Cabaretier Pieter Derks legt uit wat de betekenis van het woord wachtwoord is

Iedereen weet nu langzamerhand wel hoe belangrijk het is dat je niet voor iedere site hetzelfde wachtwoord gebruikt. Tegelijkertijd is dat ook bijzonder frustrerend.

Cabaretier Pieter Derks legt dat in zijn cabaretvoorstelling Zo Goed Als Nieuw uit 2014 heel mooi uit aan de hand van een persoonlijk verhaal over reizen met Ryanair.

Pieter Derks:”Ik zit wat wachtwoorden betreft behoorlijk aan mijn taks. Je moet minimaal wachtwoorden bedenken die niet te onthouden zijn.”

En wat doe je als je je wachtwoord niet meer weet? Dan maak je gebruik van wachtwoord herstel. Je vraagt de site om een mail te sturen met een nieuw wachtwoord of een link om een nieuw wachtwoord aan te maken. Je voert je mailadres in en wacht dan op het ‘belangrijke’ mailtje. “Ik begrijp waarom het een wachtwoord heet”, zegt Derks.

Regelmatig veranderen van wachtwoord levert meer risico dan voordeel op. Maar wat helpt dan wel?

In veel organisaties is het verplicht om regelmatig wachtwoorden te wijzigen.

Sommige ICT-afdelingen laten medewerkers om de 60 of 90 dagen een nieuw wachtwoord bedenken.

In het kader van de AVG lijkt dat logisch, maar uit onderzoek blijkt dat de nieuwe wachtwoorden wellicht juist voor meer risico zorgen.

Elke 60 of 90 dagen wachtwoord veranderen?

Elke 60 of 90 dagen knippert er na het inloggen een vriendelijk, doch dringend en irritant verzoek op het beeldscherm. Je moet het wachtwoord veranderen.

Bij veel mensen zorgt dat voor stress. Ze worden gek van alle wachtwoorden en pincodes die ze voor tal van dingen moeten onthouden.

Een wachtwoord wijzigen betekent bovendien vaak dat de instellingen op diverse apparaten tegelijkertijd moeten worden aangepast.

Stress! Zelfde wachtwoord op meerdere apparaten

Als het bijvoorbeeld om het wachtwoord voor je mailbox gaat moet dat niet alleen worden gewijzigd op de computer op de zaak, maar ook op je mobiele telefoon, je tablet, in Outlook thuis, in Microsoft-teams en andere gerelateerde toepassingen.

Als je al de gewijzigde gegevens niet tijdig op alle apparaten invoert komt het volgende stressmoment… Omdat de vergeten tablet op de achtergrond telkens met het oude, nu onjuiste wachtwoord, inlogt blokkeert de mailbox automatisch.

De eigenaar heeft niet in de gaten waarom. Staat er niet bij stil dat hij de tablet vergeten is.

Enige oplossing: weer een nieuw wachtwoord bedenken. Het hele circus begint opnieuw.

Het resultaat: geen veiligheidswinst

Verschillende wetenschappelijkers hebben onderzocht of de gedwongen reguliere wachtwoordwijzigingen bij bedrijven, overheden of universiteiten echt voordelen hebben.

In 2010 analyseerde de Universiteit van North Carolina in Chapel Hill de gegevens van meer dan 10.000 studenten en medewerkers die hun wachtwoorden regelmatig moesten wijzigen. Het resultaat: geen veiligheidswinst.

De meeste studenten en medewerkers veranderden hun wachtwoorden door na elke wijziging getallen toe te voegen en deze te verhogen of een kwartaal-ID toe te voegen.

Dat heeft weinig zin als het om veiligheid gaat.

Complex wiskundig onderzoeksmodel 

Informaticawetenschappers aan de Carleton University in Ottawa, Canada, hebben een complex wiskundig model ontwikkeld voor het kwantificeren van de winst op het gebied van beveiliging door middel van regelmatige wachtwoordwijzigingen.

Uitkomst: de voordelen zijn relatief en rechtvaardigen de extra inspanning niet.

Sterker nog, de wachtwoordwijzigingen zouden hackers zelfs kunnen helpen bij het ontwikkelen van algoritmen die het hacken van wachtwoorden van buitenaf gemakkelijker maken.

