đź’Ľ Management Samenvatting
In moderne cloudomgevingen is het afdwingen van een periodieke wachtwoordwijziging zonder aanvullende maatregelen geen effectieve beveiligingsstrategie meer. Organisaties die gebruikmaken van Multi‑Factor Authentication (MFA) en geautomatiseerde detectie van gecompromitteerde inloggegevens behalen aantoonbaar betere beveiligingsresultaten door wachtwoorden niet meer standaard te laten verlopen. Deze aanpak sluit aan bij de aanbevelingen uit NIST 800‑63B en past binnen de principes van de "Nederlandse Baseline voor Veilige Cloud", waarin gebruiksgemak en sterke technische maatregelen gecombineerd worden tot een robuuste identiteitsstrategie.
Aanbeveling
IMPLEMENT
Risico zonder
Low
Risk Score
3/10
Implementatie
3u (tech: 1u)
Van toepassing op:
âś“ M365
âś“ Azure AD
âś“ Azure AD
Jarenlang gold een verplichte wachtwoordwijziging, bijvoorbeeld elke 60 of 90 dagen, als een vanzelfsprekende maatregel in het informatiebeveiligingsbeleid. In de praktijk blijkt echter dat deze aanpak ongewenst gedrag stimuleert en daarmee het tegenovergestelde effect heeft van wat beoogd werd. Medewerkers die gedwongen worden om vaak van wachtwoord te wisselen, kiezen patronen die makkelijk te onthouden zijn: seizoenen en jaartallen, oplopende cijfers of kleine variaties op bestaande wachtwoorden. Voor een aanvaller die al een oud wachtwoord kent of over voorspelbare patronen beschikt, wordt het daarmee eenvoudiger om het nieuwe wachtwoord te raden. Daarnaast neemt het hergebruik van wachtwoorden tussen verschillende systemen en diensten toe, omdat gebruikers de cognitieve belasting van vele complexe en veranderende wachtwoorden niet kunnen dragen. Dit leidt ertoe dat een datalek bij een externe dienst indirect ook risico’s oplevert voor de overheidsorganisatie. In de praktijk zien we verder dat gebruikers wachtwoorden op briefjes schrijven, in onbeveiligde notities bewaren of delen met collega’s om de administratieve druk van frequente wijzigingen te verlagen. Ook voor de organisatie zelf heeft klassiek wachtwoordverloop nadelen: rond de vervaldatum piekt het aantal helpdeskverzoeken voor wachtwoordresets, accountontgrendelingen en vragen over lockouts, waardoor de servicedesk wordt belast en kosten toenemen. Tegen deze achtergrond hebben internationale standaarden hun visie aangepast. NIST 800‑63B adviseert expliciet om wachtwoorden niet meer routinematig te laten verlopen, behalve wanneer er indicaties zijn van een mogelijke compromittering. De achterliggende gedachte is dat sterke, unieke wachtwoorden in combinatie met aanvullende maatregelen – zoals MFA en monitoring op gecompromitteerde referenties – een veel hogere beveiligingswaarde opleveren dan het periodiek dwingen van gebruikers tot een nieuwe, vaak zwakkere wachtwoordvariant. Door periodiek wachtwoordverloop los te laten en te investeren in moderne identiteitsbeveiliging, versterken organisaties hun weerbaarheid én verminderen zij de dagelijkse frictie voor gebruikers.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.DirectoryManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.DirectoryManagement
Implementatie
Deze maatregel richt zich op het uitschakelen van periodiek wachtwoordverloop voor Microsoft 365‑ en Entra‑ID‑accounts door het tenantbrede wachtwoordbeleid in te stellen op "Nooit verlopen". Dit is echter géén op zichzelf staande versoepeling van het beveiligingsniveau, maar een herijking van het beleid binnen een breder kader van sterke authenticatie en continue monitoring. De maatregel mag uitsluitend worden geïmplementeerd wanneer aan een aantal randvoorwaarden is voldaan: MFA moet voor alle relevante gebruikers effectief worden afgedwongen via Conditional Access‑beleid, waarbij alleen strikt beheerde noodtoegangsaccounts zijn uitgezonderd; Azure AD Password Protection of een gelijkwaardige voorziening moet geconfigureerd zijn om voorspelbare en zwakke wachtwoorden actief te blokkeren; en er moet een proces zijn waarmee meldingen over gecompromitteerde inloggegevens worden opgevolgd en betrokken accounts direct worden gedwongen tot een wachtwoordwijziging. Functioneel betekent dit dat gebruikers niet langer een generieke herinnering ontvangen om hun wachtwoord na een vaste periode te wijzigen, maar dat wachtwoordwijzigingen plaatsvinden op risico‑ en