Columns & opinie
Brief: Wachtwoordwisselwaanzin
donderdag 31 mei 2018

Elke 182 dagen vind je een mailtje in je inbox dat je vertelt dat je je wachtwoord voor je ULCN-account moet wijzigen. Waarom dat nodig is staat niet in het mailtje, maar als je het niet doet, zal je account gauw geblokkeerd worden. Dank je wel.

De overweging hiervoor is vermoedelijk dat je op die manier cyberaanvallers kunt neutraliseren die al toegang tot je systeem hebben gekregen en die nu wachten op het juiste moment om met hun aanval door te gaan. Het is dus een soort preventieve maatregel die zou bijdragen aan de veiligheid van je account.

Helaas werkt het niet. Uit ICT-onderzoek blijkt dat je systeem niet veiliger, maar juist onveiliger wordt als je je gebruikers dwingt hun wachtwoord vaak te wijzigen. Dat is omdat mensen traag zijn en niet elke 182 dagen een nieuw ingewikkeld wachtwoord willen kiezen. Als je wachtwoord niet werd gekraakt (bijvoorbeeld door een massale cyberaanval) is er dus geen reden om het regelmatig te veranderen.

Maar als het wachtwoord wisselen niets oplevert, laat ons dan nog even naar de nadelen kijken. Ten eerste kost het meer tijd dan voor een gewoon account omdat je wachtwoord aan een ingewikkelde lijst van eisen moet voldoen en niet door gewone wachtwoord managers (bijvoorbeeld de Apple Keychain) mag worden gekozen. Ten tweede is dat wachtwoord ook je eduroam-toegang (veilige draadloos internet), meestal op meerdere apparaten, en het kost extra tijd omdat je waarschijnlijk bent vergeten hoe je precies je eduroam-wachtwoord kunt wisselen. Ten slotte is het echt onaanvaardbaar als je bijvoorbeeld op een onderzoeksmissie bent en je account geblokkeerd wordt omdat je niet snel genoeg je wachtwoord hebt gewisseld.

Het is niet alleen vervelend om overbodige dingen te doen. Het draagt ook bij aan een te hoge werkdruk en het kost ook echt geld: als je maar tien minuten nodig hebt voor elke wachtwoord wissel (voor al je ULCN-accounts en je eduroam-wachtwoord op al je toestellen) is het toch, voor vijfduizend werknemers en twee wijzigingen per jaar, bijna het equivalent van een volledige werknemer die zo wordt “weggegooid“. Personeel, dat de universiteit echt nodig heeft voor onderwijs en onderzoek, en niet om onzinnige wachtwoordwisselingen uit te voeren.

Kortom, beste ISSC, laat ons ons wachtwoord bijhouden. Uw systeem wordt daardoor veiliger en wij hebben meer tijd voor ons eigenlijke werk.

Leo Burtscher, postdoc sterrenkunde

Lees ook

Columns & opinie
Angstdroom van een promovenda (die jammer genoeg afging als een gieter)
Stress voor een aanstaande promotie kan zich op de vreemdste manieren uiten: 'Mijn hoofd is het hoofd van Homer Simpson in die ene scène waarin zijn hersenpan wordt uitgebeeld als een holle gele ruimte met daarin slechts een aap die twee bekkens tegen elkaar slaat.'
Columns & opinie
Hoe PhD’s als aangeschoten wild op de financiële martelbank belanden
Columns & opinie
Ik heb geen hulp nodig want ik weet alles zelf toch beter
Columns & opinie
Samenwonen is en blijft een dans van ‘die gore pan is niet van mij’
Columns & opinie
Hoe gekmakende sloopdrift leidt tot constante verandering van het Leidse landschap