Categorie: Security
Auteur: Sally-Ann van Nuland, Edwin van Wijngaarden

Één hoofdletter, één cijfer en één leesteken, toch?

Bijna alles dat we doen en registreren is digitaal. Belastingaangifte, bankieren, een afspraak maken bij de gemeente, het boeken van een vakantie of simpelweg het bestellen van een nieuwe tv. Voor al het voorgaande is er een account nodig en bij dit account kom je dan ook in een omgeving met persoonsgerelateerde data terecht. Het euvel van veel mensen is het digitaal bewijzen dat ze zijn, wie ze zijn. Bij al deze accounts is het continue inloggen, met verschillende usernames, e-mailadressen en natuurlijk de verschillende wachtwoorden, soms erg frustrerend.    

Kent u het? De melding: Gebruik minstens één hoofdletter, één cijfer en één leesteken, bij het aanmaken van een wachtwoord. Komt vast bekend voor, maar waar komt deze bepaling vandaan?

Afgelopen week kwam nu.nl met het volgende artikel: Bedenker van strenge wachtwoordeisen heeft spijt. Binnen het artikel wordt Bill Burr genoemd als bedenker van de regels rondom wachtwoorden. Anno 2003 stelde Bill Burr voor het National Institute of Standards and Technology (NIST) een advies op. Hij schreef het rapport: “NIST Special Publication 800-63. Appendix A.”  Hierin riep hij mensen op om veel getallen en speciale tekens te gebruiken in wachtwoorden. Verder adviseerde hij om wachtwoorden regelmatig te veranderen.

Veel organisaties, zowel overheidsinstellingen, als bedrijven, volgden zijn advies op. Echter blijkt nu dat er een keerzijde is aan zijn advies. De wachtwoordeisen resulteerden in creatieve oplossingen die uiteindelijk juist gemakkelijk te raden waren zoals initialen in combinatie met geboortedata of straatnaam, huisnummer met een uitroepteken. Wanneer het wachtwoord gewijzigd moest worden gebeurde dit vaak minimaal door één cijfer of hoofdletter te wijzigen in het voorgaande wachtwoord.
 

‘Volgens experts is het beter om een lang, maar makkelijk te onthouden wachtwoord te gebruiken, dan een korter en ingewikkelder wachtwoord. Een wachtwoord dat bestaat uit vier willekeurige woorden achter elkaar is bijvoorbeeld moeilijk te kraken.’ – nu.nl

Toch lijkt het erop dat dit ‘nieuwe’ advies niet zomaar geïmplementeerd gaat worden. De visie van Bill Burr is namelijk ingebakken in veel systemen. De wens van onze klanten is tevens nog om gebruik te maken van meerdere tekens in één password. In SAP systemen dus ook. Het is vaak verplicht om gebruik te maken van de speciale tekens, cijfers, hoofd- en kleine letters. 

Het rapport van Burr betreft beveiliging, is nog steeds te vinden in het archief van de NIST. Echter wordt er gewezen op wijzigingen die door de tijd heen zijn ontstaan. Zo zijn er steeds meer opties om beveiliging nog meer persoonsgetrouw te maken. Denk aan de optie om verificatiecodes te verzenden via SMS.

Naast dat men als individu verantwoordelijk is voor de veiligheid van persoonsgebonden gegevens, is het bedrijf of de organisatie in kwestie ook verantwoordelijk. Als het wachtwoord te achterhalen is heeft het geen zin om hier hogere wiskunde van te maken. We horen namelijk steeds vaker dat hackers persoonlijke data hebben weten te bemachtigen. 

Gelukkig worden er steeds strengere regels en eisen gesteld.(Lees meer: Algemene Verordening Gegevensbescherming) Meer en meer data vallen onder de privacy wet, dus meer en meer data dienen beschermd te worden. Een van de nieuwe regels is dat het lekken van data binnen 72 uur transparant dient te zijn voor de toezichthouder en wanneer er risico’s zijn dient het vermeld te worden aan betrokkenen. (Bron: ICTRecht)

Verder dient er een register bijgehouden te worden van de volgende punten:

• contactgegevens
• de doeleinden van de gegevensverwerking
• een beschrijving van de categorieën van betrokkenen
• de ontvangers van de gegevens
• een beschrijving van de beveiligingsmaatregelen
• de beoogde bewaartermijnen

Het registreren is echter niet verplicht voor organisaties met minder dan 250 medewerkers. Met uitzondering van het stelselmatig verwerken van (bijzondere) persoonsgegevens of wanneer de verwerking een risico voor de betrokkenen inhoudt.

Ook al heeft het beveiligen van datagegevens veel technische valkuilen, een conclusie is duidelijk. Zowel organisaties als betrokkenen kunnen verantwoordelijk zijn voor het beveiligen van gegevens. Een mooi voorbeeld om mee af te sluiten is het volgende bericht:

“De omvormers van veel zonnepanelen in Nederland zouden slecht zijn beveiligd. Het gaat om omvormers van marktleider SMA. Gebruikers worden niet gevraagd om het standaardwachtwoord te wijzigen, waardoor een hacker vaak makkelijk kan inloggen.”- nu.nl 


Twee valkuilen: De gebruiker behoudt het standaard wachtwoord en de organisatie heeft daarin niet de verantwoordelijkheid genomen om nieuwe wachtwoorden te vereisen. Gemakkelijk te kraken dus en een vorm van beveiliging die eigenlijk net zo goed achter wegen gelaten had kunnen worden op deze manier. 

Graag meer advies over de veiligheid van gegevens binnen uw datasystemen? Neem contact met ons op.

Graag meer advies over Security?

Vul uw e-mailadres in en Oliver IT neemt zo spoedig mogelijk contact met u op!

Gelukt! We nemen spoedig contact met u op!
Ioana Kanda Consultant
Ioana Kanda