken onheilspellende berichten op over de zogenaamde ‘Mother Of All Breaches’ (MOAB). Dit monsterlek behelst 1.2 terabyte aan gelekte data, goed voor ruim 500 miljard logingegevens[1] die te vinden zijn op het Darknet. Hoewel het voornamelijk bestaat uit data die al langer te vinden waren, is er toch voldoende reden om je zorgen te maken.
De data brengen ruim 3.800 voorafgaande datalekken samen. Dat betekent ook een beetje goed nieuws want wie reeds klant is bij Secutec werd voor 94% van de data al eerder op de hoogte gebracht van de onmiddellijke risico’s voor zijn organisatie. Het slechte nieuws is dat het lek zelfs dan nog een impact kan hebben, en niet enkel omdat de geschatte overige 6% nieuwe gegevens bevat.
Gemotiveerde hackers kunnen immers de beschikbare informatie uitpluizen om trends en tendensen te spotten. Ze proberen je oude wachtwoorden te linken aan diensten waar je jouw wachtwoorden nog niet hebt aangepast. Bijvoorbeeld: wie zijn Gmail-wachtwoord ook elders gebruikt, maar het in geval van een datalek slechts op die ene plek aanpaste, loopt nog steeds gevaar om zijn Google-account gehackt te zien. Via dat Google-account worden dan op alle websites via “Forgotten Password”-links de wachtwoorden gereset en zo krijgen de hackers alsnog toegang tot je Facebook, Instagram,… Deze techniek heet Credential Stuffing.
Het belang van een robuust wachtwoordbeleid
Daarom geef je dit jaar de ‘Change Your Password Day’ maar beter wat meer aandacht. Zowel naar gebruikers toe, als naar het wachtwoordbeleid van jouw bedrijf. In een tijd waarin private data nooit eerder zó vrij te vinden waren, is gegevensbescherming cruciaal. Dat begint bij een sterk, gehandhaafd en up-to-date password policy. Hoe moet dat eruitzien?
Een gekraakt wachtwoord maakt het voor cybercriminelen wel heel makkelijk om toegang te krijgen tot gevoelige data. Om dat te vermijden, hanteer je een strikt wachtwoordbeleid doorheen de ganse organisatie.
Continu opleiden en bijscholen
Het is cruciaal dat iedereen binnen het bedrijf weet welke maatregelen er worden genomen om te komen tot een sterke digitale gegevensbeveiliging. Vervolgens is het essentieel dat iedere medewerker ten gronde beseft waarom ze worden genomen en wat het verwachte resultaat is. Dit is een sterk onderschatte factor – jouw medewerkers zullen veel plichtsbewuster omgaan met hun data als ze de beweegredenen en mogelijke gevolgen begrijpen. Daarom geven we deze tips:
- Leid je medewerkers continu op en breng ze op de hoogte van de gevaren van een slecht wachtwoord en de kenmerken van een cyberaanval. Spoor ze aan om verdachte activiteiten meteen te melden. Dit oefen je door bijvoorbeeld gebruik te maken van always-on
- Leer je medewerkers de kenmerken van een sterk wachtwoord en maak hen duidelijk dat ze daarbovenop steeds gebruik moeten maken van 2FA of MFA (Multi-Factor Authentication). Deze beveiligingsmethoden vereisen respectievelijk twee of meerdere vormen van identificatie voor gegevenstoegang en bieden zo een extra beveiligingslaag. Dat kan op verschillende manieren, waarvan een van de veiligere verloopt via een generator van verificatiecodes die constant wordt bijgewerkt.
Onderstaande infographic kan je gebruiken om je medewerkers te helpen bij het ontwikkelen van unieke, sterke wachtwoorden.
Beheer en heers
Eenmaal de gebruikerszijde op punt staat, is het van even groot belang dat de beheerszijde eveneens wordt klaargestoomd – en dat die te allen tijde up-to-date blijft. Denk daarbij aan:
- Bij het beheren van vele en verschillende accounts binnen een bedrijf kan het handig zijn om gebruik te maken van geautomatiseerde tools of een password manager. Deze worden idealiter streng gecontroleerd door de IT-afdeling. Zij moeten de mogelijkheden per account beperken tot het hoogstnoodzakelijke, zodat eventuele gelekte data bij een inbreuk beperkt blijft tot de apps, diensten, producten… waar een account toegang toe heeft. Niet iedereen heeft immers nood aan dezelfde onbeperkte rechten!
- Vermijd dat oude werknemers nog toegang hebben tot je bedrijf door regelmatig de wachtwoorden aan te passen (om de twee à drie maanden) en oude profielen zo snel mogelijk op te kuisen of te deactiveren. Je wilt namelijk niet dat iemand die niets meer met het bedrijf te maken heeft, nog toegang heeft tot jouw bedrijfsgegevens.
Welke rol speelt Secutec in jouw wachtwoordbeleid?
Met Secutec SecureSIGHT heb je steeds inzicht in de gelekte gebruikersnamen en wachtwoorden die in verband worden gebracht met jouw onderneming. Dankzij onze permanente Darknet Monitoring word je bovendien meteen geïnformeerd in geval van aankomende aanvallen, en ben je steeds op de hoogte van jouw data die op straat liggen. Met die kennis kan je aan de slag!
Nood aan meer beveiligingsadvies? Maak een afspraak met onze security-experts om samen de mogelijkheden te bekijken.
[1] Bron: Spycloud https://spycloud.com/blog/moab-data-leak-what-we-know/