Wachtwoordregels bij Prowise

Prowise hanteert strikte wachtwoordregels om de veiligheid van gebruikersaccounts te waarborgen. We maken gebruik van een meervoudig validatiesysteem om wachtwoorden te controleren op sterkte, bekend datalekken en naleving van belangrijke beveiligingsrichtlijnen. Dit document beschrijft deze regels en de achterliggende redenen.

Wachtwoordvereisten

Wanneer je een wachtwoord instelt of wijzigt bij Prowise, moet het aan de volgende criteria voldoen:

A. Basiscomplexiteitseisen

  • Minimaal 8 tekens lang.

  • Moet ten minste drie van de volgende tekentypes bevatten:

    • Kleine letters (a-z)

    • Hoofdletters (A-Z)

    • Cijfers (0-9)

    • Speciale tekens (!@#$%^&*...)

  • We raden aan een wachtzin te gebruiken, omdat deze zowel veiliger als makkelijker te onthouden is.

B. Sterktecontrole: Zxcvbn Evaluatie

Om zwakke wachtwoorden te voorkomen, gebruikt Prowise de Zxcvbn wachtwoordsterkte-inschatting. Dit beoordeelt hoe gemakkelijk een wachtwoord te raden is:

  • Een wachtwoord moet minimaal een score van 2 uit 4 behalen om geaccepteerd te worden.

  • Als de score 0 of 1 is, wordt het wachtwoord als onveilig beschouwd en afgewezen.

Waarom gebruiken we Zxcvbn?

Traditionele complexiteitsregels (zoals verplichte hoofdletters of cijfers) leiden vaak tot voorspelbare patronen. Zxcvbn evalueert wachtwoorden op basis van:

  • Veelvoorkomende woorden en zinnen.

  • Toetsenbordpatronen (bijv. “qwerty123”).

  • Hergebruikte reeksen.

  • Contextuele elementen zoals namen of data.

Voorbeeld afwijzing:

  • Wachtwoord: "Welkom01"

    • Score: 1 (Afgewezen)

    • Reden: Dit is een veelgebruikt wachtwoord

    • Aanvaltijd (offline, snelle hash): Minder dan een seconde

C. Lekkagecontrole: Have I Been Pwned-integratie

Om te voorkomen dat gebruikers wachtwoorden gebruiken die eerder in datalekken zijn blootgesteld, integreert Prowise met Have I Been Pwned (HIBP):

  • Wanneer een wachtwoord wordt ingesteld, wordt het veilig en anoniem gecontroleerd tegen een database met gecompromitteerde wachtwoorden.

  • Als het wachtwoord voorkomt in bekende datalekken, krijgt de gebruiker een foutmelding: "Dit wachtwoord is eerder gelekt en mag niet worden gebruikt."

  • De gebruiker moet een volledig nieuw wachtwoord kiezen.

Waarom controleren we op gelekte wachtwoorden?

Gelekte wachtwoorden worden vaak gebruikt bij credential stuffing-aanvallen. Zelfs een ogenschijnlijk sterk wachtwoord zoals "P@ssword123" kan onveilig zijn als het eerder is gelekt.

D. Naleving van NIST-richtlijnen

Prowise volgt de National Institute of Standards and Technology (NIST) Special Publication 800-63B wachtwoordrichtlijnen:

  • Geen verplichte periodieke wachtwoordwijzigingen: Frequent wijzigen leidt vaak tot zwakkere wachtwoorden.

  • Sta lange wachtzinnen toe: Gebruikers kunnen langere, makkelijk te onthouden wachtwoorden maken in plaats van complexe en moeilijk te onthouden varianten.

  • Controleer wachtwoorden op datalekken: Dit voorkomt het hergebruik van gecompromitteerde wachtwoorden.

  • Geen willekeurige complexiteitsvereisten: In plaats van verplichte symbolen of cijfers wordt een wachtwoord beoordeeld op werkelijke sterkte.

E. Beveiligingstips en beste praktijken

  • Gebruik nooit hetzelfde wachtwoord voor meerdere diensten.

  • Gebruik een wachtwoordmanager om sterke wachtwoorden te genereren en op te slaan.

  • Vermijd voorspelbare wijzigingen (bijv. "Wachtwoord1!" of "Zomer2024!").

  • Schakel multi-factor authenticatie (MFA) in voor extra beveiliging.

Foutmeldingen en probleemoplossing

Als je wachtwoord wordt geweigerd, controleer dan het volgende:

  • "Wachtwoord is onveilig" → Het wachtwoord is te zwak volgens Zxcvbn; gebruik een langere wachtzin met unieke woorden.

  • "Dit wachtwoord is eerder gelekt" → Kies een compleet ander wachtwoord.

  • "Wachtwoord voldoet niet aan de vereisten" → Zorg ervoor dat het wachtwoord drie van de vier vereiste tekentypes bevat en minstens 8 tekens lang is.

Voor verdere beveiligingsrichtlijnen, zie Hoe herstel ik een account? of neem contact op met Prowise Service.