Het State of Password Security-rapport 2025

Belangrijkste punten uit dit artikel:

• Technische uitmuntendheid van NIST: NIST biedt sterke technische richtlijnen die wachtwoordbeheerders zoals Bitwarden ondersteunen, maar presenteert die niet gebruiksvriendelijk genoeg.

• CISA als communicatieleider: CISA behaalt de status 'Uitstekend' door wachtwoordbeheerders duidelijk aan te bevelen en toegankelijke beveiligingsbronnen te maken.

• Inconsistente adoptie: Federale instanties verschillen sterk in hun richtlijnen voor wachtwoordbeveiliging en aanbevelingen voor wachtwoordbeheerders.

• Positieve verbeteringstrends: Een analyse over vier jaar laat zien dat instanties hun aanbevelingen voor wachtwoordbeveiliging verbeteren om aan te sluiten bij praktijken die door Bitwarden worden ondersteund.

• Groeiende consensus: Federale instanties erkennen steeds vaker dat oplossingen zoals Bitwarden essentiële beveiligingsinfrastructuur bieden.

De afgelopen jaren is er binnen de federale overheid van de Verenigde Staten veel aandacht geweest voor cybersecurity. Veel instanties nemen het voortouw in het informeren van overheidsorganisaties, grote en kleine bedrijven en consumenten.

Toch zitten niet alle instanties op één lijn als het om wachtwoordbeveiliging gaat. Een van de belangrijkste organisaties, het National Institute of Standards and Technology (NIST), "ontwikkelt normen, richtlijnen, best practices en andere bronnen voor cybersecurity om te voldoen aan de behoeften van de Amerikaanse industrie, federale instanties en het bredere publiek."

Op de cybersecuritypagina van NIST staat verder dat "sommige cybersecurityopdrachten van NIST zijn vastgelegd in federale wetten, presidentiële besluiten en beleidsregels. Het Office of Management and Budget (OMB) verplicht bijvoorbeeld alle federale instanties om de cybersecuritynormen en -richtlijnen van NIST te implementeren voor systemen die niet onder nationale veiligheid vallen."

Helaas zijn de aanbevelingen van NIST nog niet universeel geaccepteerd en geïmplementeerd door alle federale instanties. Hoewel NIST de normen stelt die instanties zeggen te volgen, heeft het ook een eigen zwakte: een onoverzichtelijke website.

2025 is het vierde jaar waarin Bitwarden deze analyse uitvoert. Dit jaar is de NSA gestegen van de beoordeling "Goed" naar "Zeer goed" dankzij de toegevoegde aanbeveling van wachtwoordbeheerders. De score van CISA is gestegen van "Zeer goed" naar "Uitstekend" door hun informatie toegankelijker en begrijpelijker te maken. De NIST-website is onoverzichtelijk gebleven, hoewel de inhoud zeer degelijk is. Door de jaren heen hebben veel instanties een positieve ontwikkeling laten zien in hun aanbevelingen voor wachtwoordbeveiliging en hun algemene cybersecurityhouding, waaronder CISA, de FBI, de FTC en de SBA.

Technologie ontwikkelt zich razendsnel. Voor bedrijven en individuen speelt een groot deel van ons leven zich inmiddels online af, via talloze accounts: van leuke entertainmentsites tot serieuze financiële instellingen zoals onze bankrekeningen.

Deze beoordeling is bedoeld om iedereen die wachtwoorden gebruikt te betrekken en te informeren over de best practices van de federale overheid en waar ruimte is voor verbetering. Velen binnen de federale overheid hebben een solide educatieve aanpak voor wachtwoordbeveiliging, terwijl anderen mogelijk wat hulp nodig hebben om te moderniseren. 

Gelukkig groeit de consensus over best practices voor wachtwoordbeveiliging. Dit rapport brengt de details samen en beoordeelt ze.

Het beoordelingssysteem rangschikt instanties op basis van naleving van de volgende criteria:

• Beveelt het gebruik van een wachtwoordbeheerder aan

• Benadrukt het belang van sterke wachtwoorden

• Verwijst naar de noodzaak van 2FA/MFA om wachtwoordbeveiliging verder te ondersteunen

• Het algemene beveiligingsadvies is actueel en volgt de NIST-richtlijnen

• Presenteert aanbevelingen voor wachtwoordbeveiliging op een duidelijke, begrijpelijke en gemakkelijk vindbare manier

• Beveelt het gebruik van een wachtwoordbeheerder aan

• Benadrukt het belang van sterke wachtwoorden 

• Verwijst naar de noodzaak van 2FA/MFA om wachtwoordbeveiliging verder te ondersteunen

• Het algemene beveiligingsadvies is actueel en voldoet aan de NIST-richtlijnen

• Geeft aanbevelingen voor wachtwoordbeveiliging niet op een duidelijke, begrijpelijke en gemakkelijk vindbare manier weer

• Beveelt het gebruik van een wachtwoordbeheerder niet aan

• Benadrukt het belang van sterke wachtwoorden 

• Vermeldt de noodzaak van 2FA/MFA om wachtwoordbeveiliging verder te ondersteunen

• Het algemene beveiligingsadvies is niet actueel en voldoet niet aan de NIST-richtlijnen

• Geeft aanbevelingen voor wachtwoordbeveiliging niet op een duidelijke, begrijpelijke en gemakkelijk vindbare manier weer

• Beveelt het gebruik van een wachtwoordbeheerder niet aan

• Benadrukt het belang van sterke wachtwoorden

• Vermeldt niet consequent de noodzaak van 2FA/MFA om wachtwoordbeveiliging verder te ondersteunen

• Het algemene beveiligingsadvies is niet actueel en voldoet niet aan de NIST-richtlijnen

• Geeft aanbevelingen voor wachtwoordbeveiliging niet op een duidelijke, begrijpelijke en gemakkelijk vindbare manier weer

• Beveelt het gebruik van een wachtwoordbeheerder niet aan

• Benadrukt het belang van sterke wachtwoorden niet

• Vermeldt de noodzaak van 2FA/MFA om wachtwoordbeveiliging verder te ondersteunen niet

• Het algemene beveiligingsadvies is niet actueel en voldoet niet aan de NIST-richtlijnen

• Geeft aanbevelingen voor wachtwoordbeveiliging niet op een duidelijke, begrijpelijke en gemakkelijk vindbare manier weer

Advies voor instanties:

• Beheer van authenticators | Wachtwoordbeheerders

  • Gebruik [Opdracht: door de organisatie gedefinieerde wachtwoordbeheerders] om wachtwoorden te genereren en te beheren; en

    • Bescherm de wachtwoorden met [opdracht: door de organisatie gedefinieerde beveiligingsmaatregelen].

