nieuws

Column Rein de Vries

Geen categorie

Wachtwoord vergeten? Geen probleem! Of toch wel?

Wachtwoord vergeten? Geen probleem! Of toch wel?

Als mens zijn we zeer verschillend. Gelukkig maar, anders zou het een saaie bedoening zijn op deze aardbol.
Een ding hebben we in ieder geval wel met elkaar gemeen: we vergeten nog wel eens wat. Behoudens de zaken die je maar beter snel kunt vergeten, is dat zo af en toe een behoorlijk vervelend probleem.

Zo ook wanneer je je wachtwoord bent vergeten. Best lastig als je op een website moet inloggen om iets belangrijks te doen en je bent dat moeilijk te raden wachtwoord vergeten. Gelukkig hebben bijna alle eigenaren van websites daar wel wat op gevonden. Als je als gebruiker je wachtwoord kwijt bent, is er op een of andere manier in voorzien dat er toch weer toegang kan worden verkregen. Geen probleem dus! Of toch wel?

Tja, dat ligt er maar helemaal aan hoe de beheerder van de website zo'n 'password recovery' inricht. Een aantal website-eigenaren doet het goed, maar er zijn ook websites – waaronder van zeer gerenommeerde Nederlandse bedrijven – die er een totaal verkeerde, onverantwoorde werkwijze op nahouden.

Een grote webshop – ik ga geen naam noemen – doet het als volgt. Als een gebruiker aangeeft dat hij zijn wachtwoord vergeten is, ontvangt hij het wachtwoord 'gewoon' – heel klantvriendelijk – per e-mail. Hier lijkt op het eerste gezicht niets mis mee, maar als je wat verder kijkt zit hier iets fundamenteel verkeerd. Wat bijvoorbeeld als iemand de goed bedoelde e-mail onderschept? Dan beschikt die persoon over jouw wachtwoord, zonder dat jij het weet. Misschien is dat niet zo spannend voor de specifieke website die je wilde gebruiken, maar mogelijk gebruik je dat wachtwoord wel vaker (foei!), ook voor websites waar je veel persoonlijke informatie hebt prijsgegeven. Je kunt maar beter weten dat je wachtwoord is uitgelekt. Dan zal je het direct wijzigen, nietwaar? Maar je weet het niet en er is bij het toepassen van deze methode wel kans op.

Er is echter nog iets anders wat nog veel kwalijker is. Hoe kan het dat de verzender dat persoonlijke wachtwoord van jou kennelijk weet en kan opsturen? Dat wachtwoord is toch van jou persoonlijk? Je moet het toch geheim houden? Heeft die website-eigenaar dat wachtwoord soms ergens leesbaar opgeslagen? Voor wie is het allemaal toegankelijk? Voor welke medewerkers, voor wat voor personen met kwade bedoelingen? Wat als het bestand met al die opgeslagen wachtwoorden in verkeerde handen komt, zoals onlangs LinkedIn is overkomen?

Vragen te over.
En dan is het ook maar de vraag of jouw persoonlijke informatie bij die partij wel in goede handen is.
Hoe is het gesteld met de beveiliging van die informatie? Heeft de website-eigenaar de beveiliging wel onder controle? Besteden ze überhaupt wel voldoende aandacht aan beveiliging?

Met een beetje nadenken zijn er tal van (veilige) manieren te bedenken om in het geval van een vergeten wachtwoord opnieuw toegang te verschaffen. Mocht ik door een webshop, een klantenwebsite of wat dan ook mijn wachtwoord leesbaar toegezonden krijgen, dan weet ik wel hoe laat het is: tijd om naar iets anders om te zien!

Rein de Vries is Partner en Consultant bij LBVD Informatiebeveiligers. www.lbvd.nl

Reageer op dit artikel

Gerelateerde tags

Lees voordat u gaat reageren de spelregels