Moet je je wachtwoord afgeven als de IT-afdeling dat wil?

| AE 7530 | Security | 41 reacties

Een lezer wees me op deze Tweakersdiscussie over het moeten afgeven van wachtwoorden aan de IT-afdeling:

Mijn vriendin (werkzaam als arts) kreeg onlangs te horen dat zij, omdat ze op veel verschillende locaties werkzaam is, een mobiele telefoon zou krijgen. Ze kon contact opnemen met de IT-afdeling om een afspraak te maken om de telefoon op te halen. Bij dat telefoongesprek werd haar gevraagd om haar gebruikersnaam en wachtwoord af te geven. Dit was zogezegd nodig om “De telefoon te koppelen aan haar account”.

Nu is de vraag natuurlijk: mag dat zomaar, even wachtwoorden vragen om de configuratie van een telefoon te doen? De IT-er in kwestie leek te denken van wel, sterker nog hij werd boos toen de vriendin weigerde dit af te geven en “dan moet je het maar zelf doen”.

Er zijn geen harde wettelijke regels over hoe om te gaan met wachtwoorden. Natuurlijk is het strafbaar om met andermans wachtwoord in te loggen op iemands account, maar dat geldt alleen als het ‘wederrechtelijk’ gebeurt. Een IT-er die in opdracht van de accounteigenaar inlogt, heeft een recht en is dus niet wederrechtelijk bezig. De vraag zou dan dus zijn: hééft hij die opdracht gekregen als hij op die manier het wachtwoord opeist?

Ik ben geneigd te zeggen van wel. Natuurlijk is het raar dat hij dat wachtwoord opeist, je kunt net zo makkelijk zeggen “typ nu even je wachtwoord in, dan kan ik weer verder” immers. Maar om nu te zeggen dat het strafbaar is om dat wachtwoord op te eisen, gaat me iets te ver. En sowieso, als beide partijen bij dezelfde organisatie werken dan lijkt het me al helemaal niet snel strafbaar als medewerker A op het account van medewerker B inlogt als dat een werkgerelateerde reden heeft.

Tegelijk is het wel behoorlijk incompetent handelen, zeker als ik dan ook het verhaal over de reactie van meneer lees:

Bij het ophalen werd haar wederom gevraagd om haar wachtwoord ‘even op te schrijven’ na weer dezelfde discussie gevoerd te hebben (dit was een andere persoon dan ze de voorgaande dag telefonisch had gesproken) gaf deze man uiteindelijk zelf zeer gepikeerd aan dat ze het dan zelf maar in moest voeren en dat hij ‘helemaal niet hield van dit soort praktijken’. Ook werd haar verteld dat ze de rest van het menu (op de telefoon) dan maar zelf moest doorlopen.

Daar word ik niet vrolijk van maar hier een juridisch verhaal van maken, zal niet meevallen. Dit is vooral een kwestie van je werk slecht doen, en dat is iets waar de IT-manager en/of de manager van de gebruiker iets van moeten vinden.

In de discussie vragen diverse mensen zich nog af of een IT-er een beroepsgeheim heeft. Dat heeft hij niet, alleen enkele specifieke beroepsgroepen (waaronder artsen en advocaten) hebben dat. Maar het is wél zo dat als een IT-er toegang krijgt tot vertrouwelijke informatie, hij strafbaar is als hij deze onthult (art. 273 en voor telecom-IT-ers 273d Strafrecht. Dat zou je een “beroepsgeheim” kunnen noemen, maar het is in feite “houd je mond over de bedrijfsgeheimen die je tegenkomt”.

Arnoud

Deel dit artikel

  1. Als ik artikel 273 lees, dan heeft dus vrijwel iedereen een beroepsgeheim, behalve ambtenaren, of is daar een apart artikel voor?

    Mag je je daar dan ook op beroepen als je moet getuigen in een eventuele rechtszaak, want dat is natuurlijk wat het beroepsgeheim voor o.a. artsen en advocaten bijzonder maakt (of kijk ik te veel Amerikaanse series :)).

  2. In ons IT reglement staat dat je je wachtwoord aan een IT’er moet geven indien hij deze vraagt.

    Ik ben toevallig de IT’er en soms weigert men dit toch te doen. Dan ga ik wel niet op mijn strepen staan, maar ook ik denk dan, “dan moet je het zelf maar doen”.