    • Voor systemen waarbij statische wachtwoorden worden gebruikt, is het vaak een uitdaging om ervoor te zorgen dat de wachtwoorden voldoende complex zijn en dat dezelfde wachtwoorden niet op meerdere systemen worden gebruikt. Een wachtwoordbeheerder is een oplossing voor dit probleem, omdat deze automatisch sterke en verschillende wachtwoorden voor diverse accounts genereert en opslaat. Een mogelijk risico van het gebruik van wachtwoordbeheerders is dat kwaadwillenden zich kunnen richten op de verzameling wachtwoorden die door de wachtwoordbeheerder is gegenereerd. Daarom moet de verzameling wachtwoorden worden beschermd, onder meer door de wachtwoorden te versleutelen en de verzameling offline in een token op te slaan.

• Referentie

Advies voor instanties:

• Een wachtwoord (soms aangeduid als een wachtwoordzin of, indien numeriek, een pincode) is een geheime waarde die door de abonnee moet worden gekozen en uit het hoofd geleerd of vastgelegd. Wachtwoorden moeten voldoende complex en geheim zijn, zodat het voor een aanvaller onpraktisch is om de juiste geheime waarde te raden of anderszins te achterhalen. Een wachtwoord is “iets wat je weet”.

• De vereisten in dit gedeelte zijn van toepassing op centraal geverifieerde wachtwoorden die worden gebruikt als onafhankelijke authenticatiefactoren en via een geauthenticeerd beveiligd kanaal naar de verificateur van een CSP worden verzonden. Wachtwoorden die lokaal worden gebruikt als activeringsfactor voor een multifactor-authenticator worden activeringsgeheimen genoemd en besproken in Par. 3.2.10.

• Wachtwoorden MOETEN door de abonnee worden gekozen of willekeurig door de CSP worden toegewezen.

• Als de CSP een gekozen wachtwoord weigert omdat het op een blokkeerlijst staat met veelgebruikte, verwachte of gecompromitteerde waarden (zie Par. 3.1.1.2), moet de abonnee MOETEN een ander wachtwoord kiezen. Andere complexiteitsvereisten voor wachtwoorden MOGEN NIET worden opgelegd. Een onderbouwing hiervoor wordt gegeven in Bijlage A, Sterkte van wachtwoorden.

• De volgende vereisten zijn van toepassing op wachtwoorden:

• Verificateurs en CSP’s MOETEN vereisen dat wachtwoorden minimaal acht tekens lang zijn en BEHOREN te vereisen dat wachtwoorden minimaal 15 tekens lang zijn.

• Verifieerders en CSP's BEHOREN een maximale wachtwoordlengte van ten minste 64 tekens toe te staan.

• Verifieerders en CSP's BEHOREN alle afdrukbare ASCII [RFC20] tekens en het spatieteken in wachtwoorden te accepteren. Verifieerders en CSP's BEHOREN Unicode [ISO/ISC 10646] tekens in wachtwoorden te accepteren. Elk Unicode-codepunt MOET als één teken worden geteld bij het beoordelen van de wachtwoordlengte.

• Verifieerders en CSP's MOGEN GEEN andere samenstellingsregels (bijv. verplichte combinaties van verschillende tekentypen) voor wachtwoorden opleggen.

• Verifieerders en CSP's MOGEN NIET vereisen dat gebruikers hun wachtwoorden periodiek wijzigen. Verifieerders MOETEN echter een wijziging afdwingen als er bewijs is dat de authenticator is gecompromitteerd.

• Verifieerders en CSP's MOGEN NIET toestaan dat de abonnee een hint opslaat die toegankelijk is voor een niet-geauthenticeerde claimant.

• Verifieerders en CSP's MOGEN NIET abonnees vragen kennisgebaseerde authenticatie (KBA) (bijv. “Hoe heette je eerste huisdier?”) of beveiligingsvragen te gebruiken bij het kiezen van wachtwoorden.

• Verifieerders MOETEN het volledige ingediende wachtwoord verifiëren (d.w.z. het niet afkappen).

• Bij het verwerken van een verzoek om een wachtwoord in te stellen of te wijzigen, MOETEN verifieerders het beoogde geheim vergelijken met een blokkeerlijst met bekende veelgebruikte, voorspelbare of gecompromitteerde wachtwoorden. Het volledige wachtwoord MOET worden vergeleken, niet substrings of woorden die erin kunnen voorkomen. De lijst MAG bijvoorbeeld onder meer het volgende bevatten:

  • Wachtwoorden verkregen uit corpora van eerdere datalekken

  • Woordenboekwoorden

  • Contextspecifieke woorden, zoals de naam van de dienst, de gebruikersnaam en afleidingen daarvan

  • Als het gekozen wachtwoord op de blokkeerlijst staat, MOET de CSP of verifieerder van de abonnee verlangen dat deze een ander geheim kiest en MOET deze de reden voor afwijzing geven. Omdat de blokkeerlijst wordt gebruikt ter verdediging tegen brute-force-aanvallen en mislukte pogingen, zoals hieronder beschreven, in frequentie worden beperkt, BEHOORT de blokkeerlijst groot genoeg te zijn om te voorkomen dat abonnees wachtwoorden kiezen die aanvallers waarschijnlijk raden voordat de pogingenlimiet is bereikt.

• Verifieerders MOETEN de abonnee richtlijnen bieden om de gebruiker te helpen een sterk wachtwoord te kiezen. Dit is vooral belangrijk na de afwijzing van een wachtwoord op de blokkeerlijst, omdat het triviale aanpassingen van zwakke wachtwoorden op de lijst ontmoedigt [Blocklists].

