+31 35 543 1000 info@kza.nl

Hoe Nicolas Cage kan helpen met security awareness.

dec 19, 2018 | KZA Blogs, Security

Security en gebruiksvriendelijkheid zijn zelden de beste vrienden. Iets meer secure maken betekent over het algemeen dat je aan gebruiksvriendelijkheid in moet leveren. Persoonlijk vind ik dat natuurlijk niet erg omdat de mogelijke gevolgen van een onveilige applicatie voor mij zwaarder wegen dan gebruiksvriendelijkheid. Maar goed, ik ben dan ook een security man en geen UX man. Wel denk ik dat je met de juiste mindset binnen de organisatie relatief makkelijk al wat quick wins kunt behalen met minimale technische inspanning. Ik ben ervan overtuigd dat er, zo lang er mensen bij betrokken zijn, niet zoiets bestaat als een applicatie die 100% veilig is. Dat zit vooral in het feit dat, ook nu nog, het bij veel mensen ontbreekt aan een zekere awareness op het gebied van security.

Ik vind wachtwoorden altijd een mooi voorbeeld. Het komt helaas nog steeds voor dat wanneer je ergens aan een opdracht begint het default wachtwoord iets als “Welkom01!” is. Natuurlijk is het de bedoeling dat je dit zo snel mogelijk aanpast, maar het zet wel een bepaalde toon. Daarnaast kun je er ook donder op zeggen dat er mensen zijn die als nieuw wachtwoord “Welkom02!” kiezen. Want dat is lekker makkelijk te onthouden. En daar zit ook de crux. Er is meer focus op de gebruiksvriendelijkheid, zoals makkelijk te onthouden, dan de achterliggende reden waarom het wachtwoord er überhaupt is. Het is namelijk één van de sloten op de deur naar data waarvan jij niet wil dat iedereen het kan zien.

Een mooie oplossing hiervoor zou kunnen zijn om te switchen naar 2-factor-authentication, maar het kan zelfs al makkelijker. Kies gewoon een langer wachtwoord, size matters, die niet te herleiden is naar hobby’s, namen, enz. en elimineer daarmee de mogelijkheid dat iemand het wachtwoord raadt of dat je slachtoffer wordt van een dictionary attack. De infra kant zou hier ook nog kunnen helpen door een blacklist op te stellen met wachtwoorden die simpelweg niet worden geaccepteerd omdat ze te slecht zijn. Wil je graag weten wat slechte wachtwoorden zijn? Google is je vriend en er zijn genoeg lijsten en databases te vinden. Zoals de Fuzzdatabase (git project) of een lijst als op https://www.teamsid.com/100-worst-passwords-top-50/.

Een ander risico wat ook nog steeds enorm veel voor komt op de werkvloer is het niet locken van laptops of pc’s op het moment dat je er niet achter zit. Met als gevolg dat dus iedereen kan zien wat jij op dat moment open hebt. Of waar iemand, tijdens de lunch als het lekker rustig is op kantoor, van alles mee kan doen. Het is een makkelijke gewoonte om jezelf aan te leren, windows toets + L, en geeft je gelijk de mogelijkheid om vaak je wachtwoord in te voeren zodat je deze niet vergeet. Nog geen 3 seconden werk en toch een risico weggenomen.

Ook hier kun je zelf je steentje bijdragen door je collega’s hier op te wijzen. En voor de collega’s die niet willen luisteren en toch niet trakteren wanneer jij dat mailtje naar de afdeling stuurt dat er morgen taart is, heb ik nog twee leuke alternatieven:

  1. fakeupdate.net, kies een update scherm, druk op F11 en als je echt all the way wilt gaan ontkoppel je ook nog de muis als deze aanwezig is.
  2. Plugins, in browsers zoals chrome en firefox is het bijzonder makkelijk om binnen een paar seconden wat plugins te installeren die het leven voor jou wat leuker kunnen maken. Een van mijn favorieten: Ga naar de Chrome web store, zoek op nCage, installeer de plugin en laat je collega kennis maken met Nicolas Cage. In Firefox zoek je trouwens op NicCage voor hetzelfde resultaat.

Hopelijk geven de voorbeelden hierboven aan dat het niet moeilijk hoeft te zijn om op een positieve manier bij te dragen op het gebied van security. Ik daag dan ook iedereen uit zichzelf af te vragen of zijn of haar wachtwoord wel goed genoeg is. Ook gun ik het iedereen om de security awareness van een collega te verhogen met behulp van Nicolas Cage. Mocht dat naar meer smaken, dan zijn wij van het security gilde altijd bereid om te kijken wat wij nog meer zouden kunnen doen voor jullie organisatie.