Wachtwoordgedrag werknemers zeer risicovol

Werknemers en systeemfouten zijn de voornaamste oorzaken dat er datalekken plaatsvinden, zo beweert het Ponemon Instituut…Daarbij worden het niet regelmatig wijzigen van wachtwoorden, het hergebruik van gebruikersnamen en wachtwoorden en het onbeheerd achterlaten van de computer als het meest risicovolle gedrag omschreven (bron).

We kunnen natuurlijk naar de medewerkers blijven wijzen en we kunnen ze de zwakste schakel blijven noemen, maar geef ze eens ongelijk. Welk mens kan er 10 inlognamen met 10 verschillende wachtwoorden (bestaande uit cijfers, letters en leestekens) onthouden? Dan resten er voor de medewerkers een aantal opties:

  1. Men schrijft de inlognamen en wachtwoorden op
  2. Men hergebruikt de inlognamen en wachtwoorden
  3. Men gebruikt voor ieder systeem een andere inlognaam/wachtwoord combinatie en moet ieder dag de helpdesk bellen

Inmiddels zijn veel bedrijven al serieus bezig met single sign on en bij de een lukt dat beter dan bij de ander. Maar het is in ieder geval een stap vooruit. We blijven ons als bedrijf echter verbazen over het feit dat de medewerker zijn inlognaam/wachtwoord maar niet lijkt te kunnen onthouden. Wat we daarbij echter vergeten is dat die medewerker zeer waarschijnlijk nog vele andere inlognamen en wachtwoorden te onthouden heeft die we als bedrijf niet op het netvlies hebben.

Naast de zakelijke werkplek (waar we al snel 5 of meer inlognamen hebben) heeft de medewerker waarschijnlijk ook nog wel een eigen emailadres (met inlognaam en wachtwoord), misschien heeft hij nog een LinkedIn account (met inlognaam en wachtwoord). Zit de medewerker niet toevallig op Facebook en Hyves (bieden met hun eigen inlognaam en wachtwoord) en Twittert hij niet zo af en toe (met inlognaam en wachtwoord).

Oh wacht, daar komt een aanslag van het Energiebedrijf. Of we even de meterstanden digitaal in willen vullen (met inlognaam en wachtwoord). De Belastingaangifte hebben we gelukkig net achter de rug dus kunnen we even buiten beschouwing laten. Oh ja, UPC (of Ziggo of een van de andere partijen) heeft gebeld, de nieuwe factuur staat online (met inlognaam en wachtwoord). Nou ja, inmiddels snap je de strekking van het verhaal.

Maar naast accounts met een inlognaam en wachtwoord moeten we ons ook nog identificeren bij de bank (met een pincode) en is je telefoon ook nog beveiligd (met een pincode). Heb je meerdere bankrekeningen en/of telefoons dan heb je natuurlijk ook meerdere pincodes. Maar goed, ook hier begrijp je de strekking van het verhaal.

Je moet inmiddels wel een hoogbegaafd iemand met een fotografisch geheugen zijn als je echt voor ieder systeem een aparte inlognaam, wachtwoord of pincode wilt bedenken en onthouden. Voor een enkeling is dat misschien weggelegd, maar voor het merendeel zulle we toch terug vallen op optie 1 of 2 en eerlijk gezegd kan ik het je ook niet echt kwalijk nemen.

Hoe politiediensten de iPhone pincode kraken

Tegenwoordig heeft natuurlijk iedereen een pincode op zijn of haar smartphone. Er staan teveel gegevens in om dat niet te hebben. Lekker alles achter die 4 cijfertjes en veilig zijn we. Toch?

Niets is minder waar: De toegangscode van iPhone en Android smartphones biedt nauwelijks bescherming tegen opsporingsdiensten met de juiste tools. Het Zweedse bedrijf Micro Systemation levert het programma XRY waarmee justitie de informatie van smartphones kan leegtrekken. De tool kan razendsnel iOS of Android passcodes kraken, de gegevens van de telefoon naar een computer kopiëren en informatie over de gebruiker, zoals GPS-locatie, bestanden, gesprekslogbestanden, sms-berichten en zelfs toetsaanslagen weergeven.


(het filmpje lijkt inmiddels van internet verdwenen…wie hem nog kan vinden kan me de nieuwe link sturen)

Een geruststellend idee is dat het bedrijf de software alleen levert aan politiediensten (jaja, met geld is veel te koop). Dat scheelt want de politie zal een dergelijke tool niet zomaar inzetten. Dan heb je waarschijnlijk iets op je kerfstok. Hoewel er best gevallen te bedenken zijn dat je ook niet wilt dat de politie bij de informatie kan, valt dat voor de meeste mensen nog te overzien.

Maar het duurt natuurlijk niet lang (als het er al niet is) dat dergelijke tools ook beschikbaar komen voor anderen. Hop, even de telefoon door de software trekken en open en bloot ligt je informatie. Of nee, even de telefoon door die software…de telefoon leeg gooien en op de zwarte markt weer verkopen.

Allemaal leuk en aardig, maar wat kun je als gebruiker hier nu mee. Is het slot op je voordeur niet helemaal veilig meer dan plaats je er gewoon nog een slot bij. Grote jongen die binnen komt. Op je telefoon is dat een ander verhaal. Natuurlijk zijn er wel tools beschikbaar en natuurlijk kun je je telefoon versleutelen, maar hoe gebruiksvriendelijk is hij dan nog?

De veiligste oplossing is misschien nog wel geen vertrouwelijke informatie (of compromitterende foto’s) op je telefoon zetten. Daarmee kun je al wat ellende voorkomen. Natuurlijk kunnen ze hem dan nog steeds voor € 25 verkopen, maar dan in ieder geval zonder jouw informatie (die misschien wel meer waard is dan de economische waarde van je telefoon).

Toegangsbeveiliging

De titel zegt het al: toegangsbeveiliging. Nu zijn er hele boeken te schrijven over toegangsbeveiliging. Dat is hier niet het doel. Het is hier slechts een van de vragen die we ons stellen in het groter geheel. We vliegen er dus wat hoog overheen, maar kunnen er natuurlijk altijd op inzoomen als we dat willen.

De vraag is daarom:
Is er een door het management opgesteld voorschrift omtrent de toegang tot (toegangsbeveiliging van) de terreinen en/of gebouwen?

Bij toegangsbeveiliging denken we natuurlijk direct aan de toegangspasjes en de poortjes in de hal van ons kantoor. Inderdaad middelen die we toe kunnen passen, maar pas nadat we de principes op het gebied van toegangsbeveiliging hebben bepaald. Voordat we naar allerlei maatregelen grijpen moeten we dus wat beleidsmatige keuzes maken.

Willen we wel aan toegangsbeveiliging doen? En zo ja hoe zwaar moet die zijn? En welke middelen overwegen we daarvoor? Laten we bij het begin beginnen: wat is ons doel met de toegangsbeveiliging? Willen we voorkomen dat ongeautoriseerde personeel makkelijk naar binnen kan? Willen we voorkomen dat zij informatie van ons onder ogen krijgen? Willen we voorkomen dat ze spullen van ons stelen? Waarschijnlijk een combinatie van voorgaande vragen.

Ook hier geldt weer dat toegangsbeveiliging situationeel afhankelijk is. Hebben we een winkel dan willen we dat de klanten zo makkelijk mogelijk naar binnen kunnen…maar in ons magazijn willen we ze liever niet hebben. Hebben we een kantoorgebouw dan willen we dat bezoekers zich aanmelden bij de receptie en dat ze begeleid worden in ons gebouw. Zijn ze eenmaal in ons gebouw dan willen we niet dat ze zomaar in onze serverruimte kunnen. Allemaal niet zo bijzonder maar wel aspecten waar we over na moeten denken en waar we standpunten over in moeten nemen voordat we tot de aanschaf van toegangsbeveiligingsmaatregelen over kunnen gaan.

Hebben we eenmaal onze principes, ons beleid, duidelijk dan zijn er nog allerlei vormen van toegangsbeveiliging. Zetten we 24 uur per dag een bewaker voor de deur die iedereen controleert? Maken we gebruik van toegangspasjes en zo ja moeten die dan wel of niet een foto bevatten? Combineren we die toegangspasjes ook nog met een pincode of gaan we toch liever voor een irisscan of aderdetectie (ik zal je niet vermoeien met de technische details, maar je bent natuurlijk vrij om te Googlen). Kortom: er zijn genoeg keuzes te maken als we het hebben over de daadwerkelijke maatregelen. Naast de hier bovengenoemde zijn er natuurlijk nog veel meer.

Maar goed, onze principes zijn duidelijk, we hebben keuzes gemaakt over de maatregelen die we nemen. Nu moeten we nog zorgen dat de juiste personen de juiste autorisaties krijgen en dat we periodiek bekijken of iedereen nog wel bij al die ruimtes moet kunnen.

In de praktijk kun je toegangsbeveiliging wel vergelijken met licht. Het is verstandig om een lichtplan te maken voordat je thuis gaat verbouwen. Zo weet je welk lichtpunt waar moet komen zodat je overal over het gewenste licht kunt beschikken. Datzelfde geldt natuurlijk voor toegangsbeveiliging. Het is wijs om vooraf een toegangsbeveiligingsplan op te stellen voordat we in allerlei elektronische maatregelen verzanden.

Toegangsbeveiliging, er is enorm veel over te schrijven, maar voor hier en nu gaat dat te ver. We zijn er hoog overheen gevlogen en raden je zeker aan je er meer in te verdiepen als het een van de vragen is die jij moet beantwoorden.