Beveiligingscamera’s makkelijk te hacken

Hadden we het gisteren nog over het cameraplan dat verplicht gesteld wordt voor kleine bedrijven als ze aanspraak willen maken op subsidie voor beveiligingsmaatregelen dan gaan we vandaag nog even door op het hacken van beveiligingscamera’s.

Organisaties laten veelal na hun bewakingscamera’s te beveiligen. Daardoor is het voor mensen met kwade bedoelingen vaak heel eenvoudig om de besturing over te nemen of beelden op te vragen
(bron).

Voordat je denkt dat de beveiligingscamera’s met allerlei zware, ingewikkelde, technische tools aangevallen worden, zetten we je gelijk weer met beide benen op de aarde.

In 70 procent van de gevallen laten de kopers van dergelijke bewakingscamera’s na om de standaard inlognamen en wachtwoorden te veranderen. Terwijl de camera’s in kwestie in de configuratie waarin ze geleverd worden, wel op afstand te bedienen zijn.

Of je het hacken wilt noemen of dat je deze term vloeken in de kerk vindt, doet niet terzake. Het gaat er natuurlijk om hoe simpel het is om op dergelijke camera’s in te loggen. Ook dit is niet nieuw natuurlijk want dat bestond met de eerste netwerkcamera’s ook al. En voordat we camera’s aan het netwerk gingen hangen was het risico ook al aanwezig in modems en routers.

Weet je nog? Je kreeg je eerste ADSL-router. Plug-and-Play. Makkelijker kon niet. Uit de doos, kabel erin, activeren en na een paar minuten begonnen de lampjes te branden en kon jij razendsnel internetten. Met een draadloze router werd het allemaal nog makkelijker en kon je gewoon met je laptop op schoot vanaf de bank het hele internet onveilig maken.

Na een paar jaar kwam er ineens WEP (jij had geen flauw idee waar het voor stond, maar met 1 vinkje was ook jouw verbinding beveiligd). Later moest je over op WPA omdat WEP blijkbaar niet zo veilig meer was. Jij een ander vinkje aangezet en veilig was je weer. Nou ja, zo kunnen we nog wel even doorgaan.

Maar het feit dat er nu meer draadloze verbindingen beveiligd zijn, komt niet zozeer omdat de gebruikers zich bewust zijn geworden van de risico’s. Nee, het komt omdat de fabrikanten een trucje bedachten waardoor jij je standaard wachtwoord moest wijzigen en waarbij er automatisch een beveiligde verbinding werd opgezet. Jaren geleden heb ik al eens gekeken in mijn eigen omgeving en stonden er nog vele verbindingen open. Waarschijnlijk heeft iedereen in mijn omgeving inmiddels een nieuwe router, want alle verbindingen zijn nu wel voorzien van een slotje.

Nu kunnen we proberen om de bedrijven die de camera’s aanschaffen duidelijk te maken dat ze wachtwoorden moeten wijzigen maar dat gaat toch niet lukken. Nee, als de fabrikanten hetzelfde trucje toe gaan passen als ze bij routers hebben gedaan dan zijn de camera’s over een aantal jaren ook allemaal net iets beter beveiligd.

Tot die tijd moet het cameraplan (zie gisteren) ons dan maar beveiligen en dat dat een wassen neus is weten we allemaal maar een veel beter alternatief zien we helaas nog niet.

Wachtwoorden kinderspel voor hackers

Hoe vaak heb jij de afgelopen weken je wachtwoord moeten wijzigen? Lastig maar je doet het omdat je nu eenmaal weet dat het erbij hoort. Als je je auto parkeert in de stad dan doe je hem ook op slot en als je ’s morgens wilt inloggen dan hoort daar een wachtwoord bij. Het hebben van wachtwoorden zit al zo in ons systeem gebakken dat we er mee kunnen leven. Dit in tegenstelling tot veel andere beveiligingsmaatregelen (die wel echt werken). Nee, die proberen we toch liever te omzeilen.

Jammer dat het zo werkt en een tip voor de mede-beveiligers in andere organisaties. Schaf de huidige wachtwoord-policy af, want het heeft geen zin meer.

Het gebruik van wachtwoorden als voornaamste beveiliging tegen ongewenste indringers is bijna net zo verouderd als het gebruik van een driecijferig fietsslot: je voorkomt er nog net mee dat iedereen zomaar met je fiets gaat rennen, maar met een paperclip en een vloeipapiertje krijgt iedere basisscholier hem open (bron).

Voordat alle enthousiaste beveiligers aan de slag gaan om de wachtwoord-policy aan te passen, is het misschien raadzaam om nog even aan te halen dat we natuurlijk niet zomaar zonder wachtwoorden kunnen en ik durf zelfs te beweren dat een vorm van wachtwoord voorlopig nog in gebruik zal blijven (ook pincodes reken ik trouwens voor het gemak even tot wachtwoorden).

“De waarheid is dat iedereen die nu nog waardevolle data probeert te beschermen, daarvoor minimaal multifactor authenticatie en/of aanvullende beveiligingsmaatregelen zal moeten treffen,” meent Peter Lindstrom, analist bij Spire Security. “Het wachtwoord alleen kent teveel zwakke plekken, waaronder de voor de hand liggende menselijke fouten.”

Waar het dus op neer komt is dat een wachtwoord alleen niet meer voldoende is. Er moet meer gebeuren. Er moet een combinatie zijn van:
– iets wat je weet (kennis)
– iets wat je bezit
– iets wat je bent (persoonlijke eigenschap)

Helaas maar waar voor alle beveiligers die zo blij zijn dat het wachtwoordbeleid binnen de organisatie lijkt te werken (met name omdat het technisch afgedwongen wordt en je er als medewerker maar mee te leven hebt). We zullen aan de slag moeten en we zullen al die organisaties die alleen nog maar van “kennis” (een wachtwoord) gebruik maken moeten overtuigen dat ze met een driecijferig fietsslot werken.

Nou, ik wens iedereen, die de taak krijgt toegewezen om het management te overtuigen, heel veel succes. Heb je een succesverhaal waardoor het jou wel gelukt is. Laat het ons dan weten, dan kunnen we die informatie delen en elkaar weer verder op weg helpen.

Nu ga ik snel mijn wachtwoorden wijzigen want ook ik maak me wel eens schuldig aan “de vloek van het herbruikbare wachtwoord”

Jaar gevangenisstraf wegens hacken Facebook-account

Het klinkt allemaal zo mooi, het hacken van een Facebook-account en waarschijnlijk denk je hierbij direct aan allerlei ingewikkelde technische aanvalsmethoden. Maar sta er eens bij stil hoeveel mensen gewoon proberen om in te loggen op het account van een ander. Misschien een ex-vriendje of vriendinnetje die uit verdriet of boosheid besluit om nog even snel het wachtwoord te wijzigen van het Facebook-account van de ander. Je zou het je zomaar voor kunnen stellen en ziet er misschien zelfs weinig kwaads in. Maar het is goed om er bij stil te staan dat ook dit tegenwoordig niet meer door de beugel kan.

Een 21-jarige Brit is tot 12 maanden gevangenisstraf veroordeeld wegens het hacken van een Facebook-account. Op 12 januari vorig jaar wist Gareth Crosskey op ongeautoriseerde wijze toegang tot het account van een ander te krijgen. De inbraak werd bij de FBI gemeld, die het spoor naar Groot-Brittannië traceerde. Vervolgens wist de Britse cyberpolitie Crosskey op te sporen (bron).

Nu blijkt uit bovenstaand bericht helemaal niet hoe Crosskey heeft ingebroken, dus het feit dat hij een wachtwoord van een ander wist is een pure aanname (en een aanname is geen feit, natuurlijk). Feit is wel dat er een jaar gevangenisstraf staat op deze hack. En dat is op zich best opmerkelijk omdat Facebook nu eenmaal Amerikaans is terwijl Crosskey een Engelsman is.

