Alle UU'ers moeten wachtwoord Solis-id twee keer per jaar wijzigen
Studenten en medewerkers die nooit hun Solis-wachtwoord veranderen, moeten nu toch echt aan de bak. Vanaf deze maand zijn wachtwoorden nog maar een half jaar geldig.
Ondanks alle pogingen van de Universiteit Utrecht om werknemers en studenten met enige regelmaat hun Solis-wachtwoord te laten veranderen, doen ze dat in groten getale niet. Zelfs niet als duidelijk is dat hun wachtwoord is gekraakt of gevaar loopt, zegt René Ritzen, corporate information security officer. Daarom worden werknemers en studenten nu verplicht om twee keer per jaar hun wachtwoord te wijzigen.
Volgens Ritzen is er een levendige handel in gestolen wachtwoorden en zijn digitale identiteiten zoals een Solis-id geld waard. Hij ziet de laatste tijd een toename in het misbruik van Solis-id’s en wachtwoorden, dat maakt het extra urgent om te zorgen dat wachtwoorden met enige regelmaat worden gewijzigd. Om hoeveel gekraakte wachtwoorden het gaat, wil Ritzen uit veiligheidsoverwegingen niet zeggen.
Wachtwoorden die al jaren oud zijn – sommige zijn in tien jaar tijd geen enkele keer gewijzigd – zijn gemakkelijker te kraken door cybercriminelen. “Computerprogramma’s om wachtwoorden te kraken worden namelijk steeds beter.” Wachtwoorden van tenminste 15 tekens zijn op dit moment het sterkst.
Nadat de nieuwe maatregel begin deze week werd aangekondigd via intranet, kreeg Ritzen meteen kritiek op de wachtwoordveiligheid. Zo wil een enkeling weten waarom de universiteit niet overstapt naar zogeheten twee-factorauthenticatie. Je moet in dat geval niet alleen een wachtwoord invullen, maar ook bijvoorbeeld een code die je op de smartphone ontvangt. Voor bepaalde websites en applicaties van de UU bestaat een dergelijke inlogmethode al, zegt Ritzen. Zoals voor docenten die een cijfer willen invoeren in Osiris. Deze manier van inloggen zal worden uitgebreid, maar daarbij blijft het noodzakelijk om wachtwoorden te wijzigen om de veiligheid van de digitale omgeving van de universiteit te vergroten, aldus Ritzen.
Niet iedereen met een wachtwoord ouder dan een half jaar, wordt meteen gedwongen in actie te komen. Begonnen wordt met een random gekozen groep van bijna vierhonderd medewerkers en studenten. Zij krijgen een mail waarin ze gevraagd wordt het wachtwoord te wijzigen. Doen ze dit na een paar herinneringen nog steeds niet, dan verloopt hun wachtwoord en kunnen ze niet meer inloggen. Wil je weer bij al je mail en bestanden kunnen, dan ben je verplicht eerst een nieuw wachtwoord aan te maken.
Op het versturen van deze mailtjes is kritiek gekomen. Want hoe weet je dat ze echt afkomstig zijn van de UU en geen phishingmail zijn van een cybercrimineel? De mails krijgen een persoonlijke aanhef, zegt Ritzen. “Meneer of mevrouw gevolgd door de achternaam. Phishingmails hebben dit meestal niet. Maar wie de mail niet vertrouwt, raad ik aan om via internet (studenten) of intranet (medewerkers) je wachtwoord te wijzigen.”