Het Amerikaanse National Institute of Standards and Technology (NIST) heeft nieuwe richtlijnen voor wachtwoorden opgesteld. Opvallend is dat een aantal richtlijnen afwijkt van gangbare adviezen.
De richtlijnen benadrukken het belang van gebruikersvriendelijkheid. Het heeft volgens het NIST geen zin om gebruikers voorschriften op te dringen die in de dagelijkse praktijk lastig zijn en weinig of geen effect hebben op de veiligheid.
Geheugensteuntje
Als een gebruiker een sterk wachtwoord heeft gekozen, is het niet verstandig om hem dit regelmatig te laten veranderen. Het risico dat een gebruiker dan gemakkelijker te onthouden wachtwoorden kiest, is te groot. Ook neemt dan de kans toe dat gebruikers hun toevlucht nemen tot geheugensteuntjes zoals een geeltje plakken op het computerscherm met (een hint voor) het wachtwoord.
Lang wachtwoord
Een andere afrader in de nieuwe richtlijnen is de Knowledge-based authentication (KBA). Bijvoorbeeld via vragen als: ‘Naar welke middelbare school ging je?’ en ‘Wat is je favoriete voetbalclub?’. Wat is dan wel zinvol? Een lang wachtwoord: het NTI pleit voor een minimum van 8 karakters. Het maximum aantal tekens dient niet beperkt te worden tot 16 tekens maar tot minimaal 64 (!). In de podcast Busting Password Myths gaan veiligheidsexpert Chester Wisniewski en Paul Ducklin dieper in op de laatste inzichten over wachtwoorden.