'De zwakste schakel in de cyberketen kan ook de ontwerper zijn!' Dit betoogt CWI-directeur Ton de Kok in zijn blog voor AG Connect op 16 november 2021. Overname met toestemming.
De zwakste schakel in de cyberketen
kan ook de ontwerper zijn!
Blog voor AG Connect - 16 november 2021
De zwakste schakel in de cyberketen is de mens. Dat is inmiddels in alle toonaarden bezongen. Hacks slagen meestal niet door supergeavanceerde software, maar omdat mensen papiertjes met wachtwoorden laten slingeren. De vraag is hoe we dit kunnen uitbannen.
Een veelgebruikte methode is het regelmatig aanpassen van je wachtwoord. Gealarmeerd door hacks bij wetenschappelijke instellingen moest ik van de ICT-afdeling van de universiteit waar ik al 30 jaar in dienst ben, voor het eerst in lange tijd een nieuw wachtwoord bedenken. Tot dan was mijn wachtwoordlengte negen met hoofdletter, kleine letters, raar karakter en wat cijfers. En voor een wiskundige met context makkelijk te onthouden. Nooit gehackt. Maar ik ben ervoor gaan zitten: context bedacht (geen lopende zin), van alles door elkaar als boven aangegeven, 13 karakters. Supersterk wachtwoord. Krijg ik twee weken geleden bericht dat ik na 180 dagen een nieuw wachtwoord moet bedenken. Die had ik niet zien aankomen. Mijn gedachte is dat hackers, net als iedere dief van waardevolle zaken, op zoek zijn naar de weg van de minste weerstand. De dief is niet al 180 dagen bezig mijn sterke wachtwoord te kraken. Met 13 karakters uit een deelverzameling van 108 karakters (Android toetsenbord) kom ik op 3 maal 1026 mogelijkheden. Supercomputers hebben een rekenkracht van 100 PFLOPS, hetgeen betekent dat er gemiddeld 43 jaar nodig is om mijn wachtwoord te vinden. Ik weet niet of hackers op supercomputers werken.
Met dit in gedachten meldde ik de ICT-afdeling dat ik, gezien de moeite die ik genomen had om een sterk en makkelijk te onthouden wachtwoord te maken, niet van plan was het wachtwoord aan te passen. Ik suggereerde als alternatief 2-factor verificatie. Toen dat niet meteen bevestiging opleverde, terwijl de volgende automatische boodschap meldde dat ik over twee weken niet meer bij mijn account zou kunnen, raadpleegde ik Google ™: "Waarom een sterk paswoord steeds aanpassen?" Antwoord van Google was:
Eindeloos
"Die periodieke verandering van passwords werkt niet", zegt veiligheidsexpert Bruce Schneier. "Het stimuleert het gebruik van slechte wachtwoorden." Hackers die pogen wachtwoorden te achterhalen, proberen eindeloos combinaties uit.
Waarvan akte. Eindeloos is, dunkt mij, een goed gekozen woord bij wachtwoorden als het mijne.
Ik heb een nette reactie gehad van de Chief Information Security Officer (CISO), ik heb netjes bedankt, mijn sterke wachtwoord in tweeën geknipt en de twee helften gewisseld (mijn eerste toepassing van een genetisch algoritme) en het er, tot nu, bij gelaten.
Ontwerper
Is er een moraal aan dit verhaal? De zwakste schakel in de cyberketen is de mens. Maar dat is niet per se de gebruiker. Het kan ook de ontwerper van de beveiliging van het informatiesysteem zijn. We moeten natuurlijk wel blijven nadenken! En ten halve keren waar ten hele wordt gedwaald.
Mijn onderzoek naar wiskundige modellen voor ontwerp en besturing van bedrijfsprocessen heeft, vooral dankzij heel veel interacteren met probleemeigenaren (dit heet tegenwoordig ‘transdisciplinair onderzoek’), mij het belang doen inzien van kwalitatieve onderzoeksmethoden. Kern van het blijven nadenken is dat je eerst een scherpe probleemformulering opstelt, daarna een zorgvuldige (kwalitatieve) oorzaak-gevolganalyse uitvoert, vervolgens een diagnose stelt, en tenslotte een aantal oplossingsrichtingen duidt. Daarna ga je pas de diepte in van de bitjes, bytejes en procedures. Je houdt dan het overzicht, en je ontdekt het cruciale principe van de losjes gekoppelde systemen. Zodat af en toe de (cyber)keten breekt, zonder dat je er echt last van hebt. Want die papiertjes blijven slingeren.
Ton de Kok is algemeen directeur van het Centrum Wiskunde & Informatica (CWI) in Amsterdam. Daarnaast is hij hoogleraar Quantitative Analysis of Operational Processes aan de Technische Universiteit Eindhoven.
Bron: AG Connect - https://www.agconnect.nl/blog/de-zwakste-schakel-de-cyberketen