We klagen nog wel eens dat de wetgeving per land is, terwijl internet geen landsgrenzen kent. Blijkbaar is de wet ook aan het veranderen en kan iemand worden opgepakt op grond van zijn digitale overtredingen. Nu maar hopen dat niet iedereen direct de FBI inschakelt, want dan krijgen ze het nog druk.

Iedereen is dus gewaarschuwd en het mag misschien onschuldig lijken, maar inbreken op het account van een ander of het gebruiken van het wachtwoord van de ander zonder toestemming, kan je duur komen te staan.

“58% wil internetbankieren via vingerafdruk”

Hoe betrouwbaar de gegevens van dit onderzoek zijn, mag je zelf bepalen, maar blijkbaar speelt er nogal wat als het gaat om internetbankieren.

Ruim de helft van de Nederlanders (58%) wil internetbankieren via vingerafdruk of stemherkenning in plaats van een wachtwoord, aldus een aanbieder van biometrische oplossingen. De grote meerderheid (80%) van de 522 ondervraagde Nederlanders geeft aan zich zorgen te maken dat ze worden gedupeerd als hackers binnendringen in de computersystemen van zijn of haar bank (bron).

Prima natuurlijk dat een aanbieder van biometrische oplossingen met dit soort gegevens naar buiten komt. Als de markt er niet is, kun je altijd nog proberen hem zelf te creëren. Geef ze eens ongelijk. Maar ik volg zelf niet helemaal dat het komt omdat 80% zich zorgen maakt als de hacker het computersysteem van de bank binnendringt. Het computersysteem van de bank, is toch echt het probleem van de bank.

Waar de Nederlander zich zorgen om moet maken is om de eigen pc. Zorg er maar voor dat je eigen pc een beetje veilig is en zorg er maar voor dat niet iedereen zomaar bij je wachtwoord kan. Dan zijn we al een stuk veiliger. Maar wacht even, het merendeel van de banken maakt gebruik van identifiers (of hoe alle banken ze dan ook mogen noemen). Daar komt geen wachtwoord aan te pas.

Ehm, volgens mij begint het bericht steeds meer te rammelen, maar goed. Daarnaast moeten we natuurlijk nog wel even nadenken over onze privacy. Waar worden die vingerafdrukken dan opgeslagen en wat kan ik in de nabije toekomst nog meer met een vingerafdruk?

Nee, ik hou het voorlopig toch maar bij een wachtwoord. Die is nu eenmaal makkelijker te wijzigen dan je vingerafdruk als je een keer gehackt bent.

Utrechts ziekenhuis plakt wachtwoord op beeldscherm

Bij informatiebeveiliging denken we nog veel aan allerlei technische maatregelen om ons netwerk goed beveiligd te houden. En, eerlijk is eerlijk: die technische maatregelen zijn vaak al ingewikkeld genoeg. Maar we vergeten nog wel eens dat deze maatregelen alleen werken als ook de organisatorische maatregelen erbij aansluiten.

Leuk dat we een erg ingewikkeld wachtwoordsysteem hebben ingevoerd, maar als de gebruikers niet weten hoe daar mee om te gaan dan draagt het erg weinig bij aan de beveiliging.

De inloggegevens van de computers voor spoedeisende hulp van het UMC Utrecht waren vorige week op televisie te zien. Tijdens een uitzending van het EO-programma Ingang Oost was te zien hoe gebruikersnaam en wachtwoord op het beeldscherm van één van de computers was geplakt (bron).

Nu kunnen we natuurlijk eenvoudig stellen dat de medewerkers zich aan het beleid moeten houden (en ik mag hopen dat er ergens in het beleid of de richtlijnen staat dat het wachtwoord geheim moet worden gehouden), maar dat zou te makkelijk zijn. Misschien vind je het logisch dat mensen een inlognaam en wachtwoord niet op de pc plakken. En ja, als je inderdaad gebruik maakt van je eigen inlognaam en wachtwoord dan zou je dat moeten kunnen onthouden.