Het is zelfs mogelijk aan de hand van gestolen wachtwoorden toekomstige nieuwe wachtwoorden te voorspellen.

En in dat geval is het wijzigen van wachtwoorden absurd.

Datalekken en hackers

Wie de vele meldingen van datalekken de afgelopen tijd heeft gevolgd zal het zijn opgevallen dat de meeste grote hackeraanvallen niet gericht zijn op gewone bedrijven en persoonlijke accounts, maar op dienstverleners met miljoenen klantenaccounts, zoals Linkedin, Myspace, Adobe, Ebay, Yahoo en anderen.

Bedrijven die slordig een back-up van hun databases hadden gemaakt.

Alle studies bevestigen dat de dwang om wachtwoorden te veranderen regelmatig leidt tot een vermindering van de kwaliteit van het wachtwoord, omdat men op de hoogte is van de vergankelijkheid ervan.

Gebruik jij een moeilijk te onthouden wachtwoord?

Mensen bedenken geen slim ingewikkeld wachtwoord, maar een wachtwoord dat gemakkelijk onthouden kan worden.

Veel gebruikers kiezen wel een wachtwoord dat voldoet aan de eisen qua lengte en moeilijkheid, maar doen dat zo dat het voor hackers eenvoudig te kraken is.

Je herkent het vast zelf ook wel… Triviale wachtwoorden zoals “Ghjk098#” als een reeks letters op de middelste rij van het toetsenbord gevolgd door cijfers in omgekeerde volgorde.

Vergeet je niet zo snel. Makkelijk te visualiseren.

Cybercriminelen gebruiken intelligente hacktools

Hackers weten dat. Dit zijn de eerste combinaties die door de hacksotfware van cybercriminelen worden geprobeerd.

Zelfs het gegeven advies om zoveel mogelijk getallen, hashtags en andere speciale tekens te combineren is niet bestand tegen de slimme software die hackers gebruiken.

Uit wiskundig onderzoek blijkt dat een goed wachtwoord zeker geen namen, woorden of woordfragmenten mag bevatten.

Maar wat helpt dan wel? Wachtwoordmanagers!

Heel simpel. Maak gebruik van wachtwoordmanagers als LastPass of 1Password.

Bedenk voor deze passwordtools een wachtwoordzin met cijfers of speciale tekens.

En die zin moet minimaal 10 tekens bevatten. Meer lengte is altijd beter dan meer cijfers en speciale tekens.

Zelfs de snelste computers met de meest geavanceerde hacksoftware hebben jaren nodig om de code met meer dan 10 tekens te kraken.

Vervolgens maak je met de wachtwoordtool moeilijke veilige wachtwoorden die je zelf niet hoeft te onthouden. Die je niet in notitieblokken of “strategisch” in onder je contacten op je telefoon moet opslaan om ze te kunnen terugvinden.

Nieuw wachtwoord voor iedere toepassing

Laat de wachtwoordmanager gewoon voor iedere toepassing waar een wachtwoord voor nodig is automatisch een cryptisch wachtwoord van meer dan 10 tekens genereren.

Dat hoef je dan zelf niet meer te onthouden. En als er ooit een database wordt gehackt hoef je alleen dat ene wachtwoord voor die toepassing te wijzigen.

2FA met bijvoorbeeld Google Authenticator

En pas ten slotte zo veel mogelijk two-factor authenticatie toe. Gebruik Google Authenticator ook wel bekend als 2FA.

Zelfs als je wachtwoord wordt gekraakt kan de cybercrimineel dan nog niets beginnen. En jij krijgt op je telefoon meteen een waarschuwing dat iemand probeert digitaal in te breken bij jou.

Dat is beter dan het voortdurend wijzigen van wachtwoorden.

10 grote AVG risico’s waar ondernemers vaak niet meteen aan denken

“Hebt u ook een verwerkersovereenkomst voor me die ik naar klanten of leveranciers kan sturen?” Dat is het eerste wat ondernemers meestal vragen als ze professionele ondersteuning inschakelen bij de ontwikkeling van privacybeleid. Bijna niemand vraagt om een awareness training voor medewerkers. Terwijl zij voor de meeste privacyrisico’s zorgen.

