Microsoft maakt einde aan wachtwoorden, andere techbedrijven voorlopig niet

Microsoft kondigde onlangs aan gebruikers de keuze te bieden zonder wachtwoorden in te loggen, zo las ik bij Nutech.nl. Wie dat wil, kan sinds kort het wachtwoord van zijn Microsoft-account verwijderen en inloggen met gezichtsherkenning, een toegestuurde sms- of mailcode, een codegenerator of een fysieke sleutel. Op zich natuurlijk geen juridisch nieuws, maar ik licht het er toch even uit omdat a) security ontzettend belangrijk is binnen de ict en b) juristen zich regelmatig tegen wachtwoordbeleid aan bemoeien.

Microsoft maakt de stap omdat wachtwoorden fundamenteel onveilig zijn. Ze kunnen worden afgekeken, geraden of uit datalekken afgeleid. Eigenlijk was het altijd al een hele rare keuze, wachtwoorden. Mensen iets laten doen waar computers heel goed in zijn en mensen niet (onthoud acht tekens, waarvan minstens drie hoofdletters, minimaal één cijfer en één leesteken maar niet als eerste teken, u kent het wel), hoe kom je er bij. Maar goed, in de jaren zeventig was dat de enige logische keuze.

Ook het wijzigen van wachtwoorden komt uit die tijd. Het Amerikaanse ministerie van Defensie had recent ontdekt dat aanvallers wachtwoorden konden kraken, zelfs als ze versleuteld waren opgeslagen. Het terugrekenen van de versleuteling (jaja, ik weet het maar leg jij rainbow tables eens uit in gewone taal) kostte ongeveer zes weken, zo was de inschatting. De praktische oplossing: elke maand een nieuw wachtwoord, dan is de informatie voor de criminele aanvaller verouderd voordat deze hem gevonden heeft. Die regel belandde ergens in de algemene kennis van de ICT-securityspecialisten – en de juristen, want dit is praktische regelgeving en dat is hardnekkiger dan de Grondwet om te veranderen.

Al geruime tijd is er een verbetering, namelijk tweefactorauthenticatie. Daarbij heb je naast je wachtwoord ook bijvoorbeeld een vingerafdruk nodig of een fysiek token. Dat scheelt in het aanvalsgemak, maar:

Veel vormen van 2FA berusten nog steeds op het inloggen met wachtwoorden, wat deze manier van inloggen nog steeds kwetsbaar maakt voor aanvallen van buitenaf. Het is veiliger dan inloggen met alleen een wachtwoord, maar de kwetsbaarheden van het wachtwoord worden niet weggenomen.
Wie dat wil, kan sinds kort het wachtwoord van zijn Microsoft-account verwijderen en inloggen met gezichtsherkenning, een toegestuurde sms- of mailcode, een codegenerator of een fysieke sleutel. Dat is echt een stap vooruit, en ik hoop dan ook dat andere bedrijven snel gaan volgen. (Ik gebruik zelf al lange tijd een Bluetooth-koppeling: als mijn telefoon (die in mijn zak zit) te ver van mijn laptop is, dan gaat mijn laptop op slot. Een wachtwoord draagt daar niets meer aan bij.)

Het juridische haakje: u mag nu even de verwerkersovereenkomsten controleren op uw passende technische en organisatorische maatregelen onder artikel 32 AVG die u opgelegd zijn of die u aan verwerkers oplegt. Afgaande op de paar duizend verwerkersovereenkomsten uit onze contractenscanner staat daar namelijk in dat men sterke wachtwoorden moet hanteren (32% van de clausules) en maar zelden iets over 2FA (4%). Regelmatig wijzigen van wachtwoorden staat vrijwel altijd (78%) bij die wachtwoordclausules, wat binnen de securitywereld juist een slecht idee is – dan krijg je welkom42 of X5j13$#eOktober als wachtwoorden. Tijd dus om hier nieuwe regels over in te voeren.

Meelezende juristen en compliance officers: ondersteunt jouw securitybeleid en/of VO het gebruik van wachtwoordloze authenticatie?