Maar denk je eens in. Je staat inderdaad op de spoedeisende hulp van een ziekenhuis. Een patiënt wordt binnen gebracht en jij moet snel inloggen. Grote kans dat je daar niet beschikt over een eigen inlognaam en wachtwoord (ja ja, dat zou wel moeten, maar laten we het ook praktisch bekijken, het gebeurt gewoon niet). Als je het wachtwoord niet weet dan moet je de helpdesk bellen voor een password reset.

Zie je het voor je? Iemand in levensgevaar en jij ben als 4de aan de beurt bij de helpdesk (als je mazzel hebt, want anders is de helpdesk na 17.00 uur gewoon gesloten en zoek je het zelf maar uit). Nee, we kunnen natuurlijk onze kop in het zand blijven steken en we kunnen mooi in ons beleid schrijven dat iedereen een eigen inlognaam en wachtwoord heeft dat hij of zij geheim moet houden, maar zo werkt het in de praktijk niet voor alle functies.

Wat dan wel weer erg is, is het feit dat het hier om een uitzending van een jaar geleden ging. Het ziekenhuis loopt dus al ruim een jaar dit risico (sterker nog: waarschijnlijk lopen ze dit risico al jaren). Grote kans is dat ze nu vanuit het beleid de maatregelen gaan aanscherpen: het briefje wordt verwijderd en de mensen moeten weer gewoon met hun eigen inlognaam en wachtwoord inloggen.

Inmiddels weten we dat dat dus niet zal gaan werken en is het bijna wachten op het eerste echte slachtoffer. Nee, wil het ziekenhuis dit echt goed doen, dan gaan ze op zoek naar een andere manier van inloggen. Een manier die voor de medewerkers van de spoedeisende hulp ook werkt. Doen ze dat, dan begrijpen ze dat informatiebeveiliging ondersteunend is aan de dagelijkse gang van zaken. Doen ze dat niet, dan steken ze nog steeds hun kop in het zand en is het wachten op een volgend risico.

Wachtwoordgedrag werknemers zeer risicovol

Werknemers en systeemfouten zijn de voornaamste oorzaken dat er datalekken plaatsvinden, zo beweert het Ponemon Instituut…Daarbij worden het niet regelmatig wijzigen van wachtwoorden, het hergebruik van gebruikersnamen en wachtwoorden en het onbeheerd achterlaten van de computer als het meest risicovolle gedrag omschreven (bron).

We kunnen natuurlijk naar de medewerkers blijven wijzen en we kunnen ze de zwakste schakel blijven noemen, maar geef ze eens ongelijk. Welk mens kan er 10 inlognamen met 10 verschillende wachtwoorden (bestaande uit cijfers, letters en leestekens) onthouden? Dan resten er voor de medewerkers een aantal opties:

  1. Men schrijft de inlognamen en wachtwoorden op
  2. Men hergebruikt de inlognamen en wachtwoorden
  3. Men gebruikt voor ieder systeem een andere inlognaam/wachtwoord combinatie en moet ieder dag de helpdesk bellen

Inmiddels zijn veel bedrijven al serieus bezig met single sign on en bij de een lukt dat beter dan bij de ander. Maar het is in ieder geval een stap vooruit. We blijven ons als bedrijf echter verbazen over het feit dat de medewerker zijn inlognaam/wachtwoord maar niet lijkt te kunnen onthouden. Wat we daarbij echter vergeten is dat die medewerker zeer waarschijnlijk nog vele andere inlognamen en wachtwoorden te onthouden heeft die we als bedrijf niet op het netvlies hebben.

Naast de zakelijke werkplek (waar we al snel 5 of meer inlognamen hebben) heeft de medewerker waarschijnlijk ook nog wel een eigen emailadres (met inlognaam en wachtwoord), misschien heeft hij nog een LinkedIn account (met inlognaam en wachtwoord). Zit de medewerker niet toevallig op Facebook en Hyves (bieden met hun eigen inlognaam en wachtwoord) en Twittert hij niet zo af en toe (met inlognaam en wachtwoord).