• Verifieerders MOETEN een mechanisme voor snelheidsbeperking implementeren dat het aantal mislukte authenticatiepogingen op het account van de abonnee effectief beperkt, zoals beschreven in Par. 3.2.2.

• Verificateurs MOETEN het gebruik van wachtwoordbeheerders toestaan. Verificateurs ZOUDEN MOETEN toestaan dat claimanten de functie ‘plakken’ gebruiken bij het invoeren van een wachtwoord om het gebruik ervan te vergemakkelijken. Het is aangetoond dat wachtwoordbeheerders de kans vergroten dat gebruikers sterkere wachtwoorden kiezen, vooral als de wachtwoordbeheerders wachtwoordgenerators bevatten [Managers].

• Verificateurs MOETEN wachtwoorden opslaan in een vorm die bestand is tegen offline aanvallen. Wachtwoorden MOETEN worden voorzien van een salt en worden gehasht met een geschikt wachtwoordhashschema. Wachtwoordhashschema’s nemen als invoer een wachtwoord, een salt en een kostenfactor en genereren een wachtwoordhash. Het doel ervan is elke wachtwoordgok duurder te maken voor een aanvaller die een gehasht wachtwoordbestand heeft verkregen, zodat de kosten van een raadaanval hoog of onbetaalbaar worden. De gekozen kostenfactor ZOU zo hoog als praktisch haalbaar moeten zijn zonder de prestaties van de verificateur negatief te beïnvloeden. Deze ZOU in de loop van de tijd moeten worden verhoogd om rekening te houden met toenemende rekenprestaties. Een goedgekeurd wachtwoordhashschema dat is gepubliceerd in de nieuwste revisie van [SP800-132] of bijgewerkte NIST-richtlijnen voor wachtwoordhashschema’s ZOU moeten worden gebruikt. De gekozen uitvoerlengte van de wachtwoordverifier, exclusief de salt en versie-informatie, ZOU gelijk moeten zijn aan de lengte van de uitvoer van het onderliggende wachtwoordhashschema.

• De salt MOET ten minste 32 bits lang zijn en zo worden gekozen dat botsingen tussen saltwaarden bij opgeslagen hashes worden geminimaliseerd. Zowel de saltwaarde als de resulterende hash MOETEN voor elk wachtwoord worden opgeslagen. Een verwijzing naar het gebruikte wachtwoordhashschema, inclusief de werkfactor, ZOU voor elk wachtwoord moeten worden opgeslagen om migratie naar nieuwe algoritmen en werkfactoren mogelijk te maken. Voor de Password-Based Key Derivation Function 2 (PBKDF2) bijvoorbeeld [SP800-132], is de kostenfactor een iteratietelling: hoe vaker de PBKDF2-functie wordt geïtereerd, hoe langer het duurt om de wachtwoordhash te berekenen.

• Daarnaast ZOUDEN verificateurs een extra iteratie moeten uitvoeren van een keyed-hash- of versleutelingsbewerking met een geheime sleutel die alleen bij de verificateur bekend is. Indien gebruikt, MOET deze sleutelwaarde worden gegenereerd door een goedgekeurde generator voor willekeurige bits, zoals beschreven in Par. 3.2.12. De geheime sleutelwaarde MOET gescheiden van de gehashte wachtwoorden worden opgeslagen. Deze ZOU moeten worden opgeslagen en gebruikt binnen een hardwarematig beschermd gebied, zoals een hardware security module of trusted execution environment (TEE). Met deze extra iteratie zijn brute-force-aanvallen op de gehashte wachtwoorden onpraktisch zolang de geheime sleutelwaarde geheim blijft.

• Blogserie Cybersecurity Awareness Month 2023

  • Advies van de instantie

    • Wachtwoorden zijn nog steeds het meest gebruikte authenticatiemechanisme om toegang te krijgen tot belangrijke bronnen. Wachtwoorden vormen de eerstelijnsverdediging om de vertrouwelijkheid en integriteit van gegevens te beschermen tegen cybercriminelen en datalekken. Goede, sterke wachtwoorden helpen mensen online veilig te blijven en hun privacy te beschermen.

• Referentie

• Referentie

Advies van de instantie:

• Gebruik sterke wachtwoorden

  • Maak lange, willekeurige, unieke wachtwoorden met een wachtwoordbeheerder voor veiligere accounts.

• Een eenvoudige manier om je accounts te beschermen

  • Eenvoudige wachtwoorden, zoals 12345, of veelgebruikte identificerende informatie, zoals verjaardagen en namen van huisdieren, zijn niet veilig om belangrijke accounts met persoonlijke informatie te beschermen. Een makkelijk te raden wachtwoord gebruiken is alsof je de deur op slot doet maar de sleutel in het slot laat zitten. Zwakke wachtwoorden kunnen snel worden gekraakt door computerhackers. Maar het is onmogelijk om voor elk account een uniek sterk wachtwoord te onthouden!

  • Het goede nieuws is dat sterke wachtwoorden maken en bewaren met behulp van een “wachtwoordbeheerder” een van de eenvoudigste manieren is om te voorkomen dat iemand inlogt op onze accounts en gevoelige informatie, gegevens, geld of zelfs onze identiteit steelt.

  • Stop onlinecriminaliteit met sterke wachtwoorden - YouTube-video gemaakt door CISA

• Versterk je wachtwoorden met drie eenvoudige tips

• Een sterk wachtwoord volgt ALLE DRIE deze tips.

  1. Maak ze lang

     • Minimaal 16 tekens—langer is sterker! 

  2. Maak ze willekeurig

     • Dat kan op twee manieren:

     • Gebruik een willekeurige reeks hoofdletters, kleine letters, cijfers en symbolen. Bijvoorbeeld:

       • cXmnZK65rf*&DaaD

       • Yuc8$RikA34%ZoPPao98t

       • Een andere optie is om een gemakkelijk te onthouden zin te maken van 4 – 7 niet-gerelateerde woorden. Dit heet een “wachtwoordzin”. Bijvoorbeeld:

         • Goed: HorsePurpleHatRun

         • Geweldig: HorsePurpleHatRunBay

         • Fantastisch: Horse Purple Hat Run Bay Lifting

         • Opmerking: je kunt spaties vóór of tussen woorden gebruiken als je dat wilt!

