Wachtwoord veranderen wordt verplicht aan de UU

Jarenlang inloggen met hetzelfde wachtwoord kan over een tijdje niet meer. De universiteit gaat UU'ers verplichten om regelmatig een nieuw Solis-wachtwoord te kiezen.

Wachtwoorden veranderen: iedereen weet inmiddels dat het verstandig is om het zo nu en dan te doen, maar bijna niemand doet het. En dan zijn er ook nog mensen die nog steeds eenvoudige wachtwoorden als '123456' of 'welkom11' hebben. Simpel om te onthouden, maar ook makkelijker om als buitenstaander te raden.

Het is dit soort gemakzucht dat de universiteit wil aanpakken met een nieuw wachtwoordenbeleid dat er aan zit te komen. Password ageing wordt het genoemd in een onlangs naar de U-raad gestuurd ict-meerjarenplan. Het betekent dat de gebruiker verplicht wordt om met enige regelmaat het Solis-id-wachtwoord te wijzigen.

Want dat is nodig, vindt de universiteit. Het Solis-id geeft nu al toegang tot bijvoorbeeld de universitaire mail, Blackboard, Osiris en - in het geval van medewerkers - Self-service HR. Het is de bedoeling om in de toekomst meer toepassingen, zoals dierenpatiëntenzorgsystem Vetware, te koppelen aan het Solis-id. Dat maakt toegangsbeheer makkelijker, zo is het idee. Maar dan moet de beveiliging wel adequaat zijn.

Studenten en medewerkers krijgen waarschijnlijk vanaf het najaar van 2015 voor het eerst te maken met de automatische wachtwoordveroudering. Dat vertelt René Ritzen, corporate information security officer van de Universiteit Utrecht, in een toelichting aan DUB. 

Ritzen: "Het idee is om UU'ers twee keer per jaar te vragen hun wachtwoord te vervangen, te beginnen in het najaar. We sturen eerst een paar reminders. Als daar niet op gereageerd wordt, verloopt het wachtwoord en moet je via een selfservice-portaal een nieuw wachtwoord instellen of moet je je met legitimatie melden bij een servicedesk." 

De universiteit werkt ondertussen ook aan een andere vorm van databeveiliging: two-factor authentication. Gebruikers van internetbankieren kennen die methode wel: naast een gebruikersnaam en wachtwoord dien je een extra code in te voeren. Deze code kan bijvoorbeeld via sms naar je telefoon gestuurd worden, of bijvoorbeeld gegenereerd worden door een door de bank geleverd apparaat.

Ritzen: "Soms is een wachtwoord alleen niet voldoende. Bij two-factor authentication gaat het om de combinatie van iets dat je hebt, bijvoorbeeld een mobiele telefoon en iets dat je weet, je wachtwoord. Dit systeem gebruiken docenten al bij het invoeren van cijfers voor tentamens. Cijferlijsten dienen altijd nog door de docent digitaal te worden ondertekend. Dit moet altijd met two-factor authentication."

Is er in het verleden sprake geweest van cijferfraude?
"Niet dat ik weet. Je wilt de kans in elk geval niet bieden. Het is net als een fiets op slot zetten. Je wilt het risico op diefstal niet lopen. En dus doe je er een extra hangslot omheen."

Welke andere toepassingen gaan beveiligd worden met two-factor authentication?
"Dat moeten we per geval bekijken. We gaan eerst de gevoeligheid van gegevens classificeren. Dan kijken we welk beveiligingsniveau noodzakelijk is. Het gaat overigens niet alleen om persoonsgegevens, maar ook om onderzoeksgegevens en intellectueel eigendom."

"Two-factor authentication kan bijvoorbeeld gebruikt worden als de universiteit besluit om meer data beschikbaar te stellen in Self-service HR. Stel dat de universiteit verslagen van B&O-gesprekken daar wil neerzetten, dan is het noodzakelijk om de beveiliging aan te passen. Vorig jaar hebben we om die reden besloten om een functie in Self-service HR uit te schakelen. Het was namelijk mogelijk om je bankrekeningnummer te wijzigen. We vonden dat de Solis-id-inlog alléén daarvoor niet voldoende bescherming biedt."

Het is wel stukken minder gebruiksvriendelijk als je een extra code nodig hebt om in te loggen op Self-service HR.
"Klopt, het is een trade off tussen gebruiksvriendelijkheid en beveiliging. Maar we moeten wel als we toegang tot gevoelige data willen vergroten. Bovendien worden de regels uit Den Haag en Brussel steeds strenger. Als universiteit zijn wij verantwoordelijk voor de databeveiliging. We zouden hoge boetes krijgen als we een ernstig lek hebben, maar vooral willen we beschermen wat van waarde is."

Advertentie