    De angst van de gebruiker is vaak dat ik bij hun geheime bestanden en emails kan, maar dat kan ik al. Het wachtwoord is alleen nodig om namens de gebruiker instellingen aan te passen of programma’s/apparaten te installeren/configureren.

      • Ja, dat kan goed werken, maar het is niet altijd even praktisch.

        Dat het niet praktisch is ligt soms ook deels aan de gebruiker. Ik doe een aantal dingen buiten werktijd, omdat tijdens werktijd men vertikt mij even wat tijd te geven.

        Een praktijk voorbeeld: gisteren ging ik de nieuwe laptop die we gebruiken voor presentaties voorbereiden. We werken met Office 365 en dan moet ik even als elke gebruiker die dat apparaat gaat gebruiken inloggen en Office 365 op hun naam activeren. Ik verzoek de gebruikers per email op hun wachtwoord. Drie reageren niet, drie geven hun wachtwoord, eentje weigert (omdat hij niet weet ik of ik wel ik ben) maar geeft hem later op de gang mondeling terwijl er externe mensen vlakbij zijn en de laatste legt, terwijl ik van mijn plek ben, een briefje met haar wachtwoord op mijn bureau.

        Als ik hun wachtwoorden zou resetten, mijn ding doe en ze hun wachtwoord weer aan zou laten passen zou men dat niet leuk vinden. Sowieso zullen er een aantal zijn die niet eens weten hoe dat moet. Het is voor hun lastig, het is voor mij lastig. Het zou veel makkelijker zijn als ze me hun wachtwoord zouden geven. Het systeem wil dat ze deze elke 3 weken aanpassen, dus het zijn toch geen wachtwoorden waarmee ik bij hun privé email of Facebook account zou kunnen komen.

        Wachtwoorden moet je geheim houden, maar ik vind dat je ze best mag delen met een IT’er die ook een collega is en die het wachtwoord voor iets nodig heeft. Je geeft ook je autosleutel aan de garagemonteur (al haal ik eerst mijn auto leeg).

        • Je positie is duidelijk en juridisch is dit verder niet zo’n erg interessante discussie. Maar ik wil wel iets opmerken. De praktische problemen waar je tegenaan loopt ontstaan door de vervelende praktijk, van in dit geval MS, dat om licentietechnische voor het kunnen gebruiken van een product een activeringsprocedure moet worden doorlopen en dat dan nog ook aangemeld als de beoogde gebruiker. Idiotie van de bovenste plank. Klanten zouden dat soort ellende niet moeten accepteren van hun leverancier !

      • Voor zover ik weet (maar ik ben geen jurist maar medicus) is er een ‘afgeleid beroepsgeheim/verschoningsrecht’ waarover redelijk uitgebreide jurisprudentie bestaat. Ik kan me voorstellen dat dat eventueel ook op de IT-er van toepassing zou kunnen zijn.

        Echter zou de ITer uiteraard eigenlijk nooit toegang moeten hebben tot de medische informatie, zeker niet duurzaam door een onveranderd wachtwoord.

        • In de zorg wordt gewerkt met een hoop gegevens die zeer gevoelig zijn, ook worden de IT middelen gebruikt om deze gegevens vaak voor korte tijd op te halen (op een ipad even de patientgegevens erbij pakken) in plaats van dat dit een keer per dag voor langere tijd gebruikt wordt. Hierdoor zien we weer dat SSO erg populair is in de zorg en het dus vaak mogelijk is om zodra ingelogd is alles te zien. Gezien het om persoonsgegevens gaat lijkt het mij dat de wbp hierop van toepassing is. En de wbp geeft aan dat persoonsgegevens behoorlijk dienen te worden beveiligd. En hoewel ik niet bekend ben met jurispudentie op dit punt lijkt me ook de audit trail voor wijzigingen van gegevens van essentieel belang voor de beveiliging (volgens de I in het BIV model) dit systeem haal je helemaal onderuit door accountgegevens te delen. Het antwoord op de vraag of je je accountgegevens moet delen lijkt mij duidelijk, nee. Daarnaast is het nog de vraag of het mag als je dat wil. Zoals Arnoud het hier omschrijft is het wettelijk niet verboden omdat het geen wederrechtelijke toe-eigening van de toegang is. De zorginstelling in het voorbeeld is er voor verantwoordelijk dit gedrag af te dwingen zover ik kan zien.

    • Dat moet niet uitmaken nu het delen niet plaats moet vinden omdat de gebruikersnaam / wachtwoord combinatie een identiteit is. Een autosleutel is dat overduidelijk niet. Dat een ICTer ergens bij kan zegt niet dat hij dan met de identiteit van een ander hetzelfde mag. Zeker niet omdat hij het de identiteit van die ander de informatie die voor verantwoording wordt gebruikt “vals” maakt. En dat het gaat om medische informatie met nog zwaardere geheimhoudingsplicht maakt het alleen maar erger.

  3. Is een wachtwoord een (bijzonder) persoonsgegeven in de zin van de WPB waarbij verwering ervan noodzakelijk moet zijn? “Handig voor de IT-afdeling” lijkt me geen dringende noodzaak; de IT’er kan ook, met de gebruiker erbij, de stappen doorlopen en dan op het moment supreme vragen “voert u nu zelf uw wachtwoord even in”.

  4. De arts heeft in dit geval volkomen correct gehandeld. Wachtwoorden deel je met niemand – ook niet met de IT-er. De eerste die moord en brand schreeuwt als er een “inbraak in het systeem” plaats vindt is de IT-er, die dan met z’n vinger naar de “domme gebruiker” wijst die z’n wachtwoord(en) gedeeld heeft. Juist in een omgeving waar hoog sensibele gegevens worden opgeslagen (i.d.g. medische) moeten de gebruikers voet bij stuk houden. Ook de IT-er krijgt geen wachtwoord.

    • Ik maak me wel een beetje zorgen over het feit dat er blijkbaar een onkundige IT-er beheer voert over medische IT-systemen. Meestal heb je als systeembeheerder namelijk helemaal het wachtwoord van de gebruiker niet nodig om bij opgeslagen gegevens te kunnen.

      Ik zou zeggen dat een arts vanwege zijn/haar beroepsgeheim alleen medische gegevens mag opslaan op / versturen naar apparaten die hij/zij zelf beheert (dus geen aparte systeembeheerder), of apparaten die onder beheer vallen van iemand die het zelfde beroepsgeheim heeft als de arts.

      Zo bezien zouden systeembeheerders in de medische sector al snel een beroepsgeheim moeten hebben. Waarom hebben ze dat niet?

  5. Mijn vriendin (werkzaam als arts) kreeg onlangs te horen dat zij, omdat ze op veel verschillende locaties werkzaam is, een mobiele telefoon zou krijgen. Ze kon contact opnemen met de IT-afdeling om een afspraak te maken om de telefoon op te halen. Bij dat telefoongesprek werd haar gevraagd om haar gebruikersnaam en wachtwoord af te geven. Dit was zogezegd nodig om “De telefoon te koppelen aan haar account”.

    Als ze die telefoon toch op komt halen, dan kan ze op het moment van ophalen toch wel haar wachtwoord intypen in de telefoon? Als die IT-afdeling een beetje goed is, dan maken ze het zo dat dat maar 1 keer nodig is, en dat de telefoon daarna meteen klaar is voor gebruik.

    Dat lijkt me veel veiliger dan wachtwoord afgeven via een telefoongesprek: via een telefoongesprek ben je veel gevoeliger voor “social engineering”.

  6. Ja, en dat wachtwoord deel je natuurlijk met je prive-mail en dergelijke, of het is iets heel genants.

    Maar dit is toch heel makkelijk te mitigeren?

    Je reset je wachtwoord naar 0Kd@nl05eR5 en geeft dat door, tien minuten later ga je het weer terugwijzigen naar je oude vertrouwde wachtwoord. Een proactieve IT-er die dit soort gedoe wil ontwijken zou natuurlijk zelf even reset password doen en je daarna laten weten dat hij je password heeft moeten resetten en dat je het weer even terug moet wijzigen.

    • Heel lang geleden in een kinderachtige bui een IT-er mijn wachtwoord moeten geven, terwijl ik aan een acquisitie werkte die strikt vertrouwelijk was. IT kon om deze reden niet bij mijn bestanden, maar als ik mijn wachtwoord gaf was omzeild.

