Sinds de jaren zestig ‘veroverden’ wachtwoorden het it-landschap. Gaandeweg is het consumptief it-gebruik de maatstaf geworden voor veel applicaties en apparatuur. In die zin is het zorgwekkend dat er nog op een primitieve manier met wachtwoorden wordt omgesprongen. Want als veel eindgebruikers ergens een hekel aan hebben, dan zijn het wachtwoorden met hun complexiteit en eis om deze frequent te wijzigen.
Een mens kan er een beperkt aantal onthouden, wanneer ze aan persoonlijke elementen zijn gerelateerd. Maar die wachtwoorden moeten we eigenlijk niet willen; ze zijn snel door hackers te achterhalen. Met geavanceerde technieken voeren ze duizenden wachtwoorden per seconde in. Inmiddels werkt een gemiddelde computergebruiker met veel meer verschillende toepassingen en dus ook met veel meer wachtwoorden.
We maken accounts aan voor applicaties op ons werk en voor een brede reeks toepassingen in de privésfeer. Tegenwoordig spreken we over meer dan 100 per individu. We zien in de praktijk zelfs medewerkers die werken met 300 tot 400 wachtwoorden om toegang te krijgen tot de applicaties en portals. Die laten zich niet meer allemaal onthouden.
Wachtwoordkluis
Inmiddels kunnen we wachtwoorden automatisch genereren en veilig opslaan met één hoofdwachtwoord. Zo’n passwordmanager of wachtwoordkluis wordt door diverse leveranciers geleverd met elk verschillende eigenschappen. De kosten vallen in het niet vergeleken met de schade bij een eventuele hack. Wie zo’n kluisvoorziening aanschaft, moet nagaan welke oplossing past binnen de organisatie. In de cloud of op de lokale harde schijf?
De discussies over de voor- en nadelen van het opslaan van credentials zijn talrijk; maar honderd procent veiligheid is niet te garanderen. Je kunt een zo hoog mogelijk beveiligingsniveau nastreven en toch de gebruiksvriendelijkheid waarborgen, bijvoorbeeld met single sign on (sso) of multi-factorauthenticatie (mfa). Een gebruiker logt één keer in om vervolgens automatisch toegang te krijgen tot alle gerelateerde applicaties of de gebruiker moet tijdens de inlogprocedure zich identificeren door een code via de mobiele telefoon door te geven.
Gedragsverandering
Het invoeren van een wachtwoorden-policy is niet moeilijk. Begin met het vaststellen van het aantal tekens. De lengte bepaalt de moeilijkheidsgraad om ze te achterhalen. Binnen twee seconden is een wachtwoord van acht tekens te kraken. Over twaalf tekens doen we een paar honderd jaar. Een wachtwoord van twintig tekens laat zich pas na duizend jaar ontfutselen. Advies: vorm een wachtwoord uit losse woorden in zinsvorm zoals: ‘bruinbrood is niet wit’. Of laat de wachtwoord-manager een voorstel doen.
Hoelang handhaven we een wachtwoord? Hoeveel inlogpogingen staan we toe? Na vier mislukte pogingen kappen we de inlogprocedure af. Bovendien krijgt de gebruiker niet langer toegang met zwakke wachtwoorden. Vraag de gebruiker om een nieuw, sterker wachtwoord te kiezen.
Andere functie, andere toegang
Autorisatie zorgt ervoor dat niet iedereen toegang heeft tot de data van de boekhouding of het hr-domein. Bepalend zijn de functieprofielen in relatie tot de toegang tot applicaties. Het opstellen daarvan is voorbehouden aan de hr-afdeling. Voor iemand die in dienst treedt, moeten in een digitale werkomgeving allemaal accounts worden aangemaakt.
Gaat iemand een andere rol vervullen binnen het bedrijf, dan verandert ook de toegangsprocedure tot applicaties. Verlaat iemand de dienstbetrekking, dan worden de accounts, identificatie- en autorisatiecodes verwijderd. De it-afdeling voert uit, de hr-afdeling ziet erop toe. De wachtwoordprocedures zijn dan ook onderdeel van het hr-beleid.
’Mens’, ’techniek’ en ’beleid’ leggen allemaal gewicht in de schaal bij de transformatie naar veilige, digitale werkprocessen. Het management heeft hierbij een voorbeeldfunctie. Zij zijn primair doelwit van cybercriminelen en bovendien hoofdverantwoordelijk wanneer essentiële bedrijfsdata via ransomware wordt gegijzeld. Daar is veel geld mee gemoeid, terwijl bij het lekken van data van klanten, partners of het eigen personeel ook de Autoriteit Persoonsgegevens (AP) een flinke boete kan opleggen.
Recentelijk werd ACA IT-Solutions ingeschakeld om de beveiliging van drie netwerksystemen te beoordelen: een wifi-gebaseerd gastsysteem voor klanten, een wifi-gebaseerd systeem voor medewerkers en een bekabeld systeem voor de it-beheerders. Een buitenstaander zou nooit toegang kunnen krijgen tot de hardware gebonden wifi-koppeling met de laptops van de interne medewerkers. Een simpele zoekopdracht op een via het openbare internet gepubliceerde lijst van gelekte wachtwoorden gaf ons wél toegang.
Geen browserwachtwoorden
Biometrische beveiliging lijkt met het oog op de toekomst het meest geëigende middel tegen ongeoorloofde toegang tot digitale voorzieningen. Maar hoe zit het dan bij wijzigingen en hergebruik van die apparatuur door anderen? Nog altijd vinden internetters het reuze gemakkelijk om hun wachtwoorden in de browser te laten opslaan. Alle, veel gebruikte browsersystemen bieden die optie ook nog steeds aan, terwijl het voor een aanvaller relatief makkelijk is om alle wachtwoorden uit de browser te stelen.
Wie streeft naar een verantwoord beveiligingsbeleid, legt de procedures, it-middelen en de communicatie richting medewerkers regelmatig onder de loep. Stel daar waar nodig bij. Een cybercrimineel zit tenslotte ook niet stil. Aan organisaties de taak om drempels op te werpen.