95 procent van de datalekken wordt veroorzaakt door menselijke fouten.

We zetten de 10 grootste risico’s voor u op een rij.

1. bestanden belanden in de prullenbak

In het digitale tijdperk wordt vaak vergeten dat gedrukte producten ook persoonsgegevens kunnen bevatten. Digitaal aangeleverde documenten worden voor een vergadering op papier geprint. Ouderwetse post wordt omgekeerd ingescand.

De papieren versies belanden na gebruik in de prullenbak. Vrij toegankelijk voor iedereen. De schoonmakers vsn het schoonmaakbedrijf hebben zo onbevoegd toegang tot persoonsgegevens.

Bedtsnden met persoonsgegevens moeten op de juiste manier worden vernietigd (bijvoorbeeld versnipperd). Organiasties die doorlopend veel documenten met persoonsgegevens moeten vernietigen doen er verstandig aan om het versnipperen over te dragen aan gecertificeerde externe dienstverleners die een beveiligde documentencontainer plaatsen die geregeld wordt afgehaald. U ontvangt dan een bewijs voor uw verwerkingsregister dat de documenten daadwerkelijk zijn vernietigd.

2. Privé USB-sticks, externe harde schijven en cd-rom’s

Sommige medewerkers nemen persoonlijke USB-sticks, externe harde schijven en cd-rom’s mee naar kantoor om daar tussendoor op de computer van de zaak persoonlijke zaken af te handelen. Of om bedrijfsbestanden op te slaan zodat er thuis op de privé computer aan verder gewerkt kan worden. Dat brengt grote risico’s met zich mee.

De apparaten kunnen worden geïnfecteerd met malware die zich verspreidt in het besturingssysteem en een bedreiging vormt voor de gegevens. Daarom mogen privé-apparaten binnen het bedrijf niet worden toegestaan en moeten apparaten die eigendom zijn van het bedrijf met encryptie worden uitgerust.

3. bedrijfsapparaten worden voor privédoeleinden gebruikt

Thuiskantoor en werken onderweg zijn wijdverbreid. De ter beschikking gestelde hulpmiddelen (laptops, tablets, smartphones) worden vaak ook voor privédoeleinden gebruikt.

Hierdoor kunnen onbevoegde derden, met name in geval van verlies of diefstal, gemakkelijk toegang krijgen tot vertrouwelijke bedrijfsdocumenten. Harde schijven en USB-sticks moeten daarom worden versleuteld en het gebruik van openbare WLAN moet worden verboden.

4. gebruik van personlijke e-mailaccounts voor het werk

Veel werknemers gebruiken privé e-mailadressen om bedrijfsdocumenten te versturen die vertrouwelijke persoonlijke gegevens bevatten. Redenen: Gemak, onervarenheid met e-mailprogramma’s van het bedrijf, gebruik van documenten voor privédoeleinden.

Zij gebruiken daarbij vaak onveilige overdrachtmethoden.

Helaas weten veel hackers die altijd op zoek zijn naar manieren om vertrouwelijke gegevens te stelen dat ook.

Het gebruik van particuliere e-mailaccounts voor zakelijke doeleinden moet daarom worden verboden.

Voor het versleutelen van bestandsbijlagen moet gebruik worden gemaakt van geautomatiseerde hulpmiddelen die door het bedrijf worden geleverd.

5. Een eenvoudig centraal wachtwoord voor iedereen voor alles: hallo 123

Best wel praktisch dat Jantje Pietje spontaan kan vervangen op de afdeling. Dat de stagiaire eenvoudig kan assisteren. En dat de externe HR-medewerker overal bij kan.

Sommige organisaties hebben voor applicaties, bestanden en computers een groepsaccount gemaakt met een praktisch eenvoudig te onthouden wachtwoord. Dat is bepaald niet veilig.

Het delen van accounts is een no-go! Een fatale fout in de gegevensbescherming!

Volgens de AVG moeten per medewerker bevoegdheden worden vastgelegd. Dat kan met een algemeen account niet.

Bovendien is een algemeen account erg kwetsbaar. Het wachtwoord is algemeen bekend en kan snel op straat komen of worden gekraakt.

Na het kraken van dit wachtwoord is het dan mogelijk om toegang te krijgen tot alle vertrouwelijke persoonsgegevens in uw organisatie.

