Benjamin Franklin, een van de Founding Fathers van Amerika, zei ooit: ‘Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety.’ U snapt, ik heb het over echt belangrijke en fundamentele afwegingen. Vandaag wil ik het hebben over onderzoeksvrijheid of de milieu-impact van campusontwikkeling? Nee, zelfs nog belangrijker dan dat, namelijk de door IT opgelegde wachtwoordeisen aan je WUR-account.
Iedere drie maanden komt de waarschuwing van WUR IT: ‘Dit bericht is om je te laten weten dat je WUR-wachtwoord binnen vijf dagen verloopt.’
Als u op mij lijkt, pakt u een favoriet boekkarakter en krijgt u AnaSteele1!
Net als iedere andere WURknemer probeer ik binnen de tergend smalle kaders (geen voorgaand wachtwoord, geen lettercombinatie van twee letters die ook voorkomen in je accountnaam, wel hoofdletters, wel kleine letters, wel nummers en leestekens, meer dan zeven karakters lang en geen spaties) een nieuw wachtwoord te verzinnen. Als u op mij lijkt, pakt u een favoriet boekkarakter en krijgt u ‘AnaSteele1!’. Maar als u inmiddels acht jaar bij WUR werkt of studeert, bent u 24 wachtwoorden verder. Iemand die dertig jaar bij WUR werkt, zit inmiddels aan ‘Katniss12345!!!!!’ om bij de mailbox te komen.
Klein leed zegt u? Of niet zeuren Campsie, gewoon een passwordmanager instellen? Een passwordmanager maakt deze wachtwoordwisselingen onzinnig, want daarmee hoeft de cyberboef alleen uw passwordmanager-password (‘Guido1’) te vinden. Om dit te voorkomen is er tegenwoordig MFA, oftwel multi-factor authentication. Dus als ik opstart om 8:59 uur voor mijn meeting van 9:00 uur moet ik me niet alleen mijn wachtwoord herinneren (‘BellaSwan12!!’), maar daarna de telefoon unlocken (‘1234’), de authenticator-app openen, de code voor Microsoft geven en deze riedel voor elke WUR-applicatie opnieuw doen. Met als kers op de taart dat je altijd tien minuten lang niet snapt waarom je geen toegang hebt tot Eduroam op je laptop: je was even vergeten dat je in het weekend na de laatste waarschuwing van WUR IT je wachtwoord had gewijzigd en je dus het internet niet opkomt.
Daarom hier mijn pleidooi in de geest van van meer freedom en evenveel safety: WUR IT, gun ons gewoon een simpel en stabiel wachtwoord, we hebben immers MFA. En als jullie mij niet op mijn cybersecuritycredentials geloven, kijk dan bij Password Policy Recommendations van Microsoft zelf:
- Don’t require character composition requirements.
- Don’t require mandatory periodic password resets for user accounts
Password expiration requirements do more harm than good, because these requirements make users select predictable passwords, composed of sequential words and numbers that are closely related to each other. In these cases, the next password can be predicted based on the previous password. Password expiration requirements offer no containment benefits because cybercriminals almost always use credentials as soon as they compromise them.
Guido Camps (39) is dierenarts en onderzoeker bij Humane Voeding en OnePlanet. Hij houdt van bakken, bijen houden en bijzondere dieren.
Meer columns: