Een wachtwoordmanager geeft je een compliance vinkje, maar maakt je niet veilig.

Over
Hulpartikel
identify
Een wachtwoordmanager geeft je een compliance vinkje, maar maakt je niet veilig.
Organisaties hebben uiteenlopende redenen om te werken aan certificeringen en compliance. Sommige willen aan klanten, partners of aanbesteders aantonen dat ze veilig zijn, bijvoorbeeld met een ISO 27001-certificering.
Rick Swinkels
Commercial Lead
Hulpartikel
identify
Een wachtwoordmanager geeft je een compliance vinkje, maar maakt je niet veilig.
Organisaties hebben uiteenlopende redenen om te werken aan certificeringen en compliance. Sommige willen aan klanten, partners of aanbesteders aantonen dat ze veilig zijn, bijvoorbeeld met een ISO 27001-certificering.
Rick Swinkels
Commercial Lead

Begin vandaag met het onmogelijk maken van kwetsbare wachtwoorden

Hartelijk dank voor je aanvraag! We nemen binnen 1 werkdag contact met je op.
Vul alle velden voordat je het formulier verstuurd

Andere zijn wettelijk verplicht te voldoen aan normenkaders zoals de BIO, NEN 7510, het Normenkader IBP, BIC, DORA of de Cyberbeveiligingswet op basis van NIS2. In beide gevallen speelt wachtwoordbeheer een centrale rol, en in beide gevallen kan een wachtwoordmanager helpen om het benodigde vinkje te krijgen.

Het probleem is dat een vinkje geen veiligheid is. Een wachtwoordmanager die wordt aangeschaft maar nauwelijks wordt gebruikt, een beleid dat op papier staat maar door niemand wordt nageleefd, accounts die blijven bestaan nadat medewerkers vertrekken: de auditor ziet het niet, de aanvaller wel. In dit artikel doen we daarom twee dingen: (1) we laten zien waar de normenkaders concreet om vragen op het gebied van wachtwoordbeheer, en (2) we leggen uit hoe MindYourPass verder gaat dan het vinkje en organisaties ook werkelijk veiliger maakt.

Wij houden ons de hele dag bezig met inloggen. Daardoor zien we hoe vaak er spraakverwarring is: we gebruiken dezelfde termen, maar bedoelen iets anders. In een serie artikelen behandel ik daarom de basis.

Lees ook de andere artikelen in deze serie:

Wat ISO, BIO, NEN 7510, IBP, DORA en NIS2 concreet vereisen op het gebied van wachtwoordbeheer

De normenkaders verschillen sterk in hoe concreet ze zijn over wachtwoordbeheer. Sommige schrijven expliciet voor wat er moet gebeuren, andere laten de technische invulling volledig over aan de organisatie. Dat geeft ruimte, maar ook het risico dat organisaties kiezen voor de minimale invulling die de audit haalt, in plaats van de invulling die het risico werkelijk verkleint.

Een overzicht van de belangrijkste normenkaders en wat ze concreet vereisen:

Norm / kader Concrete eisen / artikelen
ISO 27001:2022 Annex A 5.17: beheer van authenticatiegegevens. Annex A 8.5: beveiligde authenticatiemethodes toepassen.
ISO 27002:2022 Control 5.17: richtlijnen voor veilige generatie, distributie, opslag en lifecycle management van wachtwoorden en tokens.
BIO2 (Overheid) 5.17.02: wachtwoordmanager verplicht voor alle medewerkers. 5.17.03: eisen aan wachtwoorden moeten geautomatiseerd worden afgedwongen. 12+ tekens, geen hergebruik, max 5 pogingen, 2FA verplicht.
NEN 7510 (Zorg) Implementatierichtlijnen voor sterke wachtwoorden, geen hergebruik, niet delen, wijzigen bij compromittering.
Normenkader IBP (Onderwijs) Accountbeheer op basis van HR-administratie, tijdelijke accounts met einddatum, MFA voor beheeraccounts, SSO via centrale identity provider, 2FA afgedwongen op basis van classificatie.
BIC 4.0 (Woningcorporaties) 4.17: Authenticatiegegevens moeten veilig worden opgeslagen en gebruikt, waarbij sterke wachtwoorden, versleuteling, identiteitscontrole en verplicht gebruik van een goedgekeurde wachtwoordmanager worden toegepast. Daarnaast dienen maatregelen zoals SSO en MFA te worden ingezet en moeten standaardwachtwoorden direct worden gewijzigd.
DORA (Financiële sector) Art. 8-9: veilige IAM, toegangscontrole en credential management als onderdeel van ICT-risicobeheersing.
Cyberbeveiligingswet (NIS2) Art. 21(2): passende technische en organisatorische maatregelen voor IAM en authenticatie op basis van risico.

