Bedrijven gebruiken zwakke wachtwoorden

18 maart 2015

Binnen het merendeel van de bedrijven (80 procent) gebruiken medewerkers zwakke wachtwoorden. Dat blijkt uit de vele onderzoeken en weerbaarheidstesten die Hoffmann ieder jaar uitvoert. Het gebruik van zwakke wachtwoorden levert serieuze veiligheidsrisico's op, omdat cybercriminelen in zo'n geval makkelijker kunnen 'inbreken'.

Wat is een zwak wachtwoord?

Een zwak wachtwoord is een wachtwoord dat makkelijk te kraken valt. Doordat het heel eenvoudig is, zoals 'welkom', of doordat het wachtwoord niet ingesteld is. Veel bedrijven gebruiken hun vestigingsplaats als basis voor een wachtwoord. Door een hoofdletter toe te voegen, een 'a' door een '@' te vervangen, van een 'e' een '3' maken en het jaartal toe te voegen, ontstaat een wachtwoord. Het punt is dat deze veelgebruikte wachtwoord-policy's wachtwoorden opleveren die makkelijk te kraken zijn. Hoffmann heeft een lijst met kenmerken van slechte wachtwoorden opgesteld op basis van de wachtwoorden die specialisten tijdens hun onderzoeken bij bedrijven tegenkomen.

Welke organisaties gebruiken zwakke wachtwoorden?

Uiteenlopende bedrijven gebruiken slechte wachtwoorden. En het is echt niet alleen de schuld van de medewerkers. Soms zijn wachtwoorden gewoonweg niet ingesteld. Dat gebeurt nogal eens bij printers of applicaties. Maar zo'n geprint document, dat mogelijk bedrijfsgevoelige informatie bevat, is dan wel in te zien door cybercriminelen.

Slecht gebruik

Bedrijven kunnen al veel winnen als iedere medewerker voor elke toepassing een ander wachtwoord gebruikt. Nu worden wachtwoorden vaak met anderen gedeeld als meerdere mensen gebruikmaken van dezelfde gebruikersaccount. Of eenzelfde wachtwoord wordt voor meerdere doeleinden gebruikt. Zo komen onze specialisten regelmatig tegen dat medewerkers maar één wachtwoord hebben, waarmee ze binnen het bedrijf op verschillende toepassingen inloggen. Het algemene inlogwachtwoord is bijvoorbeeld gekoppeld aan de e-mailaccount van de medewerker. En dan kunnen cybercriminelen het wachtwoord makkelijker achterhalen via de pop3-server van de e-mailaccount. Daarna kunnen ze ook op heel andere plekken binnen de ICT-infrastructuur van het bedrijf komen en gevoelige informatie stelen.