Werknemers moeten technisch worden gedwongen om lange wachtwoorden (acht tot twaalf tekens) te gebruiken, die ook bestaan uit hoofdletters en kleine letters, getallen en speciale tekens. Ook moeten deze regelmatig worden aangepast.

U mag medewerkers alleen toegang geven tot gegevens die zij voor hun taak daadwerkelijk nodig zijn.

6. Kom binnen!

Veel bedrijven willen gastvrij overkomen. Bezoekers kunnen spontaan de werkvloer oplopen. Dat brengt echter grote risico’s met zich mee.

Zeker wanneer mensen van buiten het bedrijf zonder begeleiding kunnen rondlopen.

Een open kantoor, een vrijgespeelde serverruimte en een vergeten document op de printer kunnen fatale gevolgen hebben voor de gegevensbescherming van klanten en medewerkers.

Buitenstaanders mogen alleen voor operationele doeleinden en onder toezicht toegang tot de werkvloer krijgen.

7. te veel informatie verstrekken via de telefoon

“Ik probeer Henk te bereiken. Hij zou vandaag langskomen voor een klus. Maar hij neemt niet op. Hebt u zijn mobiele nummer voor mij?”

Wanneer mag je aan de telefoon eigenlijk persoonsgegevens aan derden verstrekken?

Veel medewerkers weten het niet. Ze willen klantvriendelijk zijn en spreken dan snel hun mond voorbij.

Of ze gaan te amicaal met jarenlange trouwe klanten om en vertellen spontaan aan de telefoon wat ze nou weer beleefd hebben met die en die.

Om te voorkomen dat medewerkers onrechtmatig telefonisch teveel informatie verstrekken is het van belang om de medewerker vooraf grondig te instrueren welke informatie wel en niet mag worden verstrekt.

Maak een telefoonprotocol dat door de medewerkers moet worden ondertekend.

8 Chaos op de werkvloer

Vertrouwelijke brieven, contracten, notities met wachtwoorden, USB-sticks, postbakjes vol uitgaande poststukken bij de balie, stapels papier op het bureau. Als iedere buitenstaander in een oogopslag deze privacypuinhoop kan zien, is de chaos op het gebied van gegevensbescherming perfect.

De AVG dwingt tot een clean desk policy. Zo’n beleid is nuttig, omdat het structuur aanbrengt in organisaties. Er zijn dan duidelijke afspraken over hoe wordt omgegaan met de eigen werkplek en de directe omgeving. Er wordt vastgelegd dat er geen documenten met vertrouwelijke documenten achtergelaten mogen worden bij het verlaten van de werkplek. Computers moeten vergrendeld zijn.

9 De overvolle mailbox

Een van de beginselen van het recht inzake gegevensbescherming is dataminimalisatie. Beperk de opslag van persoonsgegevens zo veel mogelijk. Gegevens mogen niet langer bewaard worden dan nodig is voor het doel van de verwerking.

Ondertussen zit de mailbox stampvol met mail. U kunt mail van een paar jaar oud eenvoudig terug vinden. Best praktisch. Je weet nooit waar het goed voor is. Toch?

Kan best zijn, maar het mag niet. De mailbox moet net als postbakjes met brieven op uw bureau regelmatig worden geleegd.

Documenten met persoonlijke gegevens die op de harde schijf zijn opgeslagen, maar niet zijn vereist, moeten naar de prullenbak worden overgebracht.

U bent verplicht zich te houden aan wettelijke bewaartermijnen!

10. Datalekken verzwijgen

Iedereen maakt fouten. Voor je het weet heb je een mail met vertrouwelijke gegevens naar een verkeerd adres gestuurd.

Opeens bent u uw telefoon kwijt.

Uw bedrijf is slachtoffer geworden van hackers omdat een medewerker op een phishingmail heeft geklikt.

Niemand is blij met fouten.

Het liefst wil je over fouten zwijgen.

Struisvogel spelen.

Maar dat is iets dat u vooral niet moet doen!

U bent verplicht om een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens en meteen maatregelen te treffen om schade te voorkomen of te beperken.

Als u dat niet doet kan de Autoriteit Persoonsgegevens u fors beboeten.