27 september 2005

Een overvloed aan wachtwoorden en groeiende frustraties over de
wijze waarop die wachtwoorden worden beheerd maakt informatiesystemen
onveiliger, tegen alle verwachtingen in. Een onderzoek door RSA
Security wees hierop vandaag. RSA ondervroeg 1.700 eindgebruikers. 28 %
van deze gebruikers zoekt zijn weg tussen 13 of meer wachtwoorden in
het gebruik van Windows, specifieke applicaties en webportalen. Nog
eens 30 % heeft dagelijks te maken met tussen de 6 en 12 wachtwoorden.
Negen van de tien medewerkers begint gefrustreerd te raken over de
moeilijkheden waarmee ze worden geconfronteerd bij het beheer van de
wachtwoorden. Het zal dan ook niet als verrassing komen dat uit het
onderzoek blijkt dat strenge wachtwoordreguleringen (meerdere
wachtwoorden, lange en complexe wachtwoorden, veelvuldig wijzigende
wachtwoorden) gebruikers tot riskant gedrag uitnodigen en zodoende de
bedrijfsbeveiliging in gevaar brengen.

Als uit het hoofd leren van de wachtwoorden niet werkt gebruiken
gebruikers onveilige technieken, zoals het vastleggen van wachtwoorden
in een spreadsheet, in een PDA of op papier of Post-It (en dan liefst
geplakt op de monitor !). Meer dan 60 % van de gebruikers gaf toe de
wachtwoorden ergens vast te leggen. 4 % van de ondervraagden plakt de
wachtwoorden inderdaad op de computer. Vic DeMarines, senior product
manager van RSA, zou een hoofd-wachtwoord zijn, dat alle andere
wachtwoorden zou ingeven. Gebruikers ‘like the idea of a master key,
but they recognize that they would use it only if there was enough
strength to that master password,’ zegt DeMarines. ‘That call for
stronger security on the master could be a potential tie to a stronger
authentication technology, like a token.’ De grote meerderheid (82 %)
van de ondervraagden zegt dat de ICT-afdeling of de helpdesk betrokken
moest worden in iedere verandering van wachtwoord of herinnering aan
een bestaand wachtwoord. Hierdoor gaat ook flink wat produktiviteit
verloren, want 65 % van de gebruikers zegt dat ze plm. 15 minuten
moeten wachten totdat de ICT-afdeling een verloren of vergeten
wachtwoord heeft gereset. Het frustrerende is dat deze situatie alleen
nog maar slechter zal worden. ‘There’s a definite connection between
the number of passwords and compliance initiatives like Sarbanes-Oxley
and HIPPA‘, zegt DeMarines, ‘but people are also increasingly aware of
passwords because of threats like spyware. Passwords will continue to
grow, based on the heterogeneous composition of company’s
infrastructures and the [increasing] Web portals needed to do
business.’