Werknemers en systeemfouten zijn de voornaamste oorzaken dat er datalekken plaatsvinden, zo beweert het Ponemon Instituut…Daarbij worden het niet regelmatig wijzigen van wachtwoorden, het hergebruik van gebruikersnamen en wachtwoorden en het onbeheerd achterlaten van de computer als het meest risicovolle gedrag omschreven (bron).
We kunnen natuurlijk naar de medewerkers blijven wijzen en we kunnen ze de zwakste schakel blijven noemen, maar geef ze eens ongelijk. Welk mens kan er 10 inlognamen met 10 verschillende wachtwoorden (bestaande uit cijfers, letters en leestekens) onthouden? Dan resten er voor de medewerkers een aantal opties:
- Men schrijft de inlognamen en wachtwoorden op
- Men hergebruikt de inlognamen en wachtwoorden
- Men gebruikt voor ieder systeem een andere inlognaam/wachtwoord combinatie en moet ieder dag de helpdesk bellen
Inmiddels zijn veel bedrijven al serieus bezig met single sign on en bij de een lukt dat beter dan bij de ander. Maar het is in ieder geval een stap vooruit. We blijven ons als bedrijf echter verbazen over het feit dat de medewerker zijn inlognaam/wachtwoord maar niet lijkt te kunnen onthouden. Wat we daarbij echter vergeten is dat die medewerker zeer waarschijnlijk nog vele andere inlognamen en wachtwoorden te onthouden heeft die we als bedrijf niet op het netvlies hebben.
Naast de zakelijke werkplek (waar we al snel 5 of meer inlognamen hebben) heeft de medewerker waarschijnlijk ook nog wel een eigen emailadres (met inlognaam en wachtwoord), misschien heeft hij nog een LinkedIn account (met inlognaam en wachtwoord). Zit de medewerker niet toevallig op Facebook en Hyves (bieden met hun eigen inlognaam en wachtwoord) en Twittert hij niet zo af en toe (met inlognaam en wachtwoord).
Oh wacht, daar komt een aanslag van het Energiebedrijf. Of we even de meterstanden digitaal in willen vullen (met inlognaam en wachtwoord). De Belastingaangifte hebben we gelukkig net achter de rug dus kunnen we even buiten beschouwing laten. Oh ja, UPC (of Ziggo of een van de andere partijen) heeft gebeld, de nieuwe factuur staat online (met inlognaam en wachtwoord). Nou ja, inmiddels snap je de strekking van het verhaal.
Maar naast accounts met een inlognaam en wachtwoord moeten we ons ook nog identificeren bij de bank (met een pincode) en is je telefoon ook nog beveiligd (met een pincode). Heb je meerdere bankrekeningen en/of telefoons dan heb je natuurlijk ook meerdere pincodes. Maar goed, ook hier begrijp je de strekking van het verhaal.
Je moet inmiddels wel een hoogbegaafd iemand met een fotografisch geheugen zijn als je echt voor ieder systeem een aparte inlognaam, wachtwoord of pincode wilt bedenken en onthouden. Voor een enkeling is dat misschien weggelegd, maar voor het merendeel zulle we toch terug vallen op optie 1 of 2 en eerlijk gezegd kan ik het je ook niet echt kwalijk nemen.