Waar­om een nieuw wacht­woord dus niet werkt

31/01/2018

Wim Huiskens

De af­ge­lo­pen da­gen zijn di­ver­se ban­ken en over­heids­in­stel­lin­gen ge­trof­fen door groot­scha­li­ge DDoS-aan­val­len. Sys­te­men la­gen plat, on­danks di­ver­se, hoog­waar­di­ge vei­lig­heids­maat­re­ge­len. Hoe­wel de­ze or­ga­ni­sa­ties be­na­druk­ken dat er geen in­breuk is ge­daan op de sys­te­men of klant­ge­ge­vens, be­kruipt mij toch weer dat ge­voel… "zijn on­ze sys­te­men, of nog dich­ter bij huis, is mijn ei­gen be­vei­li­gings­sys­teem ei­gen­lijk wel vei­lig?"

Op mijn nieuwe laptop log ik in met gezichtsherkenning, hypermodern. Nou, als die het doet dan, hè? De zon mag niet te fel in het scherm schijnen en als ik een nieuwe bril heb gekocht, moet ik mijn gezichtsherkenning wel even opnieuw instellen. Maar in het algemeen, echt top!

Maar dan. Ik werk als consultant ook nog bij gemiddeld 2 tot 3 klanten. En bij iedere klant heb ik een gebruikersnaam en een wachtwoord. Ik hoor je denken: als je Wim Huiskens heet, hoe moeilijk kan die gebruikersnaam dan zijn? Ondertussen heb ik de volgende al gehad: WHU / wjc.huiskens / w.huiskens / wim.huiskens / whui / whuiken / wimh. En dan heb je nog de organisaties die het fijn vinden om je te laten inloggen met een personeelsnummer. Het voordeel is dat deze gebruikersnaam gedurende de opdracht hetzelfde blijft. Het wachtwoord daarentegen moet regelmatig vernieuwd worden.

Daar heb je die melding weer: "over 5 dagen dient uw wachtwoord te worden gewijzigd". "Waarom?", vraag je je dan af? Het werkt eindelijk allemaal op mijn smartphone, tablet, laptop, PC, thuiswerkplek, maar ja, company policy en de Risk of IT security officer moeten ook hun toegevoegde waarde tonen.

Wat gaan we dan massaal doen? Een lijstje of bestandje bijhouden met je inlognaam en wachtwoord. Dit bestand staat dan op je laptop of in je telefoon en die dien je eigenlijk ook te beveiligen met een wachtwoord, maar wie doet dat?

Stel je voor dat je ieder kwartaal een brief of mail van je bank krijgt met het verzoek om de pincode van je bankpas te veranderen. Je DigiD waarmee je notabene alle overheidstaken online kunt uitvoeren kent geen systeem van verplicht veranderende wachtwoorden. Mijn wachtwoord om te kunnen internetbankieren is al vele jaren hetzelfde.

Ik concludeer hieruit dat het beter is om vooraf goed na te denken over de inrichting van je beveiliging en werkwijze. Zodat deze processen (net als je pincode) volledig "eigen" voelen en je ze zelfs midden in de nacht kunt opdreunen. Dit in tegenstelling tot de schijnveiligheid waarin je continu gedwongen wordt om te veranderen. Zonder dat nut of noodzaak echt helder zijn en iedereen een work-around verzint om de formele processen te omzeilen.

Op zoek naar duurzame oplossingen en processen die écht werken? T-MC creëert GO-organisaties. Dit zijn organisaties waar mensen en processen doelgericht zijn georganiseerd. Met slim ontworpen processen richten wij organisatie effectief in en laten de mensen daarin excelleren. Ook uw behoefte om uw IT-systemen beter te organiseren én beveiligen kunnen wij voor u invullen. Lees hier meer over in dit blog!

Meer informatie: neem contact met mij op via mail of bel naar 0348-501462.