  3. Maak ze uniek 

     • Gebruik voor elk account een ander sterk wachtwoord.

     • Bijvoorbeeld:

       • Bank: k8dfh8c@Pfv0gB2

       • E-mailaccount: legal tiny facility freehand probable enamel

       • Socialmedia-account: e246gs%mFs#3tv6

• PRO-TIP: GEBRUIK EEN WACHTWOORDBEHEERDER

  • Het is moeilijk om al deze sterke wachtwoorden te onthouden en we willen ze niet in een bestand op een computer opslaan. Gebruik in plaats daarvan een wachtwoordbeheerder. Zie hieronder!

• Gebruik een wachtwoordbeheerder

  • Voor de meeste mensen is het niet mogelijk om voor elk account lange, willekeurige en unieke wachtwoorden te genereren en te onthouden. Schrijf ze niet op, maar gebruik een wachtwoordbeheerder! Een wachtwoordbeheerder is een gebruiksvriendelijk programma dat al je wachtwoorden genereert, opslaat en zelfs invult. Wachtwoordbeheerders vertellen ons wanneer we zwakke of hergebruikte wachtwoorden hebben en kunnen sterke wachtwoorden voor ons genereren. Ze kunnen ook automatisch logins invullen op sites en in apps terwijl we van de ene naar de andere gaan.

  • Wanneer we een wachtwoordbeheerder gebruiken, hoeven we maar één sterk wachtwoord te onthouden: dat van de wachtwoordbeheerder zelf. (Tip: maak een lange, gemakkelijk te onthouden “wachtwoordzin” zoals hierboven beschreven.)

  • Er zijn veel wachtwoordbeheerders om uit te kiezen. Sommige zijn gratis, zoals de ingebouwde wachtwoordbeheerders in je webbrowser, en sommige kosten geld. Zoek bij een betrouwbare bron naar “wachtwoordbeheerders”, zoals Consumer Reports, dat een selectie van hoog beoordeelde wachtwoordbeheerders aanbiedt. Lees reviews om opties te vergelijken en een betrouwbaar programma te vinden dat bij je past.

  • Wanneer we een wachtwoordbeheerder gebruiken, is de kans veel groter dat we op elke site een lang, willekeurig en uniek wachtwoord gebruiken. En dat maakt het veel moeilijker voor iemand om onze waardevolle informatie te stelen!

  • PRO-TIP Controleer of je e-mailaccounts, banken, zorgverleners en andere belangrijke accounts sterke wachtwoordvereisten afdwingen. Als ze je een kort wachtwoord of een woordenboekwoord laten gebruiken, vraag dan waarom. Het is jouw informatie die ze in gevaar brengen!

  • En vergeet niet om MFA in te schakelen, vooral voor je e-mail, socialmedia-accounts en financiële accounts. 

• CISA-tipsheet voor wachtwoorden

• Referentie

Advies van de instantie:

• Voer wachtwoordbeleid in dat unieke wachtwoorden van minimaal 15 tekens vereist

  • Wachtwoordbeheerders kunnen je helpen veilige wachtwoorden te ontwikkelen en te beheren. Beveilig en beperk de toegang tot gebruikte wachtwoordbeheerders en schakel alle beveiligingsfuncties in die beschikbaar zijn in het gebruikte product, zoals MFA.

• Referentie

Advies van de instantie:

• De toename van het aantal compromitteringen van netwerkinfrastructuren in de afgelopen jaren herinnert ons eraan dat authenticatie voor netwerkapparaten een belangrijk aandachtspunt is. Netwerkapparaten kunnen worden gecompromitteerd door:

  • Slechte wachtwoordkeuze (kwetsbaar voor brute-force password spraying)

  • Routerconfiguratiebestanden (die gehashte wachtwoorden bevatten) die via onversleutelde e-mail worden verstuurd, of

  • Hergebruikte wachtwoorden (waarbij wachtwoorden die van een gecompromitteerd apparaat zijn achterhaald vervolgens kunnen worden gebruikt om andere apparaten te compromitteren).

• Het gebruik van alleen wachtwoorden verhoogt het risico op misbruik van apparaten. Hoewel de NSA multi-factor authenticatie sterk aanbeveelt voor beheerders die kritieke apparaten beheren, moeten soms alleen wachtwoorden worden gebruikt. Het kiezen van goede algoritmen voor wachtwoordopslag kan misbruik veel moeilijker maken.

• Gebruik sterke wachtwoorden om zoveel mogelijk bescherming te bieden en te voorkomen dat ze worden gekraakt en omgezet naar platte tekst. Houd je aan een wachtwoordbeleid dat:

  • Bestaat uit een combinatie van kleine letters en hoofdletters, symbolen en cijfers;

  • Minimaal 15 alfanumerieke tekens lang is; en

  • Geen patronen bevat zoals:

    • Een toetsenbordpatroon

    • Hetzelfde als een gebruikersnaam

    • Het standaardwachtwoord

    • Hetzelfde als een wachtwoord dat ergens anders wordt gebruikt

    • Gerelateerd aan het netwerk, de organisatie, locatie of andere functie-identificatoren

    • Rechtstreeks uit een woordenboek, veelgebruikte acroniemen of eenvoudig te raden

• Referentie

Advies van de instantie:

• Beveilig en versterk je wachtwoorden

  • Gebruik unieke en sterke wachtwoorden voor elk online account. Hergebruik van wachtwoorden voor meerdere accounts kan gegevens van al die accounts blootstellen als het wachtwoord wordt ontdekt. Zorg ervoor dat je wachtwoord lang en complex genoeg is, met een combinatie van letters, cijfers en speciale tekens. Implementeer waar mogelijk multi-factor authenticatie met een authenticatietoken of app, zodat iemand geen toegang tot je account kan krijgen, zelfs niet als je wachtwoord is gecompromitteerd. Deel nooit wachtwoorden en vermijd het gebruik van informatie die kan worden geraden op basis van je socialemediaprofielen of openbare informatie.