      Ik heb toen al die bestanden in een encrypted zip file verpakt, de single sign-on omzeilt en mijn e-mail en windows password verschillend gemaakt. En het windows password gegeven, daar had ik (de kinderachtige bui) ‘Dr0pd34d’ van gemaakt.

    • Dan ga je er van uit dat gebruikers in staat zijn zelf hun wachtwoord te wijzigen en vervolgens of ze in staat zijn dat op hun mobiele devices in te stellen. Het leven van IT-ers zou een stuk makkelijker zijn als deze vragen met ja beantwoord zouden kunnen worden. Als de infrastructuur goed is ingericht dan is een password opnieuw gebruiken bijna onmogelijk (of heel erg tijdrovend).

      Als IT-er wil ik de wachtwoorden van gebruikers juist niet weten. Een gebruiker die mij zijn wachtwoord vertelt krijgt per direct een password reset. Als ik iemands wachtwoord weet kan ik beschuldigd worden van eventueel misbruik van iemands account. (Ik heb die beledigende mail niet gestuurd, dat is de IT-er geweest die mijn wachtwoord wist).

  7. Ik heb iets vergelijkbaars meegemaakt met een nieuwe telefoon die voor me ingesteld zou worden met een Apple ID. De aangeraden oplossing was om een aparte Apple ID aan te maken met een tijdelijk wachtwoord en dat te wijzigen na ontvangst van de telefoon.

    Lijkt me een prima werkwijze, wat ik ook met andere helpdesken wel gedaan heb als zij toegang nodig hadden tot een account. Tijdelijk wachtwoord instellen en achteraf wijzigen dus.

  8. Wat zijn wachtwoorden toch ondingen. De ene helft van de IT-wereld vertelt gebruikers dat ze nooit hun wachtwoord moeten afstaan en zeker niet op e-mailtjes moeten reageren waarin om wachtwoorden gevraagd wordt. De andere helft vraagt juist wel om wachtwoorden, al dan niet uit noodzaak. Nogal wiedes dat gebruikers zich dan al snel niks meer aantrekken van wat de IT-afdeling zegt.

  9. Het probleem zit ‘m in het grote spectrum aan IT-problemen waarmee ze bij je komen. Ik zit zelf in het technisch applicatiebeheer en wil het wachtwoord van de gebruiker bij voorkeur niet weten. Echter, soms moet je wel omdat er een virtual private database of zo is ingericht (en je dus zelfs in Godmode niet bij de data kunt omdat je niet de juiste rol hebt in het systeem…). Ik leg wel altijd zo goed mogelijk uit waarom (vaktaal vermijdend), en geef ook een wachtwoordreset als ik klaar ben (waarbij ik wederom uitleg waarom met zo weinig mogelijk vaktaal).

    Bij onze kantoorautomatisering werkt het zo dat je bij de IT-er komt en dan even moet wachten op je laptop/telefoon/whatever terwijl hijzij af en toe vraagt: “kun je je wachtwoord even invoeren”. Dat laatste zou ik zelf bij mijn gebruikers ook liever doen, maar we doen remote beheer dus da’s wat lastig…

    Uiteindelijk kunnen wachtwoorden best ondingen zijn idd, maar ik veronderstel dat alle andere vormen van authenticatie dat ook zijn, vooral toen ik een video zag waarin uitgelegd wordt hoe makkelijk vingerafdruk- en irisscanauthenticatie te foppen blijkt te zijn.

  10. Bij een vorige werkgever was het strict verboden het wachtwoord met wie dan ook te delen, en kon de IT afdeling prima zijn werk doen zonder ooit (niet eenmaal in 12 jaar) mijn persoonlijk wachtwoord te vragen (dat ik zelf had ingesteld). IT afdelingen die om gebruikerswachtwoorden vragen zijn volgens mij dan ook incompetent.

    • Dat is wel heel kort door de bocht.

      Ik ben van de IT afdeling en van veel gebruikers heb ik nooit het wachtwoord gevraagd, maar in een aantal gevallen is het veel praktischer. Natuurlijk kan alles zonder wachtwoord van de gebruiker, maar dan moet je je werk doen met de gebruiker aan je zijde. Het probleem dan is dat veel gebruikers onwillig zijn hun werk te onderbreken terwijl jij met de computer rommelt.

      Wanneer ik vraag om wachtwoorden is dat om zaken voor te bereiden of buiten werktijden zaken te regelen of op te lossen.