Wat opvalt is dat ISO 27001 geen wachtwoordmanager benoemt, maar wel duidelijke eisen stelt aan wachtwoorden. De BIO2 schrijft een wachtwoordmanager expliciet voor, maar zegt niets over adoptie. DORA en NIS2 houden het op risicogebaseerd niveau en laten de technische invulling over aan de organisatie. De normenkaders geven richting, maar geen garantie dat de praktijk volgt. En veiligheid zit in de praktijk, niet in het beleid.

Het verschil tussen wat een auditor ziet en wat een aanvaller vindt

Een auditor toetst op aanwezigheid van beleid en maatregelen. Een aanvaller toetst op zwakke plekken. Dat zijn twee verschillende toetsen, en organisaties die zich uitsluitend voorbereiden op de eerste, zijn kwetsbaar voor de tweede.

De meest voorkomende situatie: een wachtwoordmanager is aangeschaft, het beleid is gedocumenteerd, en bij de audit ziet alles er netjes uit. Ondertussen gebruikt het gros van de medewerkers de wachtwoordmanager niet, worden wachtwoorden hergebruikt voor meerdere applicaties, en heeft niemand overzicht over welke accounts actief zijn voor welke medewerker. Het vinkje staat. Het risico ook.

Hoe MindYourPass beleid automatisch afdwingt in plaats van het alleen mogelijk te maken

De kern van het probleem is dat de meeste wachtwoordoplossingen beleid mogelijk maken, maar niet afdwingen. MindYourPass is gebouwd vanuit de gedachte dat adoptie geen keuze van de medewerker mag zijn, maar een gegarandeerd resultaat van de techniek. Gedrag, beleid en techniek komen samen:

  • Door de wachtwoordmanager te integreren in de werkomgeving als verbindende schakel tussen het wachtwoordbeleid van de organisatie en de applicaties waarmee medewerkers dagelijks werken.
  • Door sterke, unieke en phishing-resistente wachtwoorden eenvoudig en veilig te beheren in de enterprise wachtwoordoplossing.
  • Door een stuurbare adoptie, gebruiksgemak voor de medewerker en controleerbaarheid voor de organisatie.
  • Door continu, real-time inzicht te bieden, zodat organisaties op elk moment kunnen rapporteren over de mate van compliance, veiligheid en adoptie.

Dat laatste punt is cruciaal. Niet alleen weten dat het beleid er is, maar kunnen aantonen dat het wordt nageleefd, door elke medewerker, voor elke applicatie, op elk moment. Dat is wat een auditor vraagt bij de volgende controle, en wat een aanvaller tegenhoudt vandaag.

Van tick-the-box naar structureel veiliger: wat het verschil is in de praktijk

Het doel is een organisatie die werkelijk veiliger is, niet een organisatie die de audit haalt. Die twee dingen kunnen samenvallen, maar alleen als de techniek het gedrag stuurt in plaats van het gedrag aan de techniek over te laten.

Een wachtwoordmanager uitrollen is een middel, geen doel. Het doel is aantoonbaar maken dat elke medewerker overal sterke en unieke wachtwoorden gebruikt, dat accounts worden beheerd en dat het beleid automatisch wordt afgedwongen. Dat is wat leidt tot veiligheid, niet het vinkje achter de aanschaf. De normenkaders vragen er indirect om, de auditor vraagt er steeds vaker expliciet naar, en de aanvaller exploiteert het verschil zolang het bestaat.

Heading 1

Heading 2

Heading 3

Heading 4

Heading 5
Heading 6

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.

“Juist de collega’s die in het begin sceptisch waren, werden later de grootste ambassadeurs,”- addsadasd

Ordered list

  1. Item 1
  2. Item 2
  3. Item 3

Unordered list

  • Item A
  • Item B
  • Item C

Text link

Bold text

Emphasis

Superscript

Subscript

Neem contact met ons op.

Laat MindYourPass jouw organisatie veilig maken.

Hartelijk dank voor je aanvraag! We nemen binnen 1 werkdag contact met je op.
Vul alle velden voordat je het formulier verstuurd
Meer lezen?
Bekijk andere artikelen
Meer artikelen
De MindYourPass oplossing

Veilig inloggen met gemak.
Thuis én op het werk.

Triple-i™ verbetermethode

Wachtwoordveiligheid meten om doelgericht te verbeteren

Elke verandering begint met het verkrijgen van volledig inzicht in de huidige situatie. Om vanuit daar met behulp van een concreet en praktisch plan toe te werken naar de gewenste situatie: het gebruik van kwetsbare wachtwoorden binnen jouw organisatie onmogelijk maken.

Lees meer over Triple-i™

Lees meer over cybersecurity

Bekijk alle artikelen
Resource
Beschermt een domeingebonden wachtwoord ook tegen phishing en AiTM?
Hulpartikel
De schaamte na een phishingaanval is onterecht
Hulpartikel
Gemak boven veiligheid? Zo wordt MFA stiekem uitgehold.
Hulpartikel
"We hebben SSO voor alle applicaties." Dit is waarom dat in praktijk zelden klopt.