• Referentie

Advies van de instantie:

• Criteria om te overwegen bij het selecteren van een oplossing voor multi-factor authenticatie: het Computer Security Resource Center van het National Institute of Standards and Technology heeft onlangs zijn “Digital Identity Guidelines” (SP 800-63-3) bijgewerkt. Deze richtlijnen bieden standaarddefinities en kennen betrouwbaarheidsniveaus toe aan verschillende authenticatieoplossingen. De onderstaande criteria weerspiegelen de vereisten van NIST om ervoor te zorgen dat een oplossing is gevalideerd om weerstand te bieden tegen een aantal veelvoorkomende exploits. Een volledige authenticatieoplossing moet correct worden geïmplementeerd met standaard, gevalideerde mechanismen. De oplossing moet ook authenticatiemiddelen, validators en ondersteunende lifecycleprocessen omvatten. Sommige commerciële oplossingen richten zich op authenticatiemiddelen en vereisen dat een organisatie validators en lifecycleprocessen beheert. Andere commerciële oplossingen valideren meerdere typen authenticatiemiddelen, beheren authenticatiemechanismen in meerdere stappen en beheren vertrouwen in authenticatiemiddelen van verschillende identiteitsproviders ter ondersteuning van meerdere services. Deze vereisen vaak dat de klant een of meer authenticatieoplossingen aanschaft en servers configureert om de verklaringen te accepteren van een authenticatieserver die identiteitsfederatie uitvoert. SP 800-63-3 bevat ook criteria voor identiteitsfederatie.

• Referentie

CISA valt onder het DHS

Advies van de instantie:

• President Biden heeft cybersecurity, een essentieel onderdeel van de missie van het Department of Homeland Security (DHS), tot topprioriteit gemaakt voor de regering-Biden-Harris op alle overheidsniveaus.

• Om de inzet van de president te bevorderen en te benadrukken dat het versterken van de nationale cyberweerbaarheid een topprioriteit is voor DHS, deed minister Mayorkas in zijn eerste maand in functie een oproep tot actie gericht op cybersecurity. Deze oproep tot actie was gericht op het aanpakken van de directe dreiging van ransomware en op het opbouwen van een robuuster en diverser personeelsbestand.

• In maart 2021 schetste minister Mayorkas zijn bredere visie en een routekaart voor de cybersecurity-inspanningen van het ministerie in een virtuele toespraak georganiseerd door RSA Conference, in samenwerking met Hampton University en de Girl Scouts of the USA.

• Na zijn presentatie nam de minister samen met Judith Batty, interim-CEO van de Girl Scouts, deel aan een fireside chat om de ongekende cybersecurity-uitdagingen te bespreken waarmee de Verenigde Staten momenteel worden geconfronteerd. Dr. Chutima Boonthum-Denecke van de afdeling Computer Science van Hampton University introduceerde de minister en leidde ter afsluiting van het programma een Q&A.

  • Overzicht van DHS Cybersecurity Sprints

  • Overzicht van aanvullende lopende cybersecurityprioriteiten

  • Aanvullende informatie

• Referentie

Advies van de instantie:

• Internetcriminaliteit en cyberinbraken worden steeds geavanceerder. Om ze te voorkomen, moet elke gebruiker van een verbonden apparaat alert en op zijn hoede zijn.

• Houd systemen en software up-to-date en installeer een sterk, betrouwbaar antivirusprogramma.

• Wees voorzichtig wanneer je verbinding maakt met een openbaar wifinetwerk en voer geen gevoelige transacties uit, waaronder aankopen, wanneer je een openbaar netwerk gebruikt.

• Maak voor elk online account een sterke en unieke wachtwoordzin en wijzig die wachtwoordzinnen regelmatig.

• Stel multifactorauthenticatie in voor alle accounts die dit ondersteunen.

• Controleer het e-mailadres in alle correspondentie en bekijk website-URL's zorgvuldig voordat je op een bericht reageert of een site bezoekt

• Klik nergens op in ongevraagde e-mails of sms-berichten.

• Wees voorzichtig met de informatie die je deelt in online profielen en socialmedia-accounts. Door zaken als namen van huisdieren, scholen en familieleden te delen, kunnen oplichters hints krijgen die ze nodig hebben om je wachtwoorden of de antwoorden op de beveiligingsvragen van je account te raden.

• Stuur geen betalingen naar onbekende personen of organisaties die om financiële steun vragen en aandringen op onmiddellijke actie.

• Referentie

Advies van de instantie:

• Houd je firewall ingeschakeld

  Een firewall helpt je computer te beschermen tegen hackers die mogelijk toegang proberen te krijgen om hem te laten vastlopen, informatie te verwijderen of zelfs wachtwoorden of andere gevoelige informatie te stelen. Softwarefirewalls worden algemeen aanbevolen voor afzonderlijke computers. De software is op sommige besturingssystemen meegeleverd of kan voor afzonderlijke computers worden aangeschaft. Voor meerdere computers in een netwerk bieden hardwarerouters doorgaans firewallbescherming.

• Installeer of update je antivirussoftware

  Antivirussoftware is ontworpen om te voorkomen dat schadelijke softwareprogramma's zich op je computer nestelen. Als de software schadelijke code detecteert, zoals een virus of worm, probeert deze die onschadelijk te maken of te verwijderen. Virussen kunnen computers infecteren zonder dat gebruikers het merken. De meeste soorten antivirussoftware kunnen zo worden ingesteld dat ze automatisch worden bijgewerkt.

• Installeer of update je antispywaretechnologie

  Spyware is precies wat het lijkt: software die heimelijk op je computer wordt geïnstalleerd zodat anderen kunnen meekijken met wat je op de computer doet. Sommige spyware verzamelt zonder jouw toestemming informatie over je of toont ongewenste pop-upadvertenties in je webbrowser. Sommige besturingssystemen bieden gratis bescherming tegen spyware, en betaalbare software is eenvoudig te downloaden van internet of te koop bij je lokale computerwinkel. Wees voorzichtig met advertenties op internet die downloadbare antispyware aanbieden; in sommige gevallen kunnen deze producten nep zijn en juist spyware of andere schadelijke code bevatten. Het is net als boodschappen doen: koop bij winkels die je vertrouwt.

