Rare jongens, die Britten. Ze houden er eeuwenoude wetten op na die in
onze moderne tijd volslagen anachronistisch aandoen, hetgeen voor onze
westerburen echter zelden aanleiding is om ze af te schaffen. Zo is het
bijvoorbeeld verboden om in het Britse parlementsgebouw te overlijden.
Overigens zit hier wel een praktische – want financiële – reden achter: volgens
weer andere regels moet iedereen, die daar overlijdt, een staatsbegrafenis
krijgen. En dat kost natuurlijk een paar penny’s. Binnen de stadsmuren van York
mag je dan wel weer vermoord worden, tenminste, als je een Schot bent én pijl
en boog bij je hebt. Mocht je een aanslag op je leven overleefd hebben in
veilig in Schotland teruggekeerd zijn, dan moet je vast nodig naar de wc. Geen
probleem: iedereen is daar bij wet verplicht om je zijn toilet ter beschikking
te stellen. Mocht je willen wildplassen, dan kan dat, mits je bij het
achterwiel van je voertuig staat en dat met je rechterhand vasthoudt. Dat je
die pijl en boog bij je had, is trouwens geen toeval: alle mannen vanaf
veertien jaar waren tot 1960 verplicht om minimaal twee uur per dag te oefenen
met boogschieten.
Als je daar bij de belastinginspecteur op het matje moet komen, dan ben
je verplicht om hem dingen te vertellen waarvan je eigenlijk niet wilt dat hij
ze weet. Dingen die hij gerust mag weten hoef je juist niet te delen. Plak je
een postzegel waar de Queen op staat ondersteboven op een brief, dan pleeg je
verraad. En mocht je tijdens het uitlaten van je hond diezelfde Queen
tegenkomen met háár hond, houd de jouwe dan kort aangelijnd, want die twee
mogen niet intiem worden. En zorg ervoor dat je sokken draagt bij zo’n
ontmoeting, want dat moet van Edward VI. Vrouwen mogen in Liverpool niet
topless rondlopen, behalve als ze in een winkel voor tropische vissen werken. En
als je in Londen over de stoep loopt, dan mag je geen plank, ladder, wiel,
hoepel en nog een paar dingen bij je dragen. En mocht je de pest hebben, dan is
een taxi ook geen optie.
Tot zover deze bloemlezing van Britse wetgeving. Je komt trouwens overal
zo’n beetje hetzelfde lijstje tegen, en één (Amerikaanse!) site nam de moeite om
te checken of dat lijstje wel klopt. En wat blijkt? Niet álles wat je hierboven
hebt gelezen is waar. Maar het blijft natuurlijk wel grappig. En er zit een
duidelijke boodschap in: regels verouderen. Soms houdt de wethouder dan
rekening mee. In de Nederlandse Wet Computercriminaliteit wordt bijvoorbeeld
bewust gesproken van ‘een geautomatiseerd werk’ als een computer wordt bedoeld,
zodat de wet ook van toepassing is op apparaten die we doorgaans niet computer
noemen, zoals een smartphone.
Toch hebben we ook in de nog zo jonge computerwereld ook al achterhaalde
regels. Ik noem twee voorbeelden. Het was een tijd lang gebruikelijk om te
adviseren om enkele letters in je w@chtw0oRd te vervangen door cijfers en ‘rare
tekens’. Dat trucje is inmiddels achterhaald, gewoon omdat het soort mensen dat
je wachtwoord zou willen kraken het ook kent. Dat betekent overigens niet dat
je dergelijke tekens niet meer moet gebruiken: hoe groter de gebruikte
tekenset, hoe groter het aantal verschillende wachtwoorden dat je kunt maken –
en dus hoe moeilijker te raden (ook voor computers: het doorrekenen van alle
mogelijkheden duurt gewoon langer). De grootte van de gebruikte tekenset zet
echter niet zoveel zoden aan de dijk. Wat vooral telt is lengte. Meestal wordt
een minimale lengte van acht tekens geëist, maar je komt ook zes, vier of zelfs
één (bij Wikipedia) tegen. Onderzoekers geven echter steeds vaker aan dat de minimale
lengte twaalf zou moeten zijn om voldoende bestand te zijn tegen kraakpogingen.
