Pff, ik gebruik op m’n werk nogal wat wachtwoorden. Als ik er daar eentje van vergeet, dan kan ik niet meer werken en moet ik door een moeilijke procedure heen om dat wachtwoord te resetten. Weet je wat? Ik mail een lijstje met al mijn wachtwoorden naar huis. Mocht het dan een keertje misgaan, dan hoef ik alleen even in mijn privémail te kijken en kan ik meteen weer door. Lekker handig!
Het bovenstaande is niet mijn
gedachtegang, maar, getuige een recent geval, wel die van sommige mensen. Zoals
zo vaak met de beste bedoelingen. Ik kan het er, als informatiebeveiliger, toch
niet mee oneens zijn dat iemand de continuïteit van zijn werkzaamheden
veiligstelt? Nee, dat laatste is inderdaad een prima initiatief, alleen valt er
wel wat af te dingen op de manier waarop sommige mensen daar invulling aan
geven. Ik zal je uitleggen waarom de werkwijze uit de eerste alinea géén goed
idee is. En natuurlijk wat je in plaats daarvan wél kunt doen.
Eerst maar even afrekenen met de stelling dat het resetten van je
wachtwoord moeilijk zou zijn. Omdat wachtwoordresets een aanzienlijke aanslag
op de capaciteit van een helpdesk plegen, verzinnen organisaties daar slimme
doe-het-zelf-oplossingen voor. Je doet er goed aan om bij jouw eigen
organisatie na te gaan wat hiervoor beschikbaar is. En voor privéwachtwoorden
geldt dat die in de meeste gevallen eenvoudig te herstellen zijn via de link ‘ik
heb mijn wachtwoord vergeten’.
Dan terug naar de eigenlijke kwestie: wachtwoorden mailen is niet oké.
Een wachtwoord is een best wel belangrijk ding, dat je toegang geeft tot
systemen en gegevens. Zou je de sleutel van je voordeur op een briefkaart
willen plakken en per post ergens heen sturen, onder vermelding van het
afzenderadres? Dat is namelijk precies wat je doet door wachtwoorden te mailen
– ook al vermeld je de bijbehorende accountnaam er niet bij, want dat is geen
geheim gegeven en dus te achterhalen, of het nou om een zakelijk user-id gaat
of om het e-mailadres waarmee je bij een webshop inlogt.
We beschouwen te beschermen gegevens niet alleen als ze onderweg zijn
(het verzenden per mail), maar ook als ze op de bestemming zijn aangekomen (de
opslag ervan). Een per e-mail verzonden wachtwoord woont dan op de mailserver
van je provider, in de mailfile op je computer en in je mobiel en misschien ook
nog ergens op je harde schijf (we zien wel vaker dat wachtwoorden in een
Excel-bestand worden gemaild, dat thuis waarschijnlijk in de map ‘Wachtwoorden’
wordt opgeslagen). Al deze plekken zijn er niet voor gemaakt om wachtwoorden te
herbergen, omdat iedereen die toegang tot die opslaglocaties heeft, daarmee ook
toegang tot je wachtwoordlijstje heeft.
Maar ik kan dat Excel-bestand toch versleutelen door er een wachtwoord
op te zetten?, hoor ik je denken. Ja, dat kan, maar ons mailsysteem staat het
extern mailen van versleutelde bestanden niet toe (omdat het dan niet kan
worden gecontroleerd op bijvoorbeeld virussen). Ik hoop dat je dat niet als tip
opvat – wat ik hier zeg is: een wachtwoordlijstje versleuteld mailen kán niet,
maar onversleuteld mailen mág niet. Doe je dat wel, dan geef je kwaadwillenden
in potentie de sleutel tot ons datacenter, of in ieder geval tot het gedeelte
van de informatie waar jij bij kunt. En omdat hackers erg goed zijn in het verwerven
van steeds hogere rechten, kan het mailen van wachtwoorden ernstigere gevolgen
hebben dan je op het eerste gezicht zou vermoeden.
Maar hoe kun je er dan wél voor zorgen dat je geen wachtwoorden
kwijtraakt? Het antwoord daarop heeft verschillende namen: wachtwoordkluis,
password manager, password vault – allemaal benamingen voor toepassingen die
voor één doel ontworpen zijn: het veilig opbergen van wachtwoorden en ze alleen
aan de rechtmatige eigenaar ter beschikking stellen als die erom vraagt. Voor
je computer thuis en voor je mobiel kun je kiezen uit tal van producten die,
als het even meezit, met elkaar samenwerken: een op je mobiel ingevoerd
wachtwoord is dan ook op je computer beschikbaar – en andersom. In mijn
ervaring mogen die programma’s nog wel wat doen aan hun
gebruikersvriendelijkheid; het gebruik is niet altijd even intuïtief. De meeste
password managers hebben nog een belangrijke functie: ze kunnen veel betere
wachtwoorden bedenken dan jij en ik. En omdat je die toch niet zelf hoeft te
onthouden en in te vullen, mogen ze lekker lang en ingewikkeld zijn (waarbij
vooral de lengte er toe doet).
Browsers zoals Chrome, Firefox en Safari bieden ook aan om je
wachtwoorden op te slaan als ze zien dat je ergens inlogt. Maar die zijn nog
niet zo goed als password managers, die speciaal voor dit doel gebouwd zijn, zo
valt uit diverse artikelen hierover op te maken. En omdat ‘goed’ in deze
context al gauw over veiligheid gaat, blijf je voorlopig beter nog even weg bij
die ingebouwde wachtwoordkluizen.
En in de grote boze buitenwereld …
- wil het RIVM onze locatiedata gebruiken in de strijd tegen corona.
- is bedrijfscontinuïteit ook belangrijk als je ketchup produceert.
- kun je je data kwijtraken als je cloudprovider vindt dat daar iets onbetamelijks tussen zit.
- vinden cybercriminelen Office365 ook heel handig.
- geven grote winkels, na overleg met de Autoriteit Consument & Markt, betere informatie over slimme apparaten.
- krijgen slimme apparaten in Singapore een cybersecurity-label, waaraan de consument gemakkelijk kan aflezen of beveiliging is mee-ontworpen en of het apparaat op veiligheid is getest.
- heeft je slimme auto wel signaal nodig om gerepareerd te kunnen worden.
- blijven overheden steeds weer proberen om achterdeurtjes in versleuteling in te laten bouwen.
- adviseert de militaire inlichtingendienst grote bedrijven om smartphones uit de vergaderzaal te verbannen.
- is een digitale foto meer dan alleen een plaatje.
Geen opmerkingen:
Een reactie posten