• Houd je besturingssysteem up-to-date

  Besturingssystemen voor computers worden periodiek bijgewerkt om aan te sluiten op technologische vereisten en om beveiligingslekken te verhelpen. Installeer de updates om ervoor te zorgen dat je computer de nieuwste bescherming heeft.

• Wees voorzichtig met wat je downloadt

  Het achteloos downloaden van e-mailbijlagen kan zelfs de meest waakzame antivirussoftware omzeilen. Open nooit een e-mailbijlage van iemand die je niet kent en wees voorzichtig met doorgestuurde bijlagen van mensen die je wel kent. Zij kunnen onbewust schadelijke code hebben doorgestuurd.

• Zet je computer uit

  Door de groei van snelle internetverbindingen kiezen veel mensen ervoor hun computer aan en gebruiksklaar te laten. Het nadeel is dat computers die altijd aanstaan kwetsbaarder zijn. Naast firewallbescherming, die bedoeld is om ongewenste aanvallen af te weren, verbreekt het uitschakelen van de computer effectief de verbinding van een aanvaller, of het nu gaat om spyware of een botnet dat de middelen van je computer gebruikt om andere nietsvermoedende gebruikers te bereiken.

• Referentie

Advies van de instantie:

• Je online accounts kunnen veel persoonlijke informatie bevatten. Bescherm ze met een sterk wachtwoord dat moeilijk te raden is en schakel tweefactorauthenticatie in.

• Voor wachtwoorden heb je een paar opties:

  • Maak je eigen wachtwoord

  • Kies een automatisch gegenereerd wachtwoord

  • Gebruik een wachtwoordbeheerder

• Maak je eigen wachtwoord. Als je je eigen wachtwoord maakt, zorg dan dat het lang is. Streef naar minimaal 15 tekens. Gebruik een combinatie van hoofdletters en kleine letters, cijfers en symbolen.

• Omdat een lang wachtwoord moeilijk te onthouden kan zijn, vind je het misschien gemakkelijker om een wachtwoordzin te gebruiken. Een wachtwoordzin is een reeks woorden gescheiden door spaties. Als je een wachtwoordzin gebruikt

  • Zorg ervoor dat deze uit willekeurige woorden bestaat

  • Vermijd veelgebruikte zinnen, songteksten of filmcitaten die gemakkelijk te raden zijn voor een hackprogramma

  • Kies een automatisch gegenereerd wachtwoord. Onderzoek toont aan dat mensen niet goed zijn in het maken en onthouden van sterke wachtwoorden. Je browser of apparaat kan een wachtwoord voor je maken. Hier vind je meer informatie over hoe dat werkt:

    • Google Chrome

    • Mac

    • Microsoft Edge

    • Firefox

    • iPhone iOS

    • Android

• Gebruik een wachtwoordbeheerder. Een wachtwoordbeheerder van een derde partij kan ook een sterk wachtwoord maken. Lees beoordelingen van experts om een betrouwbare wachtwoordbeheerder te vinden. Zorg ervoor dat het wachtwoord voor je wachtwoordbeheerder sterk is. En bescherm het net zoals je je andere wachtwoorden beschermt.

• Sterke wachtwoorden kunnen moeilijk te onthouden zijn. Maar je browser en apparaat kunnen je wachtwoord opslaan. Je wachtwoordbeheerder kan dat ook. En ze kunnen je wachtwoord automatisch invullen wanneer je de volgende keer inlogt op een website of app.

• Gebruik tweefactorauthenticatie. Een sterk wachtwoord gebruiken is een belangrijke stap om je account tegen hackers te beschermen. Maar zelfs sterke wachtwoorden zijn kwetsbaar voor cyberaanvallen. Het gebruik van tweefactorauthenticatie voegt een extra beveiligingslaag toe aan je account. Een hacker die je wachtwoord steelt, kan niet inloggen op je account zonder de tweede authenticatiefactor.

• Het meest voorkomende type tweefactorauthenticatie is een verificatiecode die je per sms of e-mail ontvangt. Deze eenmalige code bestaat meestal uit zes of meer cijfers en verloopt automatisch.

• De veiligere vormen van tweefactorauthenticatie zijn een authenticator-app of een beveiligingssleutel. Kies een van deze methoden voor meer bescherming als je die optie hebt.

• Bron

Advies van de instantie:

• Zorg ervoor dat je wachtwoord lang en sterk is. Dat betekent ten minste 12 tekens. Een wachtwoord langer maken is meestal de eenvoudigste manier om het sterker te maken. Overweeg een wachtwoordzin met willekeurige woorden te gebruiken, zodat je wachtwoord makkelijker te onthouden is, maar vermijd veelgebruikte woorden of zinnen. Als de dienst die je gebruikt geen lange wachtwoorden toestaat, kun je je wachtwoord sterker maken door hoofdletters en kleine letters, cijfers en symbolen te combineren.

• Gebruik geen wachtwoorden opnieuw die je voor andere accounts hebt gebruikt. Gebruik verschillende wachtwoorden voor verschillende accounts. Zo kan een hacker, als die je wachtwoord voor één account te pakken krijgt, dat niet gebruiken om toegang te krijgen tot je andere accounts.

• Gebruik multifactorauthenticatie wanneer die optie beschikbaar is. Sommige accounts bieden extra beveiliging door naast een wachtwoord nog iets anders te vereisen om in te loggen op je account. Dit wordt multifactorauthenticatie genoemd. Het ‘iets extra’s’ dat je nodig hebt om in te loggen op je account valt in twee categorieën:

  • Iets wat je hebt — zoals een code die je via een authenticatie-app ontvangt, of een beveiligingssleutel.

  • Iets wat je bent — zoals een scan van je vingerafdruk, je netvlies of je gezicht.

• Overweeg een wachtwoordbeheerder. De meeste mensen vinden het lastig om al hun wachtwoorden bij te houden. Hoe langer en ingewikkelder een wachtwoord is, hoe sterker het is, maar een langer wachtwoord kan ook moeilijker te onthouden zijn. Overweeg je wachtwoorden en beveiligingsvragen op te slaan in een betrouwbare wachtwoordbeheerder. Zoek op onafhankelijke beoordelingssites en praat met vrienden en familie over welke wachtwoordbeheerders zij gebruiken om een betrouwbare wachtwoordbeheerder te vinden. Zorg ervoor dat je een sterk wachtwoord gebruikt om de informatie in je wachtwoordbeheerder te beveiligen.

