Mag een werkgever wachtwoorden kraken?

password-salt.jpgEen lezer vroeg me:

Onze IT-afdeling heeft besloten dat security een extra aandachtspunt wordt en als onderdeel daarvan wil men middels rainbow tables en andere tools alle wachtwoorden uit het bedrijf eens gaan controleren. Ik heb daar moeite mee: ik gebruik sterke wachtwoorden maar bouw die wel op volgens een bepaald patroon, en als dat straks in interne documenten gaat rondzwerven dan schaadt dat juist de security. Mag de werkgever dit wel doen? Er zijn toch betere manieren om de beveiliging te versterken, zoals tweefactorauthenticatie.

Juridisch gezien denk ik dat hier weinig tegen te doen is. De werkgever bepaalt hoe het werk wordt uitgevoerd, dat is haast de definitie van werkgeverschap. Als hij vindt dat je wachtwoord zestien tekens lang moet zijn met maximaal acht letters, dan heb je maar zo’n wachtwoord te verzinnen. Wil hij geen tweefactorauthenticatie, dan zul je je daar als werknemer bij neer moeten leggen.

Het kraken van wachtwoorden om te kijken hoe sterk ze zijn, doet wat gek aan. Ik snap het wel: veel mensen hebben zwakke wachtwoorden, en met zo’n test kun je kijken hoe slecht je ervoor staat, om vervolgens draagvlak te creëren voor sterkere wachtwoorden of regels. Maar het kan vervelend zijn voor mensen die al een eigen, sterk wachtwoord hebben en zich nu verplicht zien een heel ander soort wachtwoord erop na te houden.

Ik weet alleen echt niet hoe je daar iets tegen kunt doen als werknemer. Dit is geen wijziging van je arbeidscontract of een schending van je grondrechten, en apert onredelijk kan ik deze actie ook niet noemen. Dat een andere oplossing sterker is (tweefactorauthenticatie) zie ik meteen, maar dat is echt de keuze van de werkgever. Ik zou dus niets anders weten dan het overleg aangaan en hopen dat de IT-afdeling inziet dat dat een betere besteding van het budget is.

Arnoud