Bijna een op de acht wachtwoorden van gemeentelijke applicaties is door hackers onderschept en zwerft al ergens op het internet. Het ontluisterende percentage komt naar voren in een benchmark onder twintig gemeenten met in totaal zo n zevenduizend medewerkers. Meerdere gemeenten bevestigen de cijfers aan Binnenlands Bestuur.

Welkom01, Qwerty123, 123456. Het zijn bekende voorbeelden van erg slechte, door gemeenten gevoerde wachtwoorden waarmee het hackers wel heel makkelijk wordt gemaakt. Maar ook met complexere wachtwoorden zijn gemeentelijke applicaties niet veilig. Er wordt door gemeenten volop gewerkt aan bijvoorbeeld bewustwordingscampagnes voor sterke en unieke wachtwoorden, maar in de praktijk haalt het te weinig uit. Het overgrote deel van de ambtenaren gebruikt nog altijd zwakke wachtwoorden.

Analyse van 650.000 wachtwoorden

De Eindhovense scale up MindYourPass nam het wachtwoordenbeleid van twintig gemeenten met in totaal zo n zevenduizend medewerkers onder de loep voor een benchmark. Er werden daarbij wachtwoorden van 5.653 gemeentelijke applicaties gemeten, waarvan er door de gemeenten 120 applicaties als kritiek en 132 als belangrijk zijn aangemerkt. Dit leverde uiteindelijk een analyse op van ruim 650.000 inloggegevens. Daaruit blijkt dat 16,7 procent van alle wachtwoorden inmiddels te vinden is op haveibeenpowned.com, een website waar slachtoffers kunnen controleren of hun gegevens door hackers onderschept zijn. In 75 procent van de gevallen gaat het daarbij om zakelijke wachtwoorden.

Uit de benchmark wordt ook duidelijk dat ongeveer driekwart van alle ambtenaren onveilige wachtwoorden gebruikt. Zorgelijk zijn eveneens de scores voor wachtwoorden die gebruikt worden bij applicaties van gemeenten: zo n 60 procent van de wachtwoorden voor applicaties die ambtenaren gebruiken zijn niet veilig genoeg.  Een op de acht wachtwoorden is zelfs al onderschept en vindbaar op het internet. Uit de meting wordt duidelijk dat een groot deel van de ambtenaren vaak hetzelfde wachtwoord gebruikt voor uiteen­lopende applicaties. Zo neemt de kans op een geslaagde hackpoging met iedere applicatie verder toe. Teamleiders ICT van de gemeenten Hulst en de Kempengemeenten bevestigen het door Mind­YourPass geschetste beeld en de cijfers tegenover Binnenlands Bestuur. Zij geven aan dat het percentage gehackte wachtwoorden aannemelijk is voor alle gemeenten in Nederland.

Gemeenten begonnen met verbetertrajecten

Inmiddels zijn er met de hulp van Mind­YourPass bij de gemeenten trajecten in gang gezet waarbij het wachtwoorden gebruik naar een hoger niveau wordt getild. Alleen de ambtenaren die het belang ervan inzagen gebruikten de wachtwoordenkluis, en de rest deed dat niet, geeft het hoofd ict van de Kempengemeenten aan. Ambtenaren gebruiken vaak hun eigen methoden met wachtwoorden, en dan zie je vaak te makkelijke wachtwoorden op hergebruik gericht. De gemeente Eindhoven is inmiddels ook gestart met een MindYourPass traject.

Deze versturen we 3-4x per jaar.