Ik neem aan dat julie je LinkedIn-wachtwoorden ook hebben veranderd ondertussen? Wat een pijnlijke fout was dat zeg, lekken van hashes van 6,5 miljoen wachtwoorden van gebruikers. Vooral omdat die hashes niet “gesalt” waren, waardoor eenvoudig te raden was wat de werkelijke wachtwoorden waren. Maar, zo vroegen vele lezers me, is hashen dan niet wettelijk verplicht?
Het flauwe antwoord op die vraag is dat wat verplicht is vaak totaal losstaat van wat bedrijven doen. Maar een iets minder flauw antwoord is dat de wet eigenlijk helemaal niets specifiek voorschrijft omtrent beveiliging. Zo ongeveer de enige relevante wet hier is de Wet bescherming persoonsgegevens, en die bepaalt dat je “adequate” beveiliging moet hanteren voor persoonsgegevens. Een LinkedIn-profiel is een verzameling persoonsgegevens, dus daar geldt die eis zonder meer op.
Maar wat is nu adequaat? Dat staat niet in de wet. Er zijn allerlei aanbevelingen van allerlei partijen (zoals de paper van het Cbp zelf) maar die zijn formeel niet bindend. Je moet dus zelf bepalen wat adequaat is, gezien het soort gegevens en hoe kwetsbaar of aantrekkelijk die zijn. LinkedIn zou dus kunnen zeggen “ongesalte wachtwoordhashes zijn goed genoeg voor onze profielen”, maar dan ben ik héél benieuwd naar de onderbouwing daarvan.
Sterker nog, ik kan me bijna niet voorstellen dat daar een onderbouwing voor te bedenken is. Het is ondertussen algemeen bekend dat gehashte wachtwoorden eenvoudig te kraken zijn. Hoewel ze in theorie niet omkeerbaar zijn, is het ondertussen praktisch goed te doen om met brute force uit te proberen welke wachtwoorden tot welke hashes leiden. Zo goed zelfs dat ik wel durf te zeggen dat ongesalte wachtwoordhashes bewaren net zo veilig is als gewoon de wachtwoorden zelf opslaan. Bijna niet dus.
Wettelijk gezien is er dus geen harde eis en geen vast toetsingskader. Maar van concrete maatregelen is wel te zeggen of ze wel of niet verstandig zijn. Weten jullie nog meer veel gemaakte fouten omtrent beveiliging?
Arnoud<br/> Foto: Cardinal Path