“Wij hebben veilige wachtwoorden!”

Laatst was ik bij een cliënt die mij triomfantelijk vertelde dat ze gebruikmaakten van veilige wachtwoorden.
De stelligheid waarmee mij dit werd verteld, riep onmiddellijk argwaan bij mij op. “Hoe kom je erbij dat jullie wachtwoorden veilig zijn”, vroeg ik.
Antwoord: “Omdat we ze hebben gecheckt op een online wachtwoorden-checker!”

Ik moest eerst lachen, maar kort daarna werd ik heel serieus. Je moet natuurlijk nooit je wachtwoord zomaar ergens intoetsen! Ergens achterin kantoor hoorde ik iemand zich hardop herinneren “dat ik daar weleens voor had gewaarschuwd”. Gelukkig.

Wachtwoorden zijn lastig. Aan de ene kant moeten ze moeilijk te raden/herleiden zijn voor anderen, maar tegelijkertijd makkelijk te onthouden voor jezelf. Gebruik dus niet de naam van je kat, kind, echtgenoot of je geboortedatum.
Gebruik altijd verschillende wachtwoorden voor verschillende systemen. Zorg ervoor dat je wachtwoord geen gewoon woord is, dat bijvoorbeeld in een woordenboek voorkomt. Ook Leet (het vervangen van letters door cijfers) is onveilig. Gebruik dus geen wachtwoorden als geb@k (gebak) of m031l1jk (moeilijk).

Tip
Je zou per systeem een rijmpje of versje kunnen bedenken en met die letters een goed wachtwoord maken.
Als je een goed wachtwoord voor je Apple ID zoekt, kun je bijvoorbeeld denken aan Sneeuwwitje (appel), de zin:
“Spiegeltje, spiegeltje aan de wand, wie is het mooiste van het land?”
leidt tot het volgende wachtwoord:
S,sadww=hmvhl?

Dat is een prima wachtwoord. Gebruik dit wachtwoord niet, hoor! Het is slechts een voorbeeld.

Sommige systemen ondersteunen two-factor authentication, waarbij je je naam, wachtwoord en een wisselende code nodig hebt om je aan te melden. Vergeet niet dat, zelfs als je two-factor authentication gebruikt, het belangrijk is om een goed en veilig wachtwoord te hebben en voer nooit, nee, nooit je wachtwoord in op een site die je niet kent.

NIET DOEN!
Op onderstaande site kun je je wachtwoord checken. Er zijn er verschillende en ze lijken allemaal op elkaar. Sommige sites waarschuwen dat het gebruik op eigen risico is. Andere sites melden dat ze je wachtwoord niet zullen opslaan, maar welke garantie heb je dat ze dat (niet) doen? Bovendien is elk internetverkeer dat niet specifiek versleuteld is door derden als platte tekst gewoon te lezen en onderscheppen. Zelfs als jouw wachtwoord-check-site goede bedoelingen heeft en werkelijk niet je IP-adres, naam en wachtwoord opslaat, kan een kwaadwillende de door jou ingevoerde gegevens zonder moeite van het internet vissen en ermee doen wat hij wil. Niet doen, hoor! Ik heb de site expres niet gelinkt, maar ik toon ‘m als plaatje:

2014-11-07_09-44-23

Je kunt biometrische gegevens (vingerafdruk, oogscan) gebruiken om je gegevens mee te beveiligen, maar dat is juridisch gezien wezenlijk iets anders dan een wachtwoord dat in je hoofd zit. In de US worden op dit moment rechtszaken gevoerd over het gedwongen afstaan van vingerafdrukken om een iPhone te ontgrendelen. De politie kan je niet dwingen om je wachtwoord af te staan.

Iets anders is het gebruik van Password Managers. Ik ben daar zelf niet zo dol op. Er zijn in het verleden veel problemen geweest, waarbij enorme hoeveelheden gegevens zijn buitgemaakt. Als je al je eieren in 1 mandje legt, dan loop je een enorm risico.
Mijn advies: Gebruik een ander wachtwoord voor elke dienst/systeem en kies een goed wachtwoord. Probeer two-factor authentication te gebruiken waar mogelijk.

EDIT

Van een anonieme bron, die “Disqus echt verschikkelijk” vindt, kreeg ik nog de volgende input:

Dae,

Uiteraard ben ik het met je eens dat ’t geen goed idee is om wachtwoorden bij zo’n check in te vullen, maar jouw suggestie voor ’t maken van een goed wachtwoord op basis van bijvoorbeeld een rijmpje vind ik minder goed.
De schijnbaar willekeurige reeks aan tekens is namelijk voor software die wachtwoorden kraakt vrijwel onbelangrijk. Een veel belangrijke factor is de lengte van een wachtwoord. Het rijmpje is een mooi geheugensteuntje, maar zal in de praktijk vaak resulteren in korte wachtwoorden.

Een goede uitleg van ‘realistische’ wachtwoord-sterkte is te vinden op ’t tech blog van Dropbox: https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/
Zij hebben daar ook een tool beschikbaar gemaakt die in websites gebruikt kan worden om de sterkte van wachtwoorden te bepalen.
https://xkcd.com/936/
Ik had dit bericht natuurlijk ook als reactie op het blog zelf kunnen plaatsen, maar ik vind Disqus echt verschrikkelijk. Vandaar.

Groet,

Jules

De online wachtwoord-test (staat verscholen in het artikel) vind je hier: https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html
Als je hier mijn voorbeeldwachtwoord “S,sadww=hmvhl?” invoert, dan zie je overigens dat het een prima wachtwoord is. Nogmaals: niet gebruiken, hoor! En als je zelf een wachtwoord op basis van een zinnetje maakt, zorg er dan inderdaad voor dat het lang genoeg is!
Je kunt natuurlijk ook een willekeurig gegenereerd wachtwoord van mijn weblog gebruiken.