Arnoud

Man die wifi-wachtwoord voor ander doel gebruikte schuldig aan computervredebreuk

Rollstein / Pixabay

Een 51-jarige man die als schoonmaker een verborgen camera plaatste en die koppelde met het wifi-netwerk van zijn slachtoffer heeft zich onder andere schuldig gemaakt aan computervredebreuk, meldde Security.nl onlangs. De rechtbank Amsterdam veroordeelde de man eind augustus tot 10 maanden cel (4 voorwaardelijk) voor deze computervredebreuk, gekoppeld aan het maken van stiekeme intieme beelden in de slaapkamer van zijn opdrachtgever. Het is in zoverre opmerkelijk dat enkel “gebruik voor ander doel” niet snel computervredebreuk is.

De zaak kwam aan het licht toen de vrouw een verborgen ip-camera had ontdekt, die was vastgeplakt met hetzelfde dubbelzijdige tape dat de schoonmaker eerder voor klusjes in haar huis had gebruikt. De verdachte was daarnaast één van de weinige personen die een sleutel van het huis van de vrouw had. De camera was aan het wifi-netwerk van het huis gekoppeld; de man had het wachtwoord gekregen zodat hij tijdens het werk naar muziek kon luisteren. En dat ziet de rechtbank als een probleem:

Nu verdachte het wifi-wachtwoord heeft gebruikt met een ander doel dan waarvoor deze aan hem was verstrekt is de rechtbank van oordeel dat verdachte opzettelijk wederrechtelijk is binnengedrongen in een geautomatiseerd werk (de router dan wel het wifi-netwerk), door middel van een valse sleutel.
Enige tijd geleden hadden we in Amerika de uitspraak dat je bevoegdheid misbruiken geen computervredebreuk meer was, dankzij de Supreme Court. In Nederland ligt dat iets subtieler: in 2019 hadden we bijvoorbeeld wijkagent Jan die mensen natrok, wat de grenzen van zijn autorisatie ver te buiten ging en computervredebreuk opleverde. Hier zou ik het ook zeker wel “vér te buiten” vinden gaan, de sprong van “mag ik muziek luisteren via je netwerk” naar stiekem een ip-camera via dat netwerk laten werken die met een bewegingssensor geactiveerd wordt is hoe dan ook te groot.

Het wil dus niet zeggen dat wanneer je autorisatie tot X hebt, dat dan ieder gebruik dat de letter van X te buiten gaat, automatisch computervredebreuk is. Had de man het wifi-wachtwoord gebruikt om ook te kunnen internetten (even Buienradar bekijken of googelen hoe je balpen van een houten tafel krijgt) dan zou ik er zeer veel moeite mee hebben gehad als dat computervredebreuk zou opleveren.

Naast de computervredebreuk wordt de man ook veroordeeld tot het afluisteren van gesprekken in die slaapkamer, en specifiek het vervaardigen en bezitten van “een afbeelding van seksuele aard” (art. 139h Strafrecht). Dit artikel is deel van het verbod op wraakporno, wat hier niet echt het geval is (“gewoon voyeurisme”) maar het artikel past bij het feit. Hij krijgt alles bij elkaar 10 maanden cel waarvan 4 voorwaardelijk, en moet bijna 1200 euro schadevergoeding betalen.

Arnoud

Help, onze systeembeheerder houdt de wachtwoorden achter tot hij afgekocht is!

Een lezer vroeg me:

Bij ons bedrijf wordt de ICT door één persoon gerund. Vanwege een arbeidsconflict zit deze nu ziek thuis, en wij komen erachter dat allerlei wachtwoorden niet centraal bekend zijn zodat we steeds meer problemen krijgen met beheer en continuïteit. We hebben de wachtwoorden gevraagd aan onze zieke medewerker, maar die wil dat onderdeel maken van de schikking/vaststelling ontbinding arbeidsovereenkomst. Wat moeten wij nu doen?
Helaas krijg ik berichten als deze met enige regelmaat, soms gaat het om langdurige ziekte, soms om thuiszitten vanwege pesterijen, soms om een ernstig ongeval. Maar er zijn dus heel veel bedrijven met één iemand die de ICT doet en die als enige de wachtwoorden heeft.

