Amerikaanse standaardenautoriteit wil paswoordregels aan banden leggen
Het NIST stelt onder meer voor om niet langer wachtwoorden om de paar maanden te vervangen, en wil ook af van de regel om vreemde tekens te gebruiken.
Het National Institute of Standards and Technology (NIST) is de Amerikaanse federale autoriteit voor technologische standaarden die voor veel Amerikaanse bedrijven en organisaties gelden. In een nieuw voorstel wil het instituut af van enkele vervelende en contraproductieve regels rond wachtwoorden.
Een belangrijke daarin: het gedwongen vervangen van je wachtwoord om de paar maanden. Die regel komt nog uit een tijd dat mensen minder kennis hadden en vaak onveilige wachtwoorden gebruikten, zoals de naam van hun hond. Ondertussen gebruiken veel mensen een sterker wachtwoord, of een wachtwoord dat automatisch gegenereerd wordt. Zo’n sterk wachtwoord hoeft niet vervangen te worden, en de regel kan zelfs veiligheid in de weg zitten, omdat het mensen kan aanzetten om een zwakker wachtwoord te kiezen dat makkelijker te onthouden is.
Daarnaast kijkt NIST in zijn nieuwe voorstel ook naar de regel om specifieke karakters te gebruiken. Wederom, in een wachtwoord dat lang genoeg is, heeft zo’n extra vraagteken of hoofdletter geen nut en maakt de regel het gewoon moeilijker voor mensen om een goed wachtwoord te kiezen.
Wat gebruik je dan wel?
NIST wil in zijn voorstel voor de nieuwe regels onder meer dat wachtwoorden minimum acht tekens lang zijn, en eigenlijk liefst minimum 15 tekens. Het instituut stelt voor dat alle ASCII-tekens worden aanvaard en dat bedrijven geen andere regels rond compositie (zoals het gebruiken van minimum een speciaal teken of cijfer) voorschrijven.
Het voorstel wil verder af van het verplicht periodiek opnieuw instellen van wachtwoorden, tenzij er bewijs is van een lek. NIST wil ook kennisgebaseerde vragen bannen om een wachtwoord te herstellen, zoals ‘Wat is de naam van je eerste huisdier’ of ‘Wat is de achternaam van je moeder’.
De regels zijn voorlopig een voorstel. NIST vraagt alvast feedback. Als de regels er komen, zijn ze alleen verplicht voor Amerikaanse bedrijven, maar gezien die vrij alomtegenwoordig zijn op het internet, is de kans wel groot dat hiermee een nieuwe zachte standaard wordt gezet voor zowat iedereen.
Fout opgemerkt of meer nieuws? Meld het hier