Je wachtwoorden en/of logginnaam delen?!
Afgelopen weekend bereikte ons via twitter, het mijns inziens ietwat schokkende bericht, dat een Brits parlementariër het de gewoonste zaak van de wereld vindt naam en wachtwoord, ten behoeve van toegang tot de computersystemen van het Britse Lagerhuis, te delen met haar medewerkers. Haar argument is dat er zoveel mail binnenkomt, dat dit niet meer door één persoon te behappen valt.
De aanleiding van dit twitterbericht was een andere zaak die eerder in het Lagerhuis opdook, waarbij een andere parlementariër ervan beticht werd grote hoeveelheden kinderporno over een langere periode op zijn parlementscomputer te hebben bekeken. Zijn verweer is dat het iemand anders geweest moet zijn, in zijn kantoor, op zijn computer, met zijn logginnaam, en zijn wachtwoord.
Merk op dat het Britse Lagerhuis regels heeft voor hoe met wachtwoorden om te gaan. Zij stellen letterlijk dat wachtwoorden alleen gedeeld mogen worden met bevoegd IT personeel, voor IT werkzaamheden, en dat na uitgevoerde werkzaamheden dit wachtwoord meteen moeten wijzigen.
Microsoft
“Met behulp van een gebruikersaccount kan een gebruiker zich bij computers en domeinen aanmelden met een identiteit die het domein kan authenticeren. Iedere gebruiker die zich bij het netwerk aanmeldt, moet zijn of haar eigen, uniek gebruikersaccount en wachtwoord hebben. Voor optimale beveiliging kunt je beter voorkomen, dat meerdere gebruikers één account delen.” Maak daar maar voor minimale beveiliging van. Waar accounts gedeeld worden, is geen “accountability”. Zonder accountability kan niemand of juist iedereen ter verantwoording worden geroepen.
Misschien is het tijd om nog eens te benadrukken dat (de data op) een computersysteem zo veilig is als de wachtwoorden waarmee het beschermd is, dat het gedrag van je gebruikersaccount gelogd kan worden. Dat je zelf verantwoordelijk bent voor wat er met behulp van dat account wordt uitgespookt, ook al ben je daar zelf niet bij. Hier mag aan toegevoegd worden dat in het tijdperk van de GDPR het toepassen van alleen naam/wachtwoord onvoldoende kan worden bevonden.
Bij Sophos gaan we nog verder
Vertel het aan niemand, zelfs niet aan IT!
Tips:
- Verstuur je wachtwoorden nooit via email
- Schrijf ze niet op (behalve als je een veilige, geencrypteerde password manager gebruikt)
- Als iemand je wachtwoord opeist, moet je dit melden!
- Als je wachtwoord is aangetast, meld dit dan aan IT en wijzig al je wachtwoorden
Hou je wachtwoord te allen tijde voor jezelf, en tik het zelfs niet in op andermans computer.
John Veldhuis
Sales Engineer
Sophos Benelux