Zoals een wijs HR-adviseur eens tegen me zei, onmisbare mensen moet je meteen ontslaan. Dat is hier denk ik vrij simpel: “ik wil graag de beheer-wachtwoorden en wel nu” is volgens mij een redelijk en normaal dienstbevel om als directeur te geven. Dat weigeren is een grond voor ontslag op staande voet, art. 7:678 lid 2 sub j BW (werkweigering):

Dringende redenen zullen onder andere aanwezig geacht kunnen worden … (j) wanneer hij hardnekkig weigert te voldoen aan redelijke bevelen of opdrachten, hem door of namens de werkgever verstrekt;
Ik houd daarbij wel de slag om de arm dat bij ontslagzaken de rechter altijd alle omstandigheden laat meewegen, en dat je dus altijd op zijn minst discussie krijgt over wat een “redelijk bevel” is. Maar gezien deze context (het bedrijf komt piepend en krakend tot stilstand nu) zie ik wel hoe de werknemer mee moet werken.

Natuurlijk zit je met het praktische probleem dat de werknemer kan blijven weigeren (“jullie ontslaan me toch wel”) en eventuele dwangsommen voor lief neemt. Of bij wijze van spreken het vliegtuig naar China neemt en niet meer terugkomt. Dit is waarom ik altijd zeg dat je bij digitale data liever een praktische dan een juridische oplossing wilt. Want als die werknemer niet met een geschil ziek thuis zat, maar onder de tram was gekomen, wat had je dán gedaan om de wachtwoorden terug te krijgen?

Arnoud

Kan ik de werkgever aansprakelijk houden voor schade door de 2FA-app?

Een lezer vroeg me:

Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto’s, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag ik me af of ik mijn werkgever aansprakelijk kan stellen als er iets misgaat met die app.
De vraag over het installeren van apps op je privételefoon is natuurlijk al vaker langsgekomen. In 2018 zei ik nog dat dat eigenlijk niet kan, dat de werkgever maar voor een werktelefoon moet zorgen. Maar ik realiseerde me later dat je vanuit goed werknemerschap best verplicht kunt zijn iets kleins zelf te regelen, ook al is dat strikt gesproken met een privételefoon.

Zo’n authenticator app komt over als iets kleins: het ding produceert authenticatiegetallen waarmee je een inlogpoging afmaakt. Er is geen netwerkverbinding nodig, de app is buitengewoon klein en er zit verder weinig bijzonders aan. Vanuit dat perspectief lijkt me deze app prima passen in dat idee van “doe dat gewoon even, kom op nou” oftewel goed werknemerschap.

Ik zie inderdaad dat deze app ontzettend veel permissies vraagt, en ik zou de FAQ moeten lezen om te weten wat die app allemaal van plan is. Wordt er zo veel gelogd? Waarom moet de app weten waar ik ben en mijn foto’s bekijken alvorens een authenticatiecode af te geven? En zijn er dan toch beveiligings-zwakheden die misbruikt kunnen worden om zo mijn telefoon te infecteren? Geen idee, daar kan ik als privépersoon weinig over zeggen.

Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer. Dat is vrijwel nooit het geval (en nee, je updates vergeten te bijwerken zie ik niet als bewuste roekeloosheid) dus als de authenticator app die de werkgever voorschrijft schade bij jou veroorzaakt, dan kun je verlangen dat de werkgever die vergoedt.

Arnoud

FBI deelt voortaan uitgelekte wachtwoorden met Have I Been Pwned, mag dat van de AVG?