signaalgestuurde basis. De configuratie kan worden uitgevoerd via het Microsoft 365 Admin Center onder Settings → Security & privacy → Password expiration policy, waar de optie "Set passwords to never expire" wordt geactiveerd, of via geautomatiseerde inrichting met PowerShell of Microsoft Graph. Het is essentieel om deze wijziging te verankeren in het formele beveiligingsbeleid, de BIO‑documentatie en de lokale IAM‑richtlijnen, en om gebruikers, lijnmanagers en security officers duidelijk uit te leggen waarom de organisatie voor deze moderne aanpak kiest. Door het aantal verplichte wachtwoordwijzigingen sterk terug te brengen, neemt de druk op de servicedesk af, verbetert de gebruikerstevredenheid en blijft de beveiliging op peil of wordt zelfs versterkt dankzij de inzet van MFA en geavanceerde detectiemechanismen.
- De implementatie van deze maatregel begint niet in het portaal, maar bij een zorgvuldige voorbereiding. Start met het vastleggen van het besluit in het informatiebeveiligingsbeleid en de IAM‑richtlijnen, inclusief de verwijzing naar NIST 800‑63B en de voorwaarde dat MFA, wachtwoordbescherming en monitoring op gecompromitteerde referenties actief zijn. Breng vervolgens samen met de identity‑beheerders in kaart voor welke gebruikersgroepen het beleid zal gelden en controleer in Conditional Access of er geen uitzonderingen zijn die de effectiviteit van MFA ondermijnen. Pas daarna wordt de technische configuratie doorgevoerd. In het Microsoft 365 Admin Center gaat u naar Settings → Security & privacy → Password expiration policy en selecteert u de optie waarmee wachtwoorden niet langer periodiek verlopen. Controleer in dezelfde sessie of er geen conflicterende instellingen bestaan in oudere on‑premises Group Policy‑ of Azure AD‑policies. Organisaties die liever volledig geautomatiseerd werken, kunnen dezelfde wijziging doorvoeren via PowerShell of Microsoft Graph, bijvoorbeeld als onderdeel van een configuratiescript dat alle tenantbrede beveiligingsinstellingen consistent toepast. Na de technische wijziging volgt een communicatief traject: informeer gebruikers tijdig dat wachtwoorden niet meer automatisch verlopen, maar dat sterke, unieke wachtwoorden en het zorgvuldig omgaan met authenticatiemiddelen onverminderd verplicht blijven. Combineer deze communicatie bij voorkeur met bewustwordingsmateriaal over phishing, wachtwoordmanagers en het belang van MFA, zodat gebruikers begrijpen dat de wijziging onderdeel is van een bredere professionalisering van identiteitsbeveiliging. Rond de implementatie af met een controle of de wijziging correct is doorgevoerd door een steekproef uit te voeren op accounts en de relevante audit‑logs te verifiëren.
Vereisten
Voor het uitschakelen van periodiek wachtwoordverloop is een solide fundament aan basismaatregelen noodzakelijk. Allereerst moet Multi‑Factor Authentication (MFA) daadwerkelijk voor alle relevante gebruikers zijn afgedwongen, bij voorkeur via Conditional Access‑beleid waarin zowel cloud‑ als on‑premises beheerdersaccounts, dienstaccounts met interactieve aanmelding en externe accounts zijn meegenomen. Alleen zorgvuldig beheerde noodtoegangsaccounts (break‑glass) mogen hiervan worden uitgezonderd, waarbij deze accounts extra worden gemonitord en strikt zijn afgeschermd. Daarnaast moet Azure AD Password Protection of een vergelijkbare voorziening voor wachtwoordbescherming zijn ingeschakeld, zodat voorspelbare wachtwoorden, veelgebruikte woordcombinaties en in datalekken bekende wachtwoorden automatisch worden geweigerd. Dit vereist een bewuste inrichting van het aangepaste verboden‑woordenbeleid, afgestemd op de Nederlandse context en de gebruikte organisatienamen. Een derde randvoorwaarde is dat er actieve monitoring op gecompromitteerde inloggegevens aanwezig is: signalen uit identity protection, meldingen van datalekken of waarschuwingen vanuit Microsoft Defender moeten leiden tot een gestructureerd proces waarbij betrokken accounts direct worden geblokkeerd of gedwongen tot een wachtwoordreset. Tot slot moet de organisatie beschikken over actuele documentatie van het identiteits- en toegangsbeheerbeleid, waarin is vastgelegd waarom voor het uitzetten van wachtwoordverloop is gekozen, hoe dit zich verhoudt tot de BIO‑eisen en welke compenserende maatregelen de resterende risico’s mitigeren.