Oh wacht, daar komt een aanslag van het Energiebedrijf. Of we even de meterstanden digitaal in willen vullen (met inlognaam en wachtwoord). De Belastingaangifte hebben we gelukkig net achter de rug dus kunnen we even buiten beschouwing laten. Oh ja, UPC (of Ziggo of een van de andere partijen) heeft gebeld, de nieuwe factuur staat online (met inlognaam en wachtwoord). Nou ja, inmiddels snap je de strekking van het verhaal.

Maar naast accounts met een inlognaam en wachtwoord moeten we ons ook nog identificeren bij de bank (met een pincode) en is je telefoon ook nog beveiligd (met een pincode). Heb je meerdere bankrekeningen en/of telefoons dan heb je natuurlijk ook meerdere pincodes. Maar goed, ook hier begrijp je de strekking van het verhaal.

Je moet inmiddels wel een hoogbegaafd iemand met een fotografisch geheugen zijn als je echt voor ieder systeem een aparte inlognaam, wachtwoord of pincode wilt bedenken en onthouden. Voor een enkeling is dat misschien weggelegd, maar voor het merendeel zulle we toch terug vallen op optie 1 of 2 en eerlijk gezegd kan ik het je ook niet echt kwalijk nemen.

Werkgever eist Facebook-wachtwoord van sollicitanten

Amerikaanse overheidsinstellingen en universiteiten zouden het Facebook-wachtwoord van sollicitanten vragen om te zien wat die in hun vrije tijd uitspoken. Voorheen werden sollicitanten om hun wachtwoord en gebruikersnaam gevraagd, maar na een klacht van burgerrechtenbeweging ACLU stopte dit. Toch heeft het Department of Corrections van de staat Maryland een nieuwe manier gevonden. Sollicitanten worden tijdens de sollicitatie gevraagd om ter plekke hun wachtwoord in te voeren, zodat de personeelsmanager foto’s, krabbels en vrienden kan bekijken (bron).

Oké, werk en privé zijn soms steeds moeilijker te onderscheiden, maar een dergelijke maatregel gaat wel erg ver. Wat je in je vrije tijd doet, moet je toch echt zelf weten en natuurlijk moet je je een beetje gedragen, maar zolang je geen strafbare feiten pleegt en zolang je de naam van je werkgever niet negatief beïnvloedt, mag je doen en laten wat je wilt, toch?

Hoewel de organisatie het niet verplicht stelt om je wachtwoord in te voeren, doen veel mensen dat toch. Blijkbaar zitten ze allemaal te springen om werk. Maar de vraag is natuurlijk of je wel voor een dergelijke werkgever wilt werken (oké, als je echt zit te springen dan doe je het…maar in alle andere gevallen zou ik hem lekker aan me voorbij laten gaan).

Gelukkig vindt dit plaats in Amerika, maar ja, alles wat daar een trend wordt, waait vroeg of laat ook over naar Europa. Afwachten hoe lang dat duurt en kijken hoe nijpend de werkloosheid tegen die tijd is.

Wordt de volgende stap dat je ook je pinpas en pincode afgeeft aan je baas zodat hij kan controleren of je niet teveel rood staat? En of je ook even je patiëntendossier wilt overhandigen, je zou zomaar iets naars onder de leden kunnen hebben. Veiligheid en beveiliging prima en dat we daar soms privacy mee schenden is tot op zekere hoogte nog tot daar aan toe…maar je kunt ook te ver gaan.

Nederlanders niet goed beveiligd op internet

Het is ernstig gesteld met de online beveiliging in Nederland. Ondanks dat 83 procent van de Nederlanders een antivirusprogramma op zijn computer heeft geïnstalleerd, is dat slechts een deel van de oplossing van het probleem. Niet meer dan de helft van de Nederlanders kijkt naar de betrouwbaarheid van een website en slechts een kwart heeft voor iedere account of profiel op internet een apart wachtwoord (bron).

Natuurlijk kunnen we bij alle hacks de schuld blijven geven aan de bedrijven en ja, ze mogen, nee, sterker nog: ze moeten daar veel meer aan doen. Maar hebben we zelf, als consument ook niet een beetje schuld? Moeten we niet ook eens naar onszelf kijken en bedachtzaam zijn?

