Het nieuwe advies voor wachtwoorden van standaardenorganisatie NIST stelt dat complexe wachtwoorden en verplichte, regelmatige wijzigingen onnodig en zelfs onveilig kunnen zijn. Het bijgewerkte advies gaat daarmee in tegen standaardpraktijken die al jaren worden gehanteerd.
Het National Institute of Standards and Technology (NIST) geeft in zijn nieuwe richtlijnen voor wachtwoorden opvallend andere best practices voor betere beveiliging. Naast het afraden van complexe wachtwoorden en het afschaffen van regelmatige gedwongen wijzigingen van wachtwoorden adviseert de Amerikaanse organisatie nu ook om te stoppen met beveiligingsvragen en hints daarvoor.
Het afdwingen van complexe wachtwoorden, met bijvoorbeeld cijfers en leestekens, kan gebruikers ertoe brengen om van 'password' dan 'password1' of 'password1!' te maken, geeft het NIST als voorbeeld. Het opleggen van regelmatige wachtwoordwijzigingen kan dit nog verergeren. Gedwongen wijzigingen van wachtwoorden zouden volgens het nu definitieve advies alleen moeten gebeuren nadat een hack of datalek heeft plaatsgevonden.
Het NIST geeft echter ook beveiligingsadviezen voor wachtwoorden die al langer gebruikelijk zijn, zoals het gebruik van langere wachtwoorden en wachtzinnen. Het NIST adviseert dat wachtwoorden minimaal acht tekens lang moeten zijn en maximaal vierenzestig tekens. De bovenkant van dat bereik geniet de voorkeur, omdat langere wachtwoorden minder snel zijn te kraken.
Daarbij wijst het NIST wel op het grotere gevaar van kraakaanvallen die offline worden uitgevoerd, waarmee beperkingen voor het aantal inlogpogingen worden omzeild. Offline aanvallen zijn mogelijk wanneer kwaadwillenden versleutelde wachtwoorden hebben buitgemaakt via bijvoorbeeld een databaselek.
Hoe wachtwoorden zijn opgeslagen in een database kan bepalend zijn voor de succeskansen van offline kraakpogingen, aldus de standaardenorganisatie. Hashing, salting en gebruik van rekenkundig zware algoritmes zijn technieken om de kraakkansen voor aanvallers te verkleinen. Wachtwoorden die offline aanvallen kunnen weerstaan moeten zelfs met zulke maatregelen vele malen complexer zijn dan wachtwoorden die alleen online aanvallen kunnen doorstaan, waarschuwt het NIST. Het Zwitserse, op privacy gerichte Proton zet de complexe materie van de nieuwe NIST-wachtwoordadviezen uiteen in een blogpost. Securitynieuwssite SecurityBoulevard biedt een uitgebreidere uitleg.