| Er bestaat geen enkel, openbaar beschikbaar, uniform ‘mandaat van de inlichtingengemeenschap’ voor wachtwoorden dat voor alle instanties geldt. De specifieke vereisten variëren aanzienlijk, afhankelijk van de instantie (CIA, NSA, FBI, enz.), het classificatieniveau van de gegevens die worden beschermd en het betrokken systeem. Informatie over specifiek wachtwoordbeleid wordt doorgaans om veiligheidsredenen geclassificeerd.
We kunnen echter enkele algemene principes afleiden op basis van openbare informatie en algemene best practices voor omgevingen met een hoog beveiligingsniveau:
* Complexiteit: Wachtwoorden vereisen vrijwel zeker een aanzienlijke complexiteit, inclusief lengte (vaak meer dan twaalf tekens), een combinatie van hoofdletters en kleine letters, cijfers en symbolen. Het gebruik van woordenboekwoorden of gemakkelijk te raden patronen zou ten strengste verboden zijn.
* Regelmatige wijzigingen: Regelmatige wachtwoordwijzigingen zijn waarschijnlijk verplicht, hoewel de exacte frequentie (bijvoorbeeld elke 30, 60 of 90 dagen) kan variëren. De reden hiervoor is om de kwetsbaarheid te beperken als een wachtwoord wordt gecompromitteerd.
* Meervoudige authenticatie (MFA): MFA is vrijwel zeker een *verplichte* vereiste voor toegang tot gevoelige systemen en gegevens. Dit kan het gebruik van een smartcard, eenmalige wachtwoorden (OTP's), biometrische authenticatie of een combinatie hiervan inhouden. Wachtwoorden alleen zijn zelden voldoende voor hoogbeveiligde toegang.
* Wachtwoordbeheerders: Hoewel het niet expliciet een 'mandaat' is, wordt het gebruik van sterke wachtwoordmanagers waarschijnlijk aangemoedigd of zelfs vereist om individuen te helpen complexe en vaak veranderende wachtwoorden veilig te beheren.
* Verantwoording: Er zou een strikte registratie en controle van wachtwoordwijzigingen en toegangspogingen plaatsvinden om verdachte activiteiten op te sporen en te onderzoeken.
* Naleving van normen: Agentschappen zullen zich waarschijnlijk houden aan de relevante NIST-richtlijnen (National Institute of Standards and Technology), hoewel de specifieke interpretaties en toevoegingen kunnen variëren op basis van geclassificeerde behoeften.
Kortom, hoewel geen enkel openbaar document een universeel IC-wachtwoordmandaat schetst, zijn de verwachtingen aanzienlijk strenger dan het typische civiele wachtwoordbeleid. De focus ligt op robuuste meerlaagse beveiliging, waarbij de nadruk ligt op complexiteit, frequente rotatie, MFA en rigoureuze monitoring. De exacte details blijven om voor de hand liggende redenen vertrouwelijk. |
