De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers (9.3.1.1). Zo wordt het medewerkers makkelijker gemaakt om met het groeiend aantal wachtwoorden om te gaan. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!

Teveel wachtwoorden

Tegenwoordig heb je voor bijna alles een gebruikersnaam en een wachtwoord nodig. We moeten zoveel wachtwoorden onthouden, dat we steeds vaker voor makkelijk te onthouden wachtwoorden kiezen, of vaak hetzelfde wachtwoord gebruiken voor verschillende accounts. Toch zijn eenvoudige wachtwoorden net als hergebruik niet aan te raden. Je wachtwoord hoeft dan maar één keer uit te lekken en iemand heeft toegang tot al je accounts en/of applicaties. Ondanks dat we ons hier allemaal van bewust zijn, gebeurt het toch vaak. Simpelweg omdat we als mens niet gemaakt zijn om al die ingewikkelde wachtwoorden te onthouden.

Al deze uitdagingen voor wachtwoorden zijn voor gemeenten nog veel groter. Wachtwoorden vormen een belangrijk aspect van de gemeentelijke informatiebeveiliging. Goede wachtwoorden zorgen ervoor dat onbevoegden minder makkelijk toegang kunnen krijgen tot gemeentelijke informatie. Medewerkers maken gedurende de dag regelmatig gebruik van wachtwoorden, bijvoorbeeld om in te loggen op websites of gemeentelijke informatiesystemen. Het is dus belangrijk dat zij gebruik maken van sterke en veilige wachtwoorden en deze snel en gemakkelijk kunnen opzoeken. De oplossing? Het gebruik van een wachtwoordmanager.

Wat is het?

Een wachtwoordmanagers is een soort virtuele ‘kluis’ op je mobiele telefoon, tablet of computer waarin wachtwoorden veilig worden bewaard in een versleutelde database. De toegang tot de versleutelde database wordt afgeschermd met één hoofdwachtwoord of een makkelijk te onthouden wachtwoordzin. Zo hoef je niet allemaal verschillende wachtwoorden te onthouden: je logt in met een zorgvuldig gekozen hoofdwachtwoord of -zin. En omdat dat het enige wachtwoord is dat je nog hoeft te onthouden, mag deze best lang en complex zijn. Sterke wachtwoorden bestaan uit een lange reeks willekeurige tekens. Het zijn combinaties van hoofdletters, kleine letters, cijfers en symbolen.

De voordelen

Naast het opslaan en onthouden van complexe wachtwoorden, kan een wachtwoordmanager ook veilige en sterke wachtwoorden voor je bedenken. Bovendien worden de wachtwoorden ook nog eens automatisch ingevuld als je ergens wilt inloggen. Dit maakt het makkelijker om voor elk account een ander wachtwoord in te stellen. Hiermee beperk je het risico dat als eenmaal één account is gekraakt, een hacker ook gemakkelijk bij alle andere accounts kan komen.

Type wachtwoordmanagers

Wachtwoordmanagers zijn in veel gevallen beschikbaar als applicaties voor je mobiele telefoon, computer en webbrowser. Hierdoor heb je deze altijd bij de hand en worden wachtwoorden automatisch voor je ingevuld. Maar hoe kies je een juiste wachtwoordmanager? Er zijn online en offline wachtwoordmanagers.

• Online: Veel wachtwoordmanagers bewaren je inloggegevens online in de Cloud. Hierdoor kan je vanaf iedere computer, tablet of mobiele telefoon met internetverbinding inloggen om toegang te krijgen tot jouw kluis. Dit is gebruiksvriendelijk en werkt op verschillende apparaten. Handig dus!
• Offline: Als je liever zelf bepaalt waar je de kluis bewaart en hoe je deze beveiligt, kan je ook kiezen voor een offline wachtwoordmanager. Een offline wachtwoordmanager bewaart de kluis op jouw apparaat in bijvoorbeeld een map. Je kan dan alleen bij je wachtwoorden als je toegang hebt tot het apparaat waarop je deze kluis (map) bewaart.

Welke variant je gebruikt maakt niet zo heel veel uit, ze zijn allebei goed.

Hoe veilig zijn ze?

Volgens het Nationaal Cyber Security Centrum (NCSC) is de offline variant het veiligst. Een online wachtwoordmanager heeft namelijk één zwakte: namelijk dat de wachtwoorden worden opgeslagen in de cloud. Je moet er dus op vertrouwen dat er veilig wordt omgegaan met de versleutelde wachtwoorden in de cloud. Wanneer een cybercrimineel een kwetsbaarheid vindt in de betreffende clouddienst, is het mogelijk dat alle wachtwoorden van alle gebruikers op straat komen te liggen, aldus het NCSC. Bij een offline wachtwoordenkluis heb je zelf de controle over het beheer van de wachtwoorden. Wel is het belangrijk dat als je een offline wachtwoordmanager gebruikt je hier zorgvuldig mee omgaat. Vaak zie je dat medewerkers deze de hele dag open laten staan op hun bureaublad, omdat dat makkelijk is als ze gedurende de dag op verschillende accounts moeten inloggen. Uiteraard moet je dan niet je werkplek verlaten zonder je scherm te locken…

Tot slot geldt in beide gevallen: wees bewust van de risico’s van het gebruik van een wachtwoordmanager. Een veel genoemd argument is dat als een hacker toegang zou krijgen tot jouw wachtwoordmanager, hij alle wachtwoorden tot zijn beschikking heeft. Daarom is het dus zo belangrijk om een sterk hoofdwachtwoord voor je wachtwoordmanager te kiezen.

Het gebruik

Wil je als gemeente een wachtwoordmanager aanbieden aan alle medewerkers? Dan is het belangrijk dat je dit goed implementeert en het gebruik ervan stimuleert. Volg daarom onderstaand stappenplan:

• Onderzoek welke wachtwoordmanager het beste past bij de gemeentelijke situatie.
• Maak beleid voor het gebruik van wachtwoordkluizen binnen de gemeente; dit kan ook onderdeel zijn van het informatiebeveiligingsbeleid.
• Maak een handleiding of gebruik de bijbehorende documentatie als die er is.
• Communiceer hierover naar alle medewerkers; let op: alleen een intranetbericht plaatsen is vaak onvoldoende!
• Monitor het gebruik van de wachtwoordmanager (waar mogelijk).

Met een goede wachtwoordmanager zijn geeltjes onder het toetsenbord of aan de monitor toch echt passé!

Meer informatie?
Lees dan ook de handreiking ‘Wachtwoordkluizen BIO’ van de Informatiebeveiligingsdienst voor gemeenten (IBD).

Heb je na het lezen van deze blog vragen? Laat ons dit dan weten en neem contact met ons op.