Website gemeente Hollands Kroon: werk in uitvoering

Even een compliment voor de gemeente Hollands Kroon: Na het nieuws, vanmorgen in het Noordhollands Dagblad, hebben ze de oude link naar het onbeveiligde afspraakformulier vervangen door een link naar het beveiligde afspraakformulier. Het formulier was ooit onbeveiligd, maar nu niet meer. En sinds vandaag is het beveiligde formulier dus bereikbaar. Dat gaat de goede kant op!

Dan blijft enkel nog het onbeveiligde contactformulier, waarbij burgers de mogelijkheid hebben om bijlagen naar de gemeente te versturen.

Het zou niet onverstandig zijn om bij dat contactformulier een waarschuwing te vermelden met de tekst “Burger, let op! Dit contactformulier is onbeveiligd en daarom ongeschikt om gevoelige informatie mee naar ons te versturen. Stuurt u geen kopie van bijvoorbeeld uw paspoort mee als bijlage”. Blijft natuurlijk de vraag welke niet-gevoelige informatie je dan als burger wel zou kunnen meesturen. Beetje verwarrend.

Gratis tip voor de gemeente Hollands Kroon: De beveiliging van het afspraakformulier geschiedt met een zogenaamd wildcard-certificaat (*.hollandskroon.nl), dat tevens het contactformulier kan beveiligen! Als het contactformulier eenmaal is beveiligd, hoeft die waarschuwing er natuurlijk niet bij…

Website gemeente Medemblik: onveilig

Als je een afspraak wilt maken met de gemeente Medemblik, dan kun je daarvoor de volgende link gebruiken:
http://www.medemblik.nl/Direct_regelen/Formulieren/Webformulieren/Afspraak_maken_webformulier
De gegevens die je op deze pagina intoetst, worden onbeveiligd over het internet verzonden en zijn op elk willekeurig punt tussen burger en gemeente te onderscheppen, af te luisteren en te wijzigen.

Wrang is dat de gemeente Medemblik je achternaam, burgerservicenummer (BSN), telefoonnummer overdag, telefoonnummer privé en zelfs de reden van je afspraak als verplichte velden heeft gemarkeerd. Als nietsvermoedende burger volg je graag de instructies van je gemeente op en gooi je dus op hun aanwijzingen jouw persoonsgegevens op straat.

Dit is bijzonder gevaarlijk! Wie is er verantwoordelijk voor het uitlekker van jouw persoonsgegevens? Ik hoop dat de gemeente Medemblik hier snel actie op onderneemt.

Woon je in de gemeente Medemblik? Maak dan geen gebruik van het formulier.

Klik op het plaatje hieronder voor een afbeelding van het afspraakformulier. In de adresbalk zie je “http” staan. Dat betekent dat er geen beveiliging is voor de gegevens in het formulier.

medemblik

Hoe veilig is jouw gemeente?

Toevallig ontdekte ik dat de communicatie met de website van mijn eigen gemeente Schagen onbeveiligd was en daar schrok ik natuurlijk van!

Gelukkig is ons digitaal loket met ingang van 22 november 2013 niet meer onbeveiligd, maar de gemeente ontkent de noodzaak van beveiliging, dus het zit me nog niet lekker. Ik heb daarom wat aanvullend onderzoek gedaan, dat ik hier op mijn weblog per gemeente zal delen.

Hou er rekening mee, dat de informatie waarschijnlijk snel veroudert. Hopelijk krijgen de Nederlandse gemeenten er lucht van en gaan ze kundige mensen inschakelen. Ik zal met behulp van screenshots de situatie documenteren.

Ben je benieuwd naar de beveiliging van de website van jouw gemeente? Laat het me weten! En doe je gordel om, want het wordt een hobbelig ritje.

De beveiligingswereld kent het fenomeen Responsible Disclosure. Dit is een protocol dat aan de buitenwereld uitlegt hoe je als organisatie op de hoogte wenst te worden gesteld over beveiligingsproblemen met jouw producten of diensten. Hiermee geef je buitenstaanders de gelegenheid om beveiligingsproblemen kenbaar te maken, zodat de organisatie daarvan kan leren. Uitgangspunt hierbij is dat de informatie over beveiligingsproblemen op een verantwoorde wijze kenbaar wordt gemaakt, meestal in eerste instantie zonder publiek specifieke details te melden, waarmee kwaadwillenden het probleem kunnen uitbuiten.

Het Nationaal Cyber Security Centrum heeft hiervoor een Responsible Disclosure statement voor hun eigen organisatie:
https://www.ncsc.nl/security
Ook bestaat er een leidraad om als organisatie te komen tot responsible disclosure:
https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html

Helaas zijn de Nederlandse gemeenten nog lang niet zover. Op gebied van beveiliging zijn ze technisch en organisatorisch naïef, slecht op de hoogte van cybercriminaliteit, houden dus onvoldoende rekening met eigen falen op beveiligingsgebied en hebben dus ook geen Responsible Disclosure statement.

Bovendien kun je als klokkenluider bij totaal gebrek aan beveiliging niet zoveel technische details achterhouden. Ik zal niet ingaan op specifieke hacks en technische trucs om de beschreven beveiligingsproblemen uit te buiten, maar neem van mij aan dat als gemeenten de deur openzetten voor cybercriminelen daar ook misbruik van gemaakt wordt. Het lijkt mij dat de beteffende gemeente daarvoor verantwoordelijk is.

Zonder beveiliging zijn de websites van de gemeenten levensgevaarlijk. Door hiervan melding te maken, hoop ik op treffende beveiligingsmaatregelen door de gemeenten.