In het nieuws lees ik de laatste tijd regelmatig commentaar op de overheid op gebied van cyber security. Zo zou de overheid meer moeten investeren volgens het Amerikaanse Potomac Institute for Policy Studies. Het zou ontbreken aan financiële slagkracht en sturing. Er zijn ook belangenvereniging en bedrijven die klagen over het gebrek aan inzet van de overheid. Ik ben het hier persoonlijk mee eens. Het belang van cyber security en de daarbij behorende centrale aansturing is enorm en zal blijven groeien. Echter rijst er bij mij wel een vraag op: Wat doen deze bedrijven zelf?
Een maand geleden kwam ik een situatie waar ik een account op een website moest aanmaken. Als junior systeembeheerder bij een IT bedrijf ben ik natuurlijk erg bewust van de veiligheidsaspecten bij deze actie. Zelf beschik ik over een password manager om ervoor te zorgen dat ik altijd een ander wachtwoord kan kiezen zonder deze te vergeten. Tevens is het mogelijk om met deze password manager een wachtwoord aan te laten maken. Je geeft aan hoeveel tekens het wachtwoord mag bevatten en de password manager creëert een random wachtwoord.
Hoe langer een wachtwoord is, des te moeilijker het is om te kraken. Om deze reden kies ik ervoor om een wachtwoord te laten maken met 24 tekens. Op het moment dat ik dit wachtwoord wil instellen krijg ik het bericht dat het teveel tekens zijn. Mijn mond valt open in zo'n situatie. Teveel tekens? Ze zouden blij moeten zijn dat ik zo'n goed wachtwoord wil instellen! Voor mij in ieder geval een reden om aan de bel te trekken. Zorg dat deze restricties zo snel mogelijk verdwijnen. Iedereen praat over goede wachtwoorden, faciliteer dit dan ook.
Meer en meer websites zullen een beoordeling laten zien over de sterkte van jouw gekozen wachtwoord. Vaak wordt er tijdens het aanmaken van een wachtwoord aangegeven of het een zwak, matig of sterk wachtwoord is. Wat mij betreft een positieve ontwikkeling. Als consument wordt je op een gemakkelijke manier gewezen op de security. Het probleem is dat sommige bedrijven dit niet echt serieus nemen. Zo zijn er bijvoorbeeld websites te vinden die aangeven dat een wachtwoord sterk is bij 5 of 6 tekens. Dit kan volgens mij niet de bedoeling zijn, of wel?
Bij steeds meer website heb je de optie een een two factor authenticator te gebruiken. Google heeft bijvoorbeeld zo'n authenticator. In het geval van de google authenticator is het een app op je smartphone. Op het moment dat je inlogt met je google account moet je naast de gebruiksnaam en het wachtwoord ook en code invullen. De code komt in dit geval binnen via de app. Je kent dit systeem waarschijnlijk wel van de bank waar je bij zit.
Een simpele oplossing die wel erg veilig is. Je kan het eigenlijk zien als een soort 2e wachtwoord, die je moet gebruiken op het moment dat je bijvoorbeeld:
- Belangrijke instellingen wilt wijzigen van een account.
- Een betaling wilt doen via het internet.
Het is een simpele oplossing die goed werkt, echter heeft het wel één nadeel. Wat doe je op het moment dat je de random reader of desbetreffend telefoon bent vergeten? Precies om deze reden gaat mijn voorkeur uit naar een app op een telefoon. De smartphones zijn tegenwoordig niet meer weg te denken, zowel privé als zakelijk. Dus de meeste mensen gaan niet meer op pad zonder. Het maakt de smartphone echter wel belangrijker dan hij nu al is. Wat mij betreft geen probleem, want ik heb mijn telefoon altijd op zak.
Vroeger had je de optie voor je account om de zogeheten security questions in te stellen. Wanneer je dan bijvoorbeeld je wachtwoord wilde wijzigen moest je eerst je security question beantwoorden. Dit waren vaak vragen als:
- Wat is de naam van je favoriete serie?
- Wat is de naam van je 1e hond?
- Wat is de naam van je beste vriend?
- Etc.
Een nadeel van de security question is dat je ze eigenlijk niet eerlijk mag beantwoorden. Veel mensen kunnen deze vraag waarschijnlijk voor jou beantwoorden. Daarnaast is het met social media niet moeilijk om dit soort antwoorden te achterhalen. Veel mensen kiezen daarom een ander antwoord bij de vraag. Bijvoorbeeld de naam van je eerste hond als antwoord op de naam van je beste vriend. De vraag is echter, weet je dit over een jaar nog? Mijn ervaring is dat dit vaak mis gaat.
Nu ik deze vraag wil beantwoorden in dit blog bedenk ik mij dat ik dit eigenlijk te weinig doe. Hoe vaak zou je het moeten doen? Mijn advies zou zijn om dit maandelijks te doen, zeker bij belangrijke accounts. Zelf doe ik dit voornamelijk als ik lees dat er een grote breach is geweest (zoals bijvoorbeeld bij LinkedIn een tijdje terug). Een andere situatie is dat ik een bericht krijg dat mijn wachtwoord weer gewijzigd dient te worden. Dit is een voorbeeld van bedrijven die goed meedenken op gebied van security. Mensen zijn vaak laks en houden het wachtwoord graag zo simpel mogelijk en zo lang mogelijk hetzelfde. Dit soort acties nemen ons tegen onszelf in bescherming, volgens mij is dat ook nodig.
Bruikbaarheid, hoever moet het gaan? De afweging tussen gebruikersgemak en veiligheid.
Laat ik beginnen me te zeggen dat wat mij betreft bedrijven alle opties voor consumenten beschikbaar moeten stellen. Wat zijn alle opties voor mij:
- Oneindig aantal tekens voor een wachtwoord
- Two factor authenticator
- Security question
- Goede check voor een wachtwoord (zwak, matig of sterk)
- Maandelijks nieuw wachtwoord in laten vullen
Hoeveel van deze manieren je daadwerkelijk gebruikt is iets dat jij moet kiezen. Mijn advies is om in ieder geval een sterk wachtwoord te bedenken in combinatie met een two factor authenticator indien mogelijk. De balans tussen gebruikersgemak en veiligheid is altijd lastig.
Als je jezelf aanleert om een aantal vaste vormen van veiligheid in te bouwen, komt het gebruikersgemak vanzelf. Een password manager voor de wachtwoorden, download een two factor authenticator en ga het eens proberen. Kijk wat voor jou prettig en veilig is. Heb jij nog tips voor bedrijven of consumenten? Laat het weten in een reactie.
Er zijn nog geen reacties.