De FBI gaat uitgelekte wachtwoorden die het tijdens onderzoeken tegen gekomen is, in het vervolg delen met de website Have I Been Pwned. Dat meldde Tweakers onlangs. De wachtwoorden die de FBI met Have I Been Pwned deelt, zullen worden voorzien van een SHA-I en NTLM-hashparen, zodat ook HIBP-eigenaar Troy Hunt de wachtwoorden niet in plain text heeft. Wat de interessante vraag opriep: mag dat van de AVG?

De eerste vraag is dan natuurlijk, verwerkt HIBP dan persoonsgegevens? Want een wachtwoord is weliswaar persoonlijk maar zegt op zich niets over de persoon. Klopt, maar dat is natuurlijk gekoppeld aan een e-mailadres en dat is wél een persoonsgegeven (uitgaande van wim.tenbrink@example.com-achtige mailadressen, over info@ heb ik het even niet).

Emailadressen worden verwerkt: als je in de dienst je mailadres opgeeft, meldt deze in welke breaches je opgenomen bent. Natuurlijk wordt het wachtwoord niet getoond. Zoals de site het uitlegt:

When email addresses from a data breach are loaded into the site, no corresponding passwords are loaded with them. Separately to the pwned address search feature, the Pwned Passwords service allows you to check if an individual password has previously been seen in a data breach. No password is stored next to any personally identifiable data (such as an email address) and every password is SHA-1 hashed.
Desondanks: ja, HIBT verwerkt dus persoonsgegevens want ze hebben een lijst met mailadressen met daaraan gekoppeld de informatie waar deze slachtoffer van datalekken zijn geworden. En dan krijg je dus de vraag of de AVG van toepassing is, omdat dat Hunt in Australië gevestigd is met zijn site.

Er zitten bergen mailadressen van Europeanen in die gelekte databases, waardoor je kunt gaan kijken naar artikel 3 lid 2 AVG. Want dat regelt situaties waarin de AVG van toepassing is ondanks dat de verwerkingsverantwoordelijke niet in de EU is gevestigd. Eis is dan dat

de verwerking verband houdt met: a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.
Optie b (monitoren van gedrag) lijkt me vrij evident niet van toepassing, Hunt monitort helemaal niemand. Dus dan is de vraag of Hunt diensten aanbiedt aan deze betrokkenen (want goederen zijn er natuurlijk niet). Is die dienst dan de website, waarin je je mailadres invult en “ja” te horen krijgt, of de achterliggende dienst waarbij hij data verzamelt en koppelt ten behoeve van die website-dienst?

In het eerste geval geldt de AVG zonder twijfel, maar dan gaat het meteen goed met de grondslag en dergelijke: jij vraagt dan om die dienst (“Have I been pwned? :O”) en je krijgt die geleverd (“yes :(“) waarbij de verwerking best wel noodzakelijk is en bovendien voldoet aan dataminimalisatie.

In het tweede geval vraag jij nergens om – Hunt verzamelt immers zonder opdracht ieders gegevens uit allerlei lekkages en zet die in zijn database. Maar dan kun je meteen er achteraan stellen dat Hunt ook geen diensten aan jou levert, hij doet dat voor zijn eigen plezier. Pas wanneer jij gaat zoeken, is sprake van een dienst – en dan zitten we weer bij geval 1. Dus volgens mij gaat deze dienst goed, AVG-technisch.

Arnoud

Kan een ICT-leverancier bij contractuele ruzie weigeren de wachtwoorden te geven?

Een lezer vroeg me:

Als opdrachtgever zijn we erg ontevreden met een ICT-leverancier. We zeggen op (conform contract), en verzoeken ze de wachtwoorden van alle diensten over te dragen zodat we alles in eigen beheer kunnen nemen. Dit wordt geweigerd omdat er volgens hen nog facturen open staan en een afkoopsom betaald zou moeten worden. Wij betwisten dat. Kunnen wij de wachtwoorden opeisen?
Dat zal echt 100% afhangen van wat in je contract met die leverancier staat. Als er niets staat, dan heb je een enorm probleem als je de wachtwoorden niet hebt en de diensten kritisch zijn voor je bedrijfsvoering.

