Een paar weken geleden kwam mijn vrouw thuis van het tuincentrum. Ze had niet alleen de nodige kerstattributen bij zich, maar ook een foto waarvan ze dacht dat ik daar misschien wel iets mee kon. Na tien jaar is deze blog niet alleen een deel van mijzelf geworden, maar leeft mijn hele gezin mee. Vandaag is mijn vrouw jarig en dat maakt het extra leuk om haar foto vandaag te gebruiken. Van harte schat!
Informatiebeveiligers praten vaak over het spreekwoordelijke geeltje
waarop een wachtwoord staat. Nou, zo spreekwoordelijk is dat papiertje dus
helemaal niet. Bij dat tuincentrum hebben ze niet begrepen wat de bedoeling van
een wachtwoord is en zo te zien vinden ze het lastig. Mocht u deze blog toevallig
lezen, meneer Kleinbussink (algemeen directeur), doe er dan uw voordeel mee.
Op een kaartjesautomaat op het station zit geen wachtwoord, want daar
moet iedereen gebruik van kunnen maken. Maar als een systeem wordt beschermd
met een wachtwoord, dan is het kennelijk niet de bedoeling dat onbevoegden er
gebruik van kunnen maken; de eigenaar van het systeem wil iets beschermen. Als
medewerkers dat niet begrijpen, bijvoorbeeld omdat niemand het ze heeft
uitgelegd, dan kun je hen niet kwalijk nemen dat ze niet aan
informatiebeveiliging denken.
De foto legt meerdere fouten bloot. Ten eerste natuurlijk dat briefje
zelf, dat daar zo pontificaal in beeld hangt – had het dan onder het
toetsenbord geplakt. Dat er letterlijk op staat dat het om het wachtwoord gaat
(“ww”) maakt het ook niet sterker. En over sterk gesproken: Kerst2021 is
bepaald geen sterk wachtwoord, omdat het zo voor de hand ligt (ik kan niet
wachten op de volgende kerstperiode, waarin we vast weer spullen uit het
tuincentrum nodig hebben…). Verder impliceert het briefje dat iedereen
gebruikmaakt van hetzelfde account. Afhankelijk van wat je daarmee kunt, hoeft
dat geen probleem te zijn. Maar als je er bijvoorbeeld bestellingen mee kunt
doen of ermee kunt mailen, dan hecht je er als bedrijf misschien toch belang
aan dat je kunt achterhalen wie er op een bepaald moment achter de knoppen
heeft gezeten.
Ik moet wel een slag om de arm houden, want ik ben niet bekend met de
dynamiek van winkels in het algemeen en tuincentra in het bijzonder. Misschien
hoeft er helemaal niets te worden beschermd, misschien biedt het account waar
dit wachtwoord bij hoort geen toegang tot niet-openbare functies of gegevens.
En misschien werkt het in zo’n winkel gewoon niet als iedereen steeds met zijn
eigen account moet in- en uitloggen. Maar zelfs dan: hoe moeilijk kan het zijn
om alle medewerkers een wachtwoord uit het hoofd te laten leren – zeker als het
zo’n makkelijk wachtwoord is?
Dan wordt het nu tijd om de hand in eigen boezem te steken. Ik heb
waarschijnlijk geen collega’s die wachtwoorden etaleren zoals op de foto te
zien is. Maar ik heb wél collega’s die wachtwoorden noteren op plekken waar ze
niet thuishoren. En dan gaat het heus niet om wachtwoorden van persoonlijke
accounts – nee, het gaat bijvoorbeeld om de wachtwoorden van niet-persoonlijke
accounts die in de testomgeving worden gebruikt. Het is handig als iedereen
binnen een team die gemakkelijk kan opzoeken. De toegang is echter vaak niet
beperkt tot teamleden. Bovendien zijn het vaak tranentrekkend slechte
wachtwoorden. Terwijl je dergelijke accounts ook gemakkelijk in een password
manager kunt onderbrengen en het wachtwoord daarvan alleen deelt met de
belanghebbenden. En eens in de zoveel tijd wijzig je dat wachtwoord (en dan
bedoel ik niet van xxx2021 in xxx2022), want er verlaat wel eens iemand het
team nietwaar.
Binnenkort gaan we actie hiertegen ondernemen. Als lezer van deze blog
heb je een voorsprong: breng de boel nú op orde zodat jouw team straks groen
scoort. En tegen mijn soortgenoten bij andere organisaties zeg ik: ga er maar
niet van uit dat dit bij jou niet voorkomt. Zoekt en gij zult vinden. En als je
iets hebt gevonden, leg dan uit waarom dat zo niet kan, want als je collega’s het
begrijpen, dan zijn ze eerder geneigd om te veranderen. Misschien wordt het dan
toch nog een vrolijke Kerst2022.
En in de grote boze buitenwereld …
- heeft de politie 2.500 Nederlanders gewaarschuwd dat hun e-mailadressen en wachtwoorden zijn uitgelekt.
- baart het eventuele gebruik van de verdwijnfunctie voor Signal-chats door bestuurders zorgen.
- wordt de chat-app Telegram misschien geblokkeerd in Duitsland.
- mogen de kwetsbaarhedenspeurneuzen van het Nederlandse DIVD een mooie donatie van een Amerikaans securitybedrijf op hun bankrekening tegemoet zien.
- lees je hier meer achtergronden over DIVD (achter betaalmuur).
- liggen de gegevens van de gamers onder ons mogelijk op straat.
- hackt Noord-Korea zijn harde valuta bij elkaar.
- neigt het kabinet bij een cyberaanval eerder naar sancties dan naar een tegenaanval.
- kon een jeugdige hacker zich op afstand toegang verschaffen tot diverse Tesla’s.
- valt er geld te verdienen met het hacken van Tesla’s.
- moesten Amerikaanse gedetineerden in de cel blijven vanwege een ransomware-aanval op hun accommodatie.
- stapte een hotelketen door een ransomware-aanval versneld en radicaal over van Windows op CloudReady (Chrome OS) van Google.
- oordeelde de Oostenrijkse privacytoezichthouder dat het gebruik van Google Analytics in strijd is met de AVG.
- wordt het gebruik van Google Analytics hierdoor mogelijk verboden in Nederland.
- mag een bedrijf niet zomaar foto’s van medewerkers online zetten.
- vergoedt de bank geen geld dat je zelf naar een oplichter overmaakt.
- is online identificatie bij een bank nog niet zo gemakkelijk - voor beide partijen.
- kun je het 2G-netwerk op je mobieltje het beste uitschakelen (als dat op jouw toestel mogelijk is).
Geen opmerkingen:
Een reactie posten