Als je slechts één wachtwoord hoeft te onthouden, omdat je een password manager
gebruikt, dan is zo’n lang wachtwoord met kleine letters, hoofdletters, cijfers
en tekens best te doen. Verzin een ezelsbruggetje, zoiets als: “Ik zag twee
beren broodjes smeren”. Dat mag je voluit gebruiken, dan heb je een heuse pass phrase (wachtzin?). Omdat helaas
nog lang niet overal zo’n lang wachtwoord wordt ondersteund, kun je dit ook
verbouwen tot iets als: “iZ2be3rBr()()dS!” Wel belangrijk om te onthouden, dat
wachtwoord van je password manager. Want als je dat kwijt bent, dan zul je alle
wachtwoorden handmatig moeten resetten.
Ook het tweede voorbeeld van achterhaalde regels heeft met wachtwoorden
te maken. Zo’n zestien jaar geleden bedacht het Amerikaanse National Institute
of Standards and Technology dat wachtwoorden periodiek moeten worden gewijzigd.
Twee jaar geleden kwamen ze tot het inzicht dat dit juist averechts werkt,
omdat mensen dan al gauw met tellers gaan werken: wachtwoord01, wachtwoord02
enzovoorts. Of lente2019, zomer2019 – je kent ze wel. Het NIST adviseert nu
juist het tegenovergestelde: geen periodieke wachtwoordwijzigingen meer
afdwingen. Wachtwoorden hoor je voortaan alleen nog te wijzigen als je denkt of
weet dat ze zijn uitgelekt. En naar verluidt heeft de NIST-medewerker, die
destijds de oude regel verzon, daar nu spijt van.
Nieuwe regels en adviezen hebben tijd nodig om in te dalen. Verwacht dus
niet dat je binnen afzienbare tijd af bent van dit periodieke ritueel. Sommige
organisaties zullen er sowieso star aan willen vasthouden. Als je dan je
password manager niet alleen gebruikt voor het onthouden van je wachtwoorden,
maar ook voor het genereren ervan, dan voorkom je dat je jezelf kwetsbaar maakt
door wachtwoorden met volgnummers.
De komende twee weken verschijnt er geen Security (b)log.
En in de grote boze buitenwereld …
... vind je hier een vrij uitgebreid onderzoek naar wat mensen met
wachtwoorden doen. Ook leuk: de wachtwoorden van belangrijke mensen bij
belangrijke bedrijven.
... legt de rechter de term ‘computervredebreuk’ erg breed uit.
... waren niet alleen Facebook-wachtwoorden onversleuteld opgeslagen,
maar ook miljoenen Instagram-wachtwoorden.
... neemt het kabinet maatregelen tegen de dreiging die uitgaat van
statelijke actoren. In het kader van afschrikking gaat Nederland onder andere
vaker over tot publieke attributie van cyberaanvallen.
Security (b)log over attributie van 09-02-2018: https://securityblogpatrick.blogspot.com/2018/02/attributie.html
... zit de Belastingdienst met oude persoonsgegevens in z’n maag.
... heeft een student tientallen computers van een Amerikaanse
universiteit kapotgemaakt met een speciale USB-stick.
... kun je een malware-besmetting oplopen door het downloaden van
tv-series.
... faalt uiteindelijk elke beveiligingstool wel een keer.
... wil een Amerikaanse presidentskandidaat een Ministerie van
Cybersecurity.
https://www.johndelaney.com/2019/04/16/delaney-announces-plan-to-create-department-of-cybersecurity/
... zijn de maildiensten van Microsoft (Hotmail, MSN, Outlook) gehackt.
... moet je je niets aantrekken van afpersmailtjes.
... gaat er heel wat geld om in ransomware.
... is er ook deze week weer een issue met een verlopen internetdomein.
Deze keer bij Microsoft.
... heeft de Europese Commissie geen gekke dingen aangetroffen in de
software van Kaspersky.
Geen opmerkingen:
Een reactie posten