• Kies beveiligingsvragen waarop alleen jij het antwoord weet. Als een site je vraagt om beveiligingsvragen te beantwoorden, geef dan geen antwoorden die in openbare registers beschikbaar zijn of gemakkelijk online te vinden zijn, zoals je postcode, geboorteplaats of de meisjesnaam van je moeder. Gebruik ook geen vragen met een beperkt aantal antwoorden die aanvallers gemakkelijk kunnen raden — zoals de kleur van je eerste auto. Je kunt zelfs onzinnige antwoorden gebruiken om raden moeilijker te maken — maar als je dat doet, zorg er dan voor dat je kunt onthouden wat je gebruikt.

• Wijzig wachtwoorden snel als er een datalek is. Als een bedrijf je laat weten dat er een datalek is geweest waarbij een hacker je wachtwoord kan hebben verkregen, wijzig dan meteen het wachtwoord dat je bij dat bedrijf gebruikt, en op elk account dat een vergelijkbaar wachtwoord gebruikt.

• Bron

Advies van de instantie:

• Voorheen was de gangbare wijsheid om wachtwoorden te maken met speciale tekens, hoofdletters, cijfers, letters en allerlei willekeurige regels, waaronder de verplichting om je wachtwoord meerdere keren per jaar te wijzigen. Onderzoek toont aan dat we allemaal hetzelfde deden als reactie: we hergebruikten wachtwoorden of maakten variaties op hetzelfde wachtwoord, omdat ons was gevraagd tientallen unieke wachtwoorden voor elke site, login of applicatie te onthouden.

• Ons natuurlijke instinct zorgde voor een zwakke plek in onze online beveiliging, en cybercriminelen maakten daar misbruik van. Onderzoek naar wachtwoordgebruik heeft aangetoond hoe zwak het is om van gebruikers te verwachten dat ze willekeurig complexe wachtwoorden onthouden, en hoe belangrijk het is om multifactorauthenticatie (MFA) te gebruiken om onze privégegevens te beschermen. Belangrijk is dat ons denken over dit onderwerp is geëvolueerd, en we hebben de volgende praktijken vastgesteld om onszelf beter te beschermen:

  • Wanneer je een wachtwoord moet gebruiken, gebruik dan een langer wachtwoord (15 of meer tekens) of zelfs wachtwoordzinnen, omdat die betere bescherming bieden dan een korter, willekeurig complex wachtwoord. Wachtwoordzinnen hebben als extra voordeel dat ze gemakkelijk te onthouden zijn.

  • Het gebruiken van MFA (zoals een eenmalige code die je per e-mail ontvangt of een authenticator-app op je telefoon) voegt een tweede, cruciale laag toe om bescherming te bieden tegen een gecompromitteerd wachtwoord. MFA moet worden ingesteld wanneer het beschikbaar is. Het kost maar even en geeft je gemoedsrust.

  • Wachtwoordbeheerders, beschermd door één zeer sterk, lang wachtwoord met MFA ingeschakeld, stellen ons in staat unieke wachtwoorden voor elke site te maken zonder ze allemaal te hoeven onthouden.

• Bron

Advies van de instantie:

• Het waarborgen van de beveiliging van onze onderling verbonden wereldwijde netwerken, en van de apparaten en gegevens die met die netwerken verbonden zijn, is een van de bepalende uitdagingen van onze tijd.

• Het Ministerie van Handel heeft de taak om het bewustzijn rond cyberbeveiliging en beschermingsmaatregelen te vergroten, privacy te beschermen, de openbare veiligheid te waarborgen, economische en nationale veiligheid te ondersteunen en Amerikanen in staat te stellen hun online veiligheid beter te beheren.

  • NIST publiceert versie 1.0 van Privacy Framework

  • NIST biedt ‘Quick-Start’-gids voor zijn catalogus met beveiligings- en privacymaatregelen

  • Cybersecurity Corner voor kleine bedrijven

• Referentie

• Train medewerkers in beveiligingsprincipes. Stel basisbeveiligingspraktijken en -beleid op voor medewerkers, zoals het verplichten van sterke wachtwoorden, en stel passende richtlijnen voor internetgebruik op, met daarin de sancties voor het overtreden van het cybersecuritybeleid van het bedrijf. Stel gedragsregels op die beschrijven hoe klantinformatie en andere belangrijke gegevens moeten worden behandeld en beschermd.

• Verplicht medewerkers unieke wachtwoorden te gebruiken en wachtwoorden elke drie maanden te wijzigen. Overweeg multi-factor-authenticatie te implementeren, waarbij extra informatie naast een wachtwoord nodig is om toegang te krijgen. Vraag bij je leveranciers die gevoelige gegevens verwerken, vooral financiële instellingen, na of zij multi-factor-authenticatie voor je account aanbieden.

• Referentie

Advies van de instantie:

• Wat is de belangrijkste oorzaak van datalekken bij kleine bedrijven? Medewerkers en werkgerelateerde communicatie. Zij vormen directe toegangsroutes tot je systemen. Train je medewerkers in best practices voor internetgebruik. Dit kan helpen cyberaanvallen te voorkomen. Andere nuttige trainingsthema’s zijn:

  • Phishing-e-mails herkennen

  • Goede gewoonten voor internetten gebruiken

  • Verdachte downloads vermijden

  • Authenticatietools inschakelen (sterke wachtwoorden, Multi-Factor Authentication, enz.)

  • Gevoelige informatie van leveranciers en klanten beschermen

• Referentie

Advies van de instantie:

• Multi-factor-authenticatie (MFA) is een belangrijke beveiligingsmaatregel. Het verifieert iemands identiteit door meer te vereisen dan alleen een gebruikersnaam en wachtwoord. MFA kan vereisen dat gebruikers twee of meer van het volgende opgeven:

  • Iets wat de gebruiker weet (wachtwoord, zin, pincode)

  • Iets wat de gebruiker heeft (fysieke token, telefoon)

  • Iets wat de gebruiker fysiek identificeert (vingerafdruk, gezichtsherkenning)

• Vraag bij je leveranciers na of zij MFA aanbieden voor een van je accounts (bijvoorbeeld financieel, boekhouding, salarisadministratie).

