Doel:

* Verkleint de kans voor aanvallers: Als een wachtwoord in gevaar komt (bijvoorbeeld door een datalek, phishing of malware), vermindert het beperken van de levensduur ervan de tijd dat een aanvaller het kan gebruiken om ongeautoriseerde toegang te verkrijgen.

* Dwingt gebruikers sterkere wachtwoorden te gebruiken: Moedigt gebruikers aan om hun wachtwoorden periodiek bij te werken, wat in de loop van de tijd mogelijk kan leiden tot het gebruik van sterkere en complexere wachtwoorden. Het idee is dat gebruikers niet met zeer eenvoudige wachtwoorden weg kunnen komen als ze weten dat ze deze regelmatig moeten wijzigen.

* Bestrijd hergebruik van wachtwoorden: Als een gebruiker hetzelfde wachtwoord voor meerdere services opnieuw gebruikt en een van die services is gecompromitteerd, helpt het verlopen van het wachtwoord voorkomen dat de aanvaller dat gecompromitteerde wachtwoord op andere accounts gebruikt (als de gebruiker sindsdien zijn wachtwoord op het systeem heeft gewijzigd terwijl het verlopen is).

* Nalevingsvereisten: Veel regelgeving en industriestandaarden (zoals HIPAA, PCI DSS, enz.) schrijven het verlopen van wachtwoorden voor of bevelen deze aan als onderdeel van een uitgebreid beveiligingsprogramma.

Hoe het werkt:

1. Vervalperiode: Een beheerder configureert een specifieke periode (bijvoorbeeld 30 dagen, 60 dagen, 90 dagen) waarna wachtwoorden verlopen.

2. Prompt voor wachtwoordwijziging: Wanneer een gebruiker zich aanmeldt en zijn wachtwoord de vervaldatum heeft bereikt, wordt hem gevraagd dit te wijzigen.

3. Handhaving: Het systeem handhaaft het beleid door te voorkomen dat de gebruiker zich aanmeldt totdat hij zijn wachtwoord heeft gewijzigd.

4. Wachtwoordgeschiedenis (optioneel): Vaak dwingen systemen ook de wachtwoordgeschiedenis af, waardoor gebruikers niet zomaar hetzelfde wachtwoord kunnen hergebruiken onmiddellijk nadat het is gewijzigd.

Nadelen en kritiek:

Hoewel het verlopen van wachtwoorden bedoeld is om de veiligheid te verbeteren, is er de afgelopen jaren om verschillende redenen kritiek op gekomen:

* Gebruikersvermoeidheid en contraproductief gedrag: Frequente wachtwoordwijzigingen kunnen leiden tot ‘wachtwoordvermoeidheid’, waarbij gebruikers zwakke, voorspelbare wachtwoorden kiezen die gemakkelijk te onthouden zijn of opschrijven, waardoor ze *minder* veilig worden.

* Cognitieve belasting: Het onthouden van voortdurend veranderende wachtwoorden belast de cognitieve vaardigheden van gebruikers.

* Meer helpdeskoproepen: Het opnieuw instellen van wachtwoorden is een veel voorkomende reden voor gebruikers om contact op te nemen met IT-helpdesks, waardoor de ondersteuningskosten stijgen.

* Focus op complexiteit boven lengte: Beleid voor het verlopen van wachtwoorden legt vaak de nadruk op complexiteitsvereisten (hoofdletters, kleine letters, cijfers, symbolen), wat minder effectief kan zijn dan simpelweg langere wachtwoorden vereisen.

Alternatieven en moderne benaderingen:

Gezien de nadelen stappen veel organisaties af van het verplichte verlopen van wachtwoorden en nemen ze alternatieve of aanvullende beveiligingsmaatregelen:

* Multi-Factor Authenticatie (MFA): MFA voegt een extra beveiligingslaag toe door van gebruikers te eisen dat ze naast hun wachtwoord een tweede vorm van authenticatie opgeven (bijvoorbeeld een code van een mobiele app, een vingerafdruk). Dit vermindert de impact van een gecompromitteerd wachtwoord aanzienlijk.

* Wachtwoordbeheerders: Stimuleer het gebruik van wachtwoordmanagers, die voor elke website of dienst sterke, unieke wachtwoorden genereren en opslaan.

* Wachtwoordcontrole en inbreukdetectie: Gebruik services die controleren op gecompromitteerde wachtwoorden bij datalekken en waarschuw gebruikers als hun inloggegevens openbaar zijn gemaakt.

* Risicogebaseerde authenticatie: Pas de beveiligingsvereisten dynamisch aan op basis van het gedrag van de gebruiker en de context van de inlogpoging (bijvoorbeeld locatie, apparaat).

* Focus op onderwijs en training: Informeer gebruikers over best practices voor wachtwoordbeveiliging, zoals het kiezen van sterke wachtwoorden, het vermijden van hergebruik van wachtwoorden en het herkennen van phishing-pogingen.

* Langere wachtwoordzinnen: Moedig gebruikers aan om lange, gedenkwaardige wachtwoordzinnen te maken in plaats van complexe, korte wachtwoorden.

* Gedragsbiometrie: Analyseer het gebruikersgedrag (typesnelheid, muisbewegingen) om afwijkingen te detecteren die kunnen wijzen op een gehackt account.

Samenvattend:

Het verlopen van wachtwoorden is een beveiligingsbeleid dat gebruikers dwingt hun wachtwoord regelmatig te wijzigen. Hoewel het tot doel heeft het risico op gecompromitteerde wachtwoorden te verminderen, heeft het nadelen en wordt het steeds vaker vervangen of aangevuld door sterkere beveiligingsmaatregelen zoals MFA, wachtwoordbeheerders en verbeterde gebruikerseducatie. De beste aanpak hangt af van de specifieke behoeften en het risicoprofiel van de organisatie.