Hoe komen we veilig van onze wachtwoorden af
Het fundamentele verschil tussen prive- en zakelijke wachtwoorden

Martijn Maatman Business Developer
Gepubliceerd op: Oktober 26, 2018

De NOS wees ons er nog maar eens op dat – zonder echte alternatieven – wachtwoorden hun langste tijd wel hebben gehad. Het item boezemde angst in: wachtwoorden zorgen niet meer voor extra veiligheid.

Originele artikel hier.



Experts benadrukten reeds bekende argumenten dat mensen 'makkelijk te raden wachtwoorden gebruiken', 'te veel geloven in wachtwoorden met ingewikkelde tekens' en 'te vaak hetzelfde wachtwoord gebruiken'. De conclusie: 'Wachtwoorden, we moeten ervan af'.


Deze experts laten in dit item echter een belangrijk aspect onderbelicht. Zij benaderen het principe voor wachtwoordgebruik voor zowel de zakelijke als de prive-context op dezelfde manier. Dit geeft een groot nadeel, namelijk de impliciete behoefte dat we wachtwoorden willen en moeten onthouden. In de privesfeer goed uit te leggen: het is je eigen verantwoordelijkheid. Onderweg of bij vrienden, met de juiste wachtwoorden kun je altijd even inloggen. Uitstekend uit te leggen naar de consument.

Wachtwoorden in zakelijke omgeving

Voor de zakelijke omgeving ligt dit echter anders. Niet het individu, maar de organisatie heeft dan de verantwoordelijkheid voor veilig wachtwoordgebruik. Werknemers hebben terecht een focus op hun werk en willen geen moeilijk gedoe over wachtwoordgebruik. Dat spanningsveld is volgens mij eenvoudig aan te pakken. Ik pleit er daarom voor dat we binnen onze zakelijke omgeving wachtwoorden loslaten en ‘secrets’ introduceren. Dat is voor velen nieuw en even wennen, maar dit levert bij zowel werkgevers als werknemers direct een andere mindset op. Een wachtwoord impliceert namelijk dat je iets altijd maar moet kennen of weten, een secret is iets dat je hebt of genereert. Daarnaast kun je een secret – als dat nodig is – delen met collega’s. Een wachtwoord bewaar je voor jezelf. 


Een tweede voordeel van secrets is het feit dat het voor individuele werknemers niet mogelijk is om deze te onthouden. Ze zijn namelijk gegenereerd en daarvoor gebruik je een ‘zakelijke secret manager’. Breng al je secrets onder in deze manager en je weet dat je er altijd bij kunt. Ik stel voor dat bedrijven morgen direct testen in hoeverre zij hier behoefte aan hebben. Roep je standaardwachtwoord maar eens hardop door het kantoor. Durf je dit zonder probleem te doen? Of geeft dit een vervelend onderbuikgevoel? In dat laatste geval is mijn advies om zo snel mogelijk een secret te genereren.  

Zakelijke secrets en persoonlijke wachtwoorden

Uiteraard is er bij deze nieuwe werkwijze ook een plek waar zakelijke secrets en persoonlijke wachtwoorden samenkomen. Gebruik maken van een zakelijke secret manager biedt perspectief, maar ook hierop moet je inloggen. Meestal met een wachtwoord. En aangezien wij mensen er niet voor gemaakt zijn wachtwoorden te onthouden, resulteert dit in een intensief supportproces, zeker na de zomervakantie. Toch kun je als werkgever hier wel in sturen. Introduceer een ‘persoonlijke wachtwoord manager’ die je ook met een vingerafdruk kunt openen. Zet daar de secret in van de zakelijke manager en iedere medewerker kan met één vinger zowel veilig bij alle persoonlijke wachtwoorden als zakelijke secrets. Hiermee maak je niet alleen je eigen organisatie veiliger, je biedt medewerkers ook meer veiligheid in hun prive-omgeving. Goed werkgeverschap noem ik dat. 

 

Het gebruik van de zakelijke secret manager is dus voorlopig een goede oplossing. Eén die volgens mij in een zakelijke omgeving realistischer is dan de voorgedragen oplossing van de experts die de NOS aan het woord liet.


Het veelgehoorde uitgangspunt dat beveiliging beter moet snappen hoe mensen werken en niet andersom klopt helemaal. We willen toe naar meer veiligheid, het liefst via een allesomvattend alternatief zonder wachtwoorden. Hierin zijn we al een eind op weg, maar we zijn er nog niet. Laten we tot die tijd – zeker zakelijk – een nieuwe mindset introduceren. Ga voor secrets. Deze zijn veilig, je kunt ze delen, ze zijn op de toekomst ingericht en je kunt ze simpelweg niet onthouden. En iedereen die meer dan één wachtwoord wil onthouden, mag je wat mij betreft voor gek verklaren.