 |
| Afbeelding: Unsplash |
Als
ik vraag: “Wat is je wachtwoord?”, dan zeg jij: [je krijgt een halve seconde
bedenktijd]. Als ik het op deze manier vraag, dan komt iedereen, naar ik mag
hopen ruim binnen de bedenktijd, tot het enig mogelijke antwoord: “Dat zeg ik
niet.” En toch landden deze week een paar voorbeelden op mijn bureau die mijn
nekharen rechtop deden staan.
In
het eerste geval startte een collega een chat met de helpdesk omdat hij niet in
een bepaald systeem kon inloggen. De helpdeskmedewerker vroeg:
Welk wachtwoord gebruik je?
Windows of mainframe?
De
hulpzoekende antwoordde:
iloveyou246
Waarop
de helpdeskmedewerker zich verslikte en (netjes) foeterde dat er geen
wachtwoorden mogen worden gedeeld. De ander probeerde het nog met “ik deel geen
wachtwoorden”, maar daar trapte de helpdesker natuurlijk niet in. De vrager
reageerde nog met: “Ja maar je vraagt aan mij wat is je wachtwoord. Ik geef dit
door zodat je mijn probleem kunt oplossen.”
Hoe
kon het zo misgaan? Onder welke steen heb je gelegen als je nu nog niet weet
dat een helpdesk nooit om je wachtwoord vraagt? En – een stapje verder dan
bovenstaand relaas – dat als iemand je belt en zegt dat hij van de helpdesk is
en jouw wachtwoord nodig heeft om iets te checken, deze persoon met honderd
procent zekerheid niet van de helpdesk is, maar iemand met kwade bedoelingen?
Je wachtwoord is van jou van jou alleen, basta!
Toegegeven,
de vraagstelling van de helpdesk was ook niet helemaal zuiver. Door de vraag
over twee regels te spreiden, zou je de eerste regel kúnnen interpreteren als
vraag naar het wachtwoord. De helpdesk gaat nu kijken hoe ze dit kunnen
verbeteren.
Het
tweede geval ontlokte mij in eerste instantie een wat ongelovige glimlach, die
helaas toch weer moest worden gevolgd door verontwaardiging. Deze collega
schreef naar de helpdesk:
Bij inloggen op mijn PC wordt mijn gezicht (na
vakantie) niet herkend en mijn code niet geaccepteerd.
Graag mijn gezicht weer opvoeren en pincode 375484
opvoeren.
Los
van de vele human interest-vragen die de eerste regel oproept, spreekt
hier een verbluffende argeloosheid uit. Om te beginnen kan dit helemaal niet –
de gebruiker moet dat zelf doen (en dat kan uiteraard pas als hij een weg heeft
gevonden om in te loggen; uiteraard kan de helpdesk hem de juiste weg wijzen).
En dat je je pincode of wachtwoord deelt met een vreemde, dat blijft toch wel
heel bijzonder.
Ik
leg het nog maar eens een keertje uit voor wie zich afvraagt waar ik mij zo
over opwind. Iemand die jouw wachtwoord of pincode heeft, kan inloggen alsof
hij jou is. Wat dan volgt kan grofweg variëren van een ludiek mailtje in de
trant van “morgen taart voor iedereen” tot het opzoeken van gegevens en die
doorspelen aan criminelen. En bij wie denk je dat de opsporingsdiensten komen
aankloppen als onderzocht wordt wie er gelekt heeft? Juist ja. En klets je daar
dan maar eens uit. Ik bedoel maar: het is echt in je eigen belang dat je wachtwoorden
strikt voor jezelf houdt. En natuurlijk is het ook in het belang van de
organisatie, die ‘herleidbaarheid van handelen’ hoog in het vaandel heeft
staan. Je wilt altijd kunnen achterhalen wie wat heeft gedaan. Maar je wilt het
vooral kwaadwillenden niet te gemakkelijk maken. Dat kan belangrijker zijn dan
je kunt vermoeden.
En in de grote boze buitenwereld …
- heeft hier misschien ook iemand een wachtwoord gedeeld.
- het een wachtwoord-Excel op GitHub ook al geen goed idee.
- hoeft digitale autonomie niet zo moeilijk te zijn.
- maak je hopelijk geen gebruik van First VPN (spoiler: werkt niet meer).
- is Defensie nu wél alert op trackers.
- zijn quantumcomputers belangrijk voor informatiebeveiliging. Dit artikel vertelt je wat je erover moet weten.
- vraag ik me af hoe je open source software kunt stelen.
- blijft ShinyHunters slachtoffers maken.
- begint typosquatting aan een tweede leven.
Geen opmerkingen:
Een reactie posten