• Referentie

In juli 2023 heeft de SEC “definitieve regels aangenomen die beursgenoteerde bedrijven verplichten om zowel materiële cyberbeveiligingsincidenten die zij meemaken als, jaarlijks, materiële informatie over hun risicobeheer, strategie en governance op het gebied van cyberbeveiliging openbaar te maken.” Gezien de rol van de SEC bij de handhaving van naleving op het gebied van cyberbeveiliging, lijkt het verstandig om het eigen advies van de SEC over wachtwoordbeveiliging te beoordelen.

Een zoekopdracht naar “wachtwoordbeveiliging” op de website SEC.gov levert 10 documenten op, die allemaal van jaren geleden lijken te zijn. Er is een pagina gewijd aan cyberbeveiliging, maar die biedt vrij algemene aanbevelingen die zijn overgenomen van CISA. Een cyberbeveiligingswaarschuwing uit 2020 met de titel “Cybersecurity: Safeguarding Client Accounts against Credential Compromise” leidt naar een PDF waarin credential stuffing wordt besproken. Hoewel het woord “wachtwoord” overal wordt gebruikt, wordt “wachtwoordbeveiliging” niet expliciet genoemd. “Sterke wachtwoorden” worden in de onderstaande context genoemd:

Advies van de instantie:

• Terwijl bedrijven zich voorbereiden op aanvallen met credential stuffing, moedigt het OCIE-personeel bedrijven aan om hun huidige werkwijzen (zoals MFA en andere hierboven beschreven werkwijzen) en eventuele beperkingen daarvan te overwegen, en na te gaan of de klanten en medewerkers van het bedrijf goed zijn geïnformeerd over hoe zij hun accounts beter kunnen beveiligen. Geïnformeerde klanten De meeste bedrijven verplichten klanten en medewerkers om sterke wachtwoorden te maken en te gebruiken. Het gebruik van wachtwoorden is echter minder effectief als klanten en/of medewerkers wachtwoorden van andere sites hergebruiken. Om effectiever te zijn, hebben sommige bedrijven klanten en medewerkers geïnformeerd en aangemoedigd om sterke, unieke wachtwoorden te maken en wachtwoorden te wijzigen als er aanwijzingen zijn dat hun wachtwoord is gecompromitteerd.

• Referentie

Deze sectie is in januari 2025 bijgewerkt en zal worden bijgewerkt om nieuw regeringsbeleid weer te geven zodra dit beschikbaar komt.

Advies van de instantie:

• "Ik roep de mensen, bedrijven en instellingen van de Verenigde Staten op om het belang van cyberbeveiliging te erkennen en ernaar te handelen, en om Cybersecurity Awareness Month in acht te nemen ter ondersteuning van onze nationale veiligheid en weerbaarheid. Ik roep bedrijven en instellingen ook op om actie te ondernemen om het Amerikaanse volk beter te beschermen tegen cyberdreigingen en nieuwe kansen te creëren voor Amerikaanse werknemers om goedbetaalde cyberbanen na te streven. Amerikanen kunnen ook direct actie ondernemen om zichzelf beter te beschermen, zoals multifactorauthenticatie inschakelen, software op computers en apparaten bijwerken, sterke wachtwoorden gebruiken en voorzichtig blijven met het klikken op links die er verdacht uitzien."

• Referentie

Advies van de instantie:

• Instanties moeten ervoor zorgen dat websites waarvoor het publiek zich moet authenticeren compatibel zijn met gangbare wachtwoordbeheerders, en mogen het “plakken” van wachtwoorden of andere geautomatiseerde, client-side ondersteunende mechanismen niet verhinderen.

• Referentie

Advies van de instantie:

• “Je hebt meer nodig dan een wachtwoord om online veilig te blijven, en daar komt multifactorauthenticatie om de hoek kijken om ervoor te zorgen dat je gegevens beter beschermd zijn tegen kwaadwillende cyberactoren,” zei CISA-uitvoerend directeur Brandon Wales. “CISA heeft organisaties consequent aangespoord om MFA voor alle gebruikers te implementeren, zodat kritieke gegevens moeilijker toegankelijk zijn. Het symposium van vandaag draait om samenkomen om de visie uit te stippelen waar we allemaal naar streven om die werkelijkheid te maken.”

• Referentie

Regering-Biden-Harris kondigt cyberbeveiligingslabelprogramma aan voor slimme apparaten om Amerikaanse consumenten te beschermen

Advies van de instantie

• Handelend op basis van haar bevoegdheid om draadloze communicatieapparaten te reguleren, zal de FCC naar verwachting publieke reacties vragen over de uitrol van het voorgestelde vrijwillige cyberbeveiligingslabelprogramma, dat naar verwachting in 2024 operationeel zal zijn. Zoals voorgesteld zou het programma gebruikmaken van door belanghebbenden geleide inspanningen om producten te certificeren en te labelen, op basis van specifieke cyberbeveiligingscriteria die zijn gepubliceerd door het National Institute of Standards and Technology (NIST) en die bijvoorbeeld unieke en sterke standaardwachtwoorden, gegevensbescherming, software-updates en mogelijkheden voor incidentdetectie vereisen.

• Referentie

Er zijn veel stappen die je kunt nemen om online veilig te blijven, maar de eenvoudigste actie met de grootste en meest directe impact op je beveiliging is het gebruik van een wachtwoordbeheerder. Kies een platformonafhankelijke wachtwoordbeheerder met zero-knowledge end-to-end-encryptie die onbeperkt unieke en sterke wachtwoorden kan genereren en opslaan. Je kunt met Bitwarden beginnen met een gratis account of kiezen voor Premium voor minder dan $ 10 per jaar om geavanceerde functies te krijgen.

• Bekijk de presentatie over de stand van wachtwoordbeveiliging