Implementatie
De implementatie van deze maatregel begint niet in het portaal, maar bij een zorgvuldige voorbereiding. Start met het vastleggen van het besluit in het informatiebeveiligingsbeleid en de IAM‑richtlijnen, inclusief de verwijzing naar NIST 800‑63B en de voorwaarde dat MFA, wachtwoordbescherming en monitoring op gecompromitteerde referenties actief zijn. Breng vervolgens samen met de identity‑beheerders in kaart voor welke gebruikersgroepen het beleid zal gelden en controleer in Conditional Access of er geen uitzonderingen zijn die de effectiviteit van MFA ondermijnen. Pas daarna wordt de technische configuratie doorgevoerd. In het Microsoft 365 Admin Center gaat u naar Settings → Security & privacy → Password expiration policy en selecteert u de optie waarmee wachtwoorden niet langer periodiek verlopen. Controleer in dezelfde sessie of er geen conflicterende instellingen bestaan in oudere on‑premises Group Policy‑ of Azure AD‑policies. Organisaties die liever volledig geautomatiseerd werken, kunnen dezelfde wijziging doorvoeren via PowerShell of Microsoft Graph, bijvoorbeeld als onderdeel van een configuratiescript dat alle tenantbrede beveiligingsinstellingen consistent toepast. Na de technische wijziging volgt een communicatief traject: informeer gebruikers tijdig dat wachtwoorden niet meer automatisch verlopen, maar dat sterke, unieke wachtwoorden en het zorgvuldig omgaan met authenticatiemiddelen onverminderd verplicht blijven. Combineer deze communicatie bij voorkeur met bewustwordingsmateriaal over phishing, wachtwoordmanagers en het belang van MFA, zodat gebruikers begrijpen dat de wijziging onderdeel is van een bredere professionalisering van identiteitsbeveiliging. Rond de implementatie af met een controle of de wijziging correct is doorgevoerd door een steekproef uit te voeren op accounts en de relevante audit‑logs te verifiëren.
Compliance en Auditing
Het uitzetten van periodiek wachtwoordverloop moet altijd worden gezien in de context van compliance en verantwoording richting interne en externe toezichthouders. NIST 800‑63B wordt internationaal beschouwd als de belangrijkste richtlijn voor digitale identiteit en authenticatie; deze standaard raadt het routinematig laten verlopen van wachtwoorden expliciet af, tenzij er signalen zijn dat inloggegevens mogelijk zijn gecompromitteerd. Door het wachtwoordverloopbeleid op "nooit verlopen" te zetten, terwijl tegelijkertijd MFA en detectie van gecompromitteerde referenties worden afgedwongen, volgt de organisatie deze moderne interpretatie van veilige wachtwoordpraktijken. Binnen het CIS Microsoft 365 Foundations‑raamwerk sluit deze maatregel aan bij control 1.3.3, waarin wordt verlangd dat wachtwoordbeleid bewust is ingericht en in lijn is met actuele best practices. Voor Nederlandse overheidsorganisaties is vooral de aansluiting bij de Baseline Informatiebeveiliging Overheid (BIO) van belang: paragraaf 09.04 schrijft een doordacht wachtwoordbeheer voor, maar verplicht geen verouderde maatregelen zolang de gekozen aanpak aantoonbaar een gelijkwaardig of beter beveiligingsniveau oplevert. In audit‑ en compliance‑rapportages is het daarom essentieel om helder te beschrijven welke compenserende maatregelen actief zijn (zoals MFA, risk‑based sign‑in policies en monitoring) en hoe incidentmeldingen rond identiteitscompromittering worden afgehandeld. Door deze onderbouwing vast te leggen in beleid, architectuurdocumentatie en risicobeoordelingen kan de organisatie transparant verantwoorden waarom zij heeft gekozen voor het uitzetten van periodiek wachtwoordverloop en hoe dit past binnen de "Nederlandse Baseline voor Veilige Cloud".