Er is in de wet niets bijzonders geregeld over toegang tot diensten. Die worden geen eigendom van de klant bijvoorbeeld, in tegenstelling tot zeg de producten die voor je worden gemaakt. Zulke producten zou je nog kunnen opeisen (hoewel eigendomsvoorbehoud et cetera daar het ingewikkeld kan maken) maar het wachtwoord voor een dienst die beheerd wordt door de dienstverlener, dat valt daar zeker niet onder.

Natuurlijk kun je zeggen, het contract met die dienst staat op mijn naam, dus ik wil de toegang tot mijn dienst. Maar dan moet je bij de eigenlijke dienstverlener zijn, de derde partij wiens dienst door jouw ICT-leverancier wordt beheerd. Die zou jou dan een nieuw wachtwoord moeten geven. Of die dat doet, is de vraag; vaak werken die met resellers of dit soort ICT-partners omdat ze niet zelf met de eindklant bezig willen zijn.

Dit is dus waarom je het contractueel moet regelen met die leverancier. Daarbij zit er nog wel één grote angel: als er ruzie ontstaat over het contract, dan kan de leverancier het contract besluiten op te schorten. Dan hoeven ze niets te doen, dus ook niet de afspraak nakomen dat ze je wachtwoord moeten geven. Natuurlijk moet de reden voor die ruzie dan wel kloppen, maar hoe dan ook ben je vele weken verder totdat de rechter in kort geding oordeelt dat de wachtwoorden toch moeten worden gegeven.

Met wachtwoorden is het dus net als met data in het algemeen: vertrouw niet op juridische constructies om erbij te kunnen. Zorg dat je ze gewoon hebt.

Arnoud

Is het ethisch hacken om het Twitterwachtwoord van Trump te raden?

De Nederlandse ethische hacker Victor Gevers heeft vorige week naar eigen zeggen het Twitter-account van Donald Trump gehackt. Dat meldde Tweakers vorige week. Het wachtwoord (maga2020!) was eenvoudig te raden, zegt Gevers tegen Vrij Nederland. VN zegt ook dat er sterke aanwijzingen zijn dat Gevers achter een beruchte tweet van de president zat. Het gaf de nodige discussie over ethisch hacken, dingen mogen veranderen en hoe publiek je mag gaan met zo’n ontdekking.

Victor Gevers was ook een van de hackers die in 2016 in wisten te breken op het account van Trump. Daarom kreeg deze inlog zo veel aandacht, hoewel er ook twijfel is over de echtheid. Twitter zelf zegt geen rare inlog te hebben gezien, en bij een screenshot van Gevers dat het interne profiel van Trump toont, ontbreekt het Amerikaanse vlaggetje in de biografie-regel. (Mogelijk kwam dat door de gebruikte browser/OS combinatie.)

Maar dat even terzijde. Stel inderdaad, je weet het wachtwoord van zo’n prominent account te raden en je ziet dat ook alle beweerdelijke extra maatregelen (zoals 2FA) er niet zijn. Wat mag je dan doen? Nou ja, het slachtoffer en/of de dienstverlener informeren natuurlijk, dat past volledig binnen de heersende spelregels voor ethische hackers.

Ermee naar buiten treden is een ander verhaal. Natuurlijk, bij responsible disclosure hoort ook een melding op zeker moment zodat het publiek ook weet wat er mis is. Maar dat is omdat het publiek getroffen kan zijn door het lek dat jij als ethisch hacker had ontdekt. Of omdat ze moeten weten dat die dienstverlener zat te prutsen. Bij een probleem als dit zie ik geen reden om met (responsible) disclosure te dreigen.

Wel is het natuurlijk zo dat het zeer groot nieuws is dat dit oppermachtige Twitteraccount zó slecht beveiligd is. Dan kun je prima naar de pers stappen en melden dat je dit nieuws ontdekt hebt. Ook als je het zelf hebt gemaakt, dat nieuws. Een journalistieke hack is niet hetzelfde als een ethische hack.

Arnoud