Mochten jouw gegevens via een gehackte site inderdaad uitlekken dan hoef je daar niet echt van wakker te liggen als je op die site een ander profiel hebt aangemaakt. Maar ja, gebruik je overal dezelfde inlognaam en eenzelfde wachtwoord dan wordt het verhaal natuurlijk al anders. Dan ben je inderdaad een stuk vatbaarder.

Ben je dus weer eens online aan het shoppen en moet je ergens een inlognaam en wachtwoord opgeven. Maak dan geen gebruik van de combinatie die je ook bijvoorbeeld gebruikt om bij je emails te kunnen. En voor diegene die het allemaal maar ingewikkeld vinden om voor iedere site een andere inlognaam en wachtwoord te bedenken, die kunnen het natuurlijk ook altijd nog combineren.

Bedenk een inlognaam en wachtwoord voor al die sites waar je wel eens winkelt. Wordt een van die sites gehackt dan beschikken ze inderdaad over die combinatie. En ja, dan kunnen ze misschien nagaan wat je allemaal online gekocht hebt. Maar bij je email kunnen ze niet en bestellen onder jouw naam wordt ook al een stuk lastiger omdat er toch een keer betaald moet worden.

Wat ik alleen maar wil zeggen, is dat we schuld echt niet alleen bij de websites neer kunnen leggen. Wijzelf hebben ook nog een verantwoordelijkheid. Als we die nu eerst eens nemen en daarna met wat wantrouwen het internet opgaan dan zijn we al een stuk veiliger. Wordt een website dan toch gehackt dan hoeven wij er niet echt wakker van te liggen. We hoeven dan alleen onze inlognaam en ons wachtwoord te wijzigen en kunnen weer vrolijk verder winkelen.

Een gewaarschuwd mens telt nog steeds voor twee. Voordat we wijzen naar de ander moeten we voor onszelf de vraag beantwoorden hoe we onszelf veilig houden op internet.

Beveiligingsincidenten

Als we beveiliging goed (genoeg) inrichten dan kunnen we er op vertrouwen dat we de risico’s voldoende hebben afgedekt. Preventief zijn we bezig om juist die activiteiten op te pakken die bijdragen aan de continuïteit van onze organisatie. Toch zullen we zien dat preventieve maatregelen alleen niet genoeg zijn, nee, we zullen ook detectie moeten inregelen voor het geval er toch iets onverwachts gebeurt. We moeten met onze repressieve en correctieve maatregelen daarop in kunnen spelen om zo snel mogelijk terug te gaan naar de “business as usual”.

De vraag die daarbij speelt is:
Is er vastgelegd wat verstaan wordt onder beveiligingsincidenten?

Vanuit de IT zijn we gewend om te werken met incidenten. Een verstoring van de applicatie melden we bij de helpdesk zodat we zo snel mogelijk weer aan het werk kunnen. Logisch en als we er echt serieus mee bezig zijn dan richten we het incident management proces in conform ITIL.

Daar moeten we vooral mee door blijven gaan, want dit is zeker een aspect dat bijdraagt aan de continuïteit van de organisatie. Toch moeten we ook na gaan denken over wat we exact verstaan onder een beveiligingsincident. Deze kan veel overeenkomsten vertonen met een incident (conform IT), maar kan wel degelijk op een andere wijze worden opgelost.

Om het niet te cryptisch te maken even een kort voorbeeld: stel je komt terug van vakantie en bent je wachtwoord vergeten. Je probeert 3x in te loggen en blokkeert helaas je account. Helpdesk bellen en na een paar minuten kun je gelukkig toch weer aan de slag. Een incident dat we op moeten lossen omdat je anders liever weer terug gaat naar je vakantieadres. Maar stel nu dat tijdens jouw afwezigheid een collega geprobeerd heeft om met jouw account in te loggen. Hij moest even in je mailbox zijn om een mailtje te lezen. Jij komt terug en kunt niet meer inloggen, terwijl je er zeker van bent dat je het juiste wachtwoord hebt gebruikt. Verstaan we dit nog onder een incident of hebben we het hier toch eerder over een beveiligingsincident?

Enerzijds is het dus niet altijd gemakkelijk om de juiste definitie te hanteren voor beveiligingsincidenten, maar anderzijds is het ook nog lastig om ze te detecteren. Hoe kan de medewerker van de helpdesk nu weten of het een incident is omdat jij je wachtwoord bent vergeten of dat het een beveiligingsincident is omdat een collega geprobeerd heeft in te loggen?

Lekker relevant zul je zeggen. Ik ben net terug van vakantie en wil (of moet) weer aan de slag. Toch is het voor de beveiligingsaanpak relevant. Misschien probeert die collega namelijk nog wel meer illegale activiteiten uit te voeren. Stel dat het was gelukt om in te loggen en dat hij namens jouw een mail had gestuurd aan de directeur die hij voor stommeling uit maakt dan zijn de gevolgen wel anders.

Vanuit beveiligingsoptiek willen we graag weten welke beveiligingsincidenten zich voordoen. Hier kunnen we namelijk onze aanpak op bijstellen. Doen we de juiste dingen en doen we de dingen nog juist? Het verschil tussen een incident en een beveiligingsincident kan hier het verschil in maken.

Online striptease voor sterke wachtwoorden

De meeste internetgebruikers kiezen zwakke wachtwoorden, reden voor een Zuid-Afrikaans bedrijf om sterke wachtwoorden met een striptease te belonen. “Naked Password” is een programma dat websites kunnen gebruiken om gebruikers een sterker wachtwoord te laten kiezen. Bij het invullen van een wachtwoord verschijnt er een dame, die naarmate het wachtwoord sterker wordt, meer kleding uittrekt (bron).

Voor dat jullie allemaal massaal de tool gaan gebruiken eerst even een waarschuwing: ik sta niet in voor de resultaten…niet voor de resultaten van het beeldje dat je te zien krijgt, maar zeker ook niet voor de eventuele gevolgen. Het zou zomaar kunnen zijn dat we over een aantal maanden lezen dat iedereen die de tool gebruikt heeft een virus heeft opgelopen…en geloof me: een SOA-test zal in dat geval niets uitwijzen.

Toch vind ik dit soort initiatieven te prijzen. En, nee, niet omdat het hier om een striptease gaat, maar omdat er creatief gedacht wordt over mogelijkheden om de wereld beter te beveiligen. Beveiliging blijft vaak exotisch, zwaar, technisch, moeilijk en ga zo maar even door. Een echt positief imago kleeft er nog niet aan, maar met dit soort initiatieven zou dat best eens kunnen veranderen.

En geef het maar toe, je hebt de site even bekeken en het uitgeprobeerd. Oké, het beeldje is inderdaad nog niet echt schokkend en kan veel beter. Het doet mij denken aan de tijd van de Commodore 64 (ik zie wat jongere mensen nu afhaken en vragend kijken, ja, dat moeten jullie dan maar even Googlen). Die goede oude tijd waarbij een balletje nog gewoon vierkant was en je nog je fantasie kon gebruiken (met dank aan Pong).

De mooiste beveiligingsoplossingen zijn die oplossingen die helemaal geen beveiligingsmaatregel zijn of lijken. Een mooie volzin, maat wat bedoel ik? Ik zal het met een concreet voorbeeld toelichten: een mooie oplossing vind ik persoonlijk altijd de bloemenbakken met geurende kleurige bloemen voor een bankgebouw. Een onverschillige bezoeker loopt er langs en ruikt de heerlijke geur van bloemen in de lente. Niet wetende dat die bloembak er eigenlijk staat om ramkraken te voorkomen (de criminelen weten dat overigens wel, bloemen houden van mensen, maar criminelen houden niet van bloemen). Twee vliegen in een klap: ramkraken worden voorkomen en de omgeving wordt opgefleurd.

Willen we beveiliging beter op de kaart zetten, dan moeten we leren “out-of-the-box” te denken en die oplossingen te verzinnen die de mensen blij stemt. Makkelijker gezegd dan gedaan, maar daar ligt wel de uitdaging.