Monitoring
Gebruik PowerShell-script password-expiration-never.ps1 (functie Invoke-Monitoring) – Voert periodieke controles uit op het wachtwoordbeleid in de tenant, valideert dat wachtwoorden niet ongewenst verlopen en dat MFA‑ en wachtwoordbeschermingsinstellingen in lijn blijven met het vastgestelde beleid..
Remediatie
Gebruik PowerShell-script password-expiration-never.ps1 (functie Invoke-Remediation) – Herstelt afwijkende configuraties naar het gewenste doelbeeld, bijvoorbeeld wanneer periodiek wachtwoordverloop opnieuw is ingeschakeld of wanneer accounts niet voldoen aan de vereiste combinatie van MFA en wachtwoordbescherming..
Compliance & Frameworks
- CIS M365: Control 1.3.3 (L1) - wachtwoordverloopdatum beleid
- BIO: 09.04 - wachtwoordbeheer
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Password Expiration Set to Never
.DESCRIPTION
Verifies passwords don't expire (modern security best practice with MFA)
.NOTES
NL Baseline v2.0
NIST/Microsoft recommendation: No password expiration with MFA
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param([switch]$Monitoring, [switch]$Remediation,
[switch]$Revert,
[switch]$WhatIf)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Password Expiration Policy" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Invoke-Monitoring {
try {
Connect-MgGraph -Scopes "Domain.Read.All" -ErrorAction Stop -NoWelcome
$domains = Get-MgDomain
$result = @{ totalDomains = $domains.Count; noExpiration = 0; withExpiration = 0 }
foreach ($domain in $domains) {
$passwordPolicy = $domain.PasswordValidityPeriodInDays
# 2147483647 = never expire
if ($passwordPolicy -eq 2147483647 -or $passwordPolicy -eq $null) {
$result.noExpiration++
Write-Host " [OK] $($domain.Id): NO EXPIRATION" -ForegroundColor Green
}
else {
$result.withExpiration++
Write-Host " ⚠️ $($domain.Id): Expires every $passwordPolicy days" -ForegroundColor Yellow
}
}
Write-Host "`n Summary:" -ForegroundColor Cyan
Write-Host " No expiration: $($result.noExpiration)/$($result.totalDomains)" -ForegroundColor Green
Write-Host " With expiration: $($result.withExpiration)/$($result.totalDomains)" -ForegroundColor Yellow
Write-Host "`n Modern Security Guidance (NIST/Microsoft):" -ForegroundColor Cyan
Write-Host " • No password expiration when MFA is enabled" -ForegroundColor Gray
Write-Host " • Forced changes lead to weaker passwords" -ForegroundColor Gray
Write-Host " • Focus on MFA and breach detection instead" -ForegroundColor Gray
if ($result.noExpiration -eq $result.totalDomains) {
Write-Host "`n[OK] COMPLIANT - Passwords don't expire" -ForegroundColor Green
exit 0
}
else {
Write-Host "`n⚠️ RECOMMENDED - Disable password expiration" -ForegroundColor Yellow
exit 1
}
}
catch {
Write-Host "ERROR: $_" -ForegroundColor Red
exit 2
}
}
try {
if ($Monitoring) { Invoke-Monitoring }
else {
Write-Host "Use: -Monitoring" -ForegroundColor Yellow
Write-Host "Configure in: Azure AD > Password reset > Password policy" -ForegroundColor Gray
}
}
catch { throw }
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Low: Low - Periodic expiration is predictable passwords, user friction. Modern: nooit expire IF MFA afgedwongen.
Management Samenvatting
Set wachtwoordverloopdatum: nooit (with MFA). Modern security per NIST 800-63B. Voldoet aan CIS 1.3.3. Setup: 1u.
- Implementatietijd: 3 uur
- FTE required: 0.02 FTE