Een goed wachtwoord heeft minimaal 15 tekens
De veiligheid online heeft de afgelopen weken volop in de belangstelling gestaan. Bij de meest recente actie werden UU’ers gevraagd hun wachtwoord te wijzigen. Daar hebben niet veel mensen gehoor aan gegeven. “Terwijl het van belang is voor een veilige werkomgeving.”
De veiligheid van het computernetwerk aan de UU vergt blijvende aandacht. Het expertiseteam Informatiebeveiliging van de universiteit probeert de veiligheid steeds te vergroten. Vandaar ook dat het team op de nationale Wijzig Je Wachtwoord Dag van 24 november medewerkers er op attent maakte dat hun wachtwoord toe is aan vernieuwing. Een wachtwoordmanager helpt om het beheer van al je wachtwoorden veilig en gemakkelijk te maken.
Via een speciale website kon je een op jouw wachtwoordgelijkende wachtwoord invullen en zien hoe makkelijk die te kraken is voor een Applecomputer, supercomputer of de zogeheten botnets - softwarerobots. Dat viel voor de medewerkers die hun geheime toegangscode lieten testen soms vies tegen.
Wachtwoorden lijden aan ouderdomsslijtage
“Als jij een aantal jaren geleden een wachtwoord hebt aangemaakt en deze nooit hebt vervangen, dan wordt die met de jaren steeds gemakkelijker te kraken”, zegt Corporate Information Security Officer René Ritzen. Hij geeft een voorbeeld.
“Toen je voor het eerst een wachtwoord moest aanmaken, mocht je meestal nog niet zoveel tekens gebruiken. Nu is een wachtwoord dat uit minder dan vijftien tekens bestaat, een stuk minder veilig dan in die tijd. De computers kunnen steeds sneller rekenen. Verleng of vervang je wachtwoord dus door één met minimaal 15 tekens.”
Het wachtwoord kun je vervolgens checken: voor medewerkers staat er een link op intranet, voor studenten op de studentensite.
Het team van Ritzen werkt samen met de Directie ITS ook aan een dubbele beveiliging. Zo moeten docenten die vanuit huis cijfers in Osiris willen zetten, zich nu al op twee manieren 'legitimeren': met het wachtwoord van hun solis-id en via óf een sms, een app, een identifiernummer van Google of via een zogeheten Yubikey, een soort USB-stick. Deze manier van dubbel beveiligen is de toekomst voor zeer privacygevoelige informatie, zegt Ritzen. “Te denken valt aan het bekijken van je salarisgegevens of voor je verslagen van B&O-gesprekken.”
Bel of mail CERT als je een mail niet vertrouwt
De Universiteit Utrecht heeft met regelmaat van de klok te maken met werknemers die een veiligheidsprobleem hebben. Dit varieert van gestolen of verloren laptops tot slachtoffer van ransomware dat is verstuurd met een mail. Wie op de link in de mail klikt, haalt een virus binnen. Ritzen zou graag willen dat iedereen de reclame die wijst op internetcriminaliteit ‘Hang op, klik weg, bel uw bank’ in de oren knoopt; alleen moet je aan de UU bellen of mailen met CERT, het Computer Emergency Response Team.
Naar dit team moeten alle verdachte mailtjes worden gestuurd, zegt Ritzen. Dat zijn bijvoorbeeld vreemde mailtjes van een collega die, zo blijkt, vaak helemaal niet de afzender is - E-mailspoofing geheten. Open je de bijlage of volg je de link dan kan in het ergste geval een volledige gijzeling van je computer volgen. De cybercrimineel vraagt losgeld om je bestanden weer vrij te geven.
Of vreemde mail over een niet betaalde rekening of over een bankpas die dreigt geblokkeerd te raken; de zogeheten phishingmail, waar gehengeld wordt naar je pincode of inloggegevens van je bank.
De instelling ontkomt ook niet aan echte hackaanvallen die erop zijn gemunt om allerlei informatie te bemachtigen of het internetverkeer van de UU te ontregelen. “Behalve alle preventieve beveiligingsmaatregelen die we hebben genomen, zorgen we er ook voor dat we snel kunnen reageren op incidenten.”
Spoofing en phishing
Op dit moment zijn spoofing en phishing heel populair. De crimineel hoeft hiermee namelijk niet langs een ingenieuze beveiliging te komen, maar rekent op de nonchalance van de ontvanger van de mail. “Dit type mailtjes zijn voor ons moeilijk te onderscheppen omdat de afzender een UU-adres gebruikt of omdat de afzender een relatie van een medewerker kan zijn”, zegt Ritzen.
De universitaire mailadressen zijn een relatief makkelijke prooi, zegt Ritzen. Ze zijn online eenvoudig te vinden. Door de profielpagina’s te lezen kunnen internetcriminelen op de persoon afgestemde berichten sturen. Daarnaast houden UU-medewerkers en met name onderzoekers zich met zo veel verschillende onderwerpen bezig dat mailscanners moeilijk spam kunnen onderscheppen. Zo was de laatste grootschalige phishingmail er één die afkomstig leek van T-Mobile. Extra lastig, zegt Ritzen, omdat T-Mobile de telefonieprovider is van de universiteit.
De mailwasstraat van de UU
“Alle mail aan een UU-adres gaat door een soort wasstraat van Surfnet. Hier krijgt elk mailtje een cijfer voor 'spamgehalte'. Is dit cijfer 12 of hoger dan gooit Surfnet het weg. Van alle mail die aan de UU binnenkomt, is 80 procent spam. Alle andere mail wordt gewoon bezorgd en daar zit dus nog steeds spam bij. Dat die berichten toch aankomen, komt omdat we niet willen dat berichten die op spam lijken, maar het níet zijn, niet aankomen bij de geadresseerden."
Het advies dat Ritzen heeft, is om nooit te klikken op links in verdachte mailtjes en altijd te blijven nadenken bij het bekijken van je mail. “Dan zijn we al een stap verder.” Gaat het toch fout, dan kan ITS je meestal wel helpen. Als je een goede back up hebt gemaakt van je bestanden dan ben je in elk geval geen werk kwijtgeraakt. “Van de bestanden die op de O- of de U-schijf staan, maakt de Directie ITS een back-up. Maar ben je gewend al je bestanden te bewaren op de C-schijf en heb je die niet ook op een externe harde schijf of usb-stick bewaard, dan loop je het risico dat je bestanden weg zijn.”