Inloggen is allang geen noodzakelijk kwaad meer; het is logisch. Wachtwoorden moeten dan ook krachtig zijn, maar menselijk gezien weer niet te moeilijk; anders krijg je gele briefjes aan de monitor.
Geen beveiliging is erg, slechte beveiliging erger. Immers, de schijn van beveiliging zorgt voor een valse ‘rust’. Systeembeheer, maar ook nieuwe regels en wetten vereisen goede beveiliging. Het aloude wachtwoord ligt al enige tijd onder vuur. Een enigszins moderne infrastructuur vereist letters én cijfers, plus vernieuwing om de zoveel tijd. Maar mensen willen het makkelijk houden. Wat vaak neerkomt op niet veilig.
Zo bleek op het Computable security-seminar eind vorige maand al dat wachtwoorden nog steeds een heikele kwestie zijn. Middagvoorzitter Paul Overbeek, it-auditor van KPMG Risk Management, vroeg de aanwezige it’ers of zij een wachtwoordensystematiek hebben. Vele handen gingen omhoog. Zo’n ezelsbruggetje, zoals maandnummer plus achternaam, is natuurlijk dodelijk voor de beveiliging.
Eén wachtwoord
Vervolgens vroeg Overbeek of mensen één wachtwoord gebruiken voor meerdere systemen, zoals websites enerzijds en interne, bedrijfskritische applicaties anderzijds. Ruim de helft van de aanwezige informatiebeveiligers stak de hand op. Dit is zeker niet uitzonderlijk. Mensen worstelen namelijk al met pc-aanmelding (werk en thuis), applicatie-logins, pincodes en veel meer ‘wachtwoorden’.
Ook gebeurt dit niet alleen met serieuze toepassingen. Onlangs hebben studenten van de TU Delft de intranetapplicatie ‘mop van de dag’ opgezet, inclusief een inlogsysteem om de moppen te personaliseren. Universiteitsmedewerkers bleken dezelfde wachtwoorden voor deze intranetsite te gebruiken als voor interne systemen, zoals de financiële administratie. Digitale interne inbraak kan dus makkelijk via andere, ook externe systemen mogelijk worden gemaakt.