      Dat men naar de IT lastig doet over het afgeven van wachtwoorden snap ik niet. Ik kan sowieso al bij alle emails en bestanden, ik kan het wachtwoord aanpassen, het account wissen, aanmaken, alles. Het wachtwoord heb ik alleen nodig om namens de gebruiker zaken in te stellen. Het is niet zo dat men hetzelfde wachtwoord gebruikt voor Facebook of andere privézaken, want men moet het wachtwoord elke 3 weken aanpassen.

    • Soms heb je een wachtwoord nodig van een externe partij. Als programmeur heb ik soms toegang nodig tot andere systemen en heb dan ook gewoon die wachtwoorden nodig.

      Bij oplevering zeg ik wel altijd heel expliciet dat ze direct het wachtwoord moeten wijzigen! Vooral om later, als er toch iets gebeurt met dat systeem, geen probleem te krijgen.

      Bij interne systemen heb je overigens helemaal gelijk, daar zou je nooit een wachtwoord voor nodig hoeven hebben.

      • Geklungel (niet persoonlijk bedoeld). Wanneer de externe toegang wordt verkregen op basis van publieke sleutel authenticatie (typisch SSH) dan kan de autorisatie heel eenvoudig eenzijdig door de eigenaar van het systeem worden ingetrokken door de publieke sleutel te verwijderen. Onder *NIX is dit een heel gewone praktijk, onder MS Windows kan dat ook, maar ja, het behoort niet tot de cultuur van dat platform.

        • Systeem != server Ik heb bijvoorbeeld toegang nodig tot verschillende API’s of (externe) websites waar informatie vanaf gehaald moet worden. Test accounts zijn niet altijd een optie bij deze externe partijen waardoor je toch echt een un/pw moet delen.

          Zeggen dat je nooit een wachtwoord nodig zou moeten hebben staat los van een werkelijkheid waarbij er vele scenario’s te bedenken zijn waarbij het tóch nodig is om een wachtwoord te moeten delen.

  11. Het medisch beroepsgeheim is niet (alleen) een recht van patient, maar ook een plicht van de arts: dat clienten zich vrij voelen om hulp te vragen, wordt zo belangrijk gevonden dat alle medici verplicht zijn hun kaken op elkaar te houden.

    Mischien moeten we zoiets ook doen met wachtwoorden. Ze zijn zo belangrijk voor de beveiliging dat we de plicht moeten invoeren om ze altijd en overal geheim te houden, ook als de IT-afdeling er om vraagt. Dan is het altijd duidelijk: nooit je wachtwoord geven. Dan kan je gelijk ook het vragen naar wachtwoorden strafbaar stellen…

  12. Enigszins offtopic: Voor degenen die graag een sterk wachtwoord willen gebruiken dat ook nog eens makkelijk(er) te onthouden is: xkcd: Password Strength. Zie ook discussie hierover op Explain xkcd (met name Bruce Schneier’s kritiek en daarop volgende weerleggingen). Diceware is een goed alternatief, zie SoylentNews artikel. Het idee is dat je een password kiest met genoeg entropie (random-heid) maar makkelijk genoeg te onthouden zodat je het niet op een papiertje op hoeft te schrijven of je de naam en geboortedatum van je kinderen of ander makkelijk te raden gegevens hoeft te gebruiken als geheugensteun.

  13. “Maar om nu te zeggen dat het strafbaar is om dat wachtwoord op te eisen, gaat me iets te ver.” Niet strafbaar, maar onrechtmatig. De gebruiker kan het overigens zelf daarna resetten. “Bij oplevering zeg ik wel altijd heel expliciet dat ze direct het wachtwoord moeten wijzigen!” Wat ze vervolgens niet doen.

  14. Zo’n wachtwoord is helaas nodig, om de e-mail af te kunnen regelen. Zelf ga ik even langs bij een gebruiker, met het verzoek deze in te geven. Is deze niet aanwezig, dan laat ik een e-mail achter of deze contact op kan nemen met mij. En als ik in het uitzonderlijke geval, het wachtwoord van een gebruiker krijgt. Dan laat ik een nieuw wachtwoord ingeven, bij de eerst volgende inlog van deze gebruiker. Overigens is het sowieso een kwestie van vertrouwen, daar een beetje netwerk- systeembeheerder bijna overal bij kan.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS