Paswoorden
moeten geheim blijven
H
Rabo
band Beveiliging informatisering
Om te zorgen dat alleen medestanders een belegerde stad binnen
kwamen maakte men in vroeger tijden gebruik van wachtwoorden.
Om een beveiligd computersysteem binnen te komen worden te
genwoordig paswoorden gebruikt. Alleen de gebruiker van zo'n
wachtwoord komt het computersysteem in. Zeker voor de compu
tersystemen van de Rabobank is het belangrijk om zorgvuldig met
die paswoorden om te gaan.
Veelgebruikte paswoorden
Nummer 23/2 december 1991
Iedereen die binnen de Rabobankorgani-
satie met een PC of met een terminal
werkt, heeft een eigen toegangscode.
Meestal bestaat die uit een gebruikersiden
tificatie en een bijbehorend wachtwoord.
Het idee achter deze omslachtige toegangs
procedure is beveiliging. Een gebruikers
identificatie - een userid in vaktermen - be
paalt wat iemand wel of niet mag in een sys
teem. Afhankelijk van de functie wordt een
werkgebied afgeperkt. Bij het ene userid
hoort bijvoorbeeld alleen tekstverwerking,
bij het andere bestaat de mogelijkheid om
betalingsopdrachten te verifiëren.
Slot en sleutel Na het intoetsen van
zo'n identificatie moet ook nog het wacht
woord worden ingegeven. Dat wachtwoord
is persoonsgebonden. In feite komt het
erop neer dat een userid het slot op het
computersysteem vrijmaakt. Het paswoord
is dan de sleutel die het systeem opent
voor de gebruiker. Daarna kan de medewer
ker aan de slag met de toepassingen die
zijn vrijgegeven voor dat userid. Iedere com
binatie van userid en paswoorden is binnen
een systeem gekoppeld aan een bepaalde
Rabobankmedewerker. Iedere medewerker
krijgt op deze manier dus precies toegang
tot de toepassingen die voor het uitoefenen
van zijn functie nodig zijn.
Onbevoegden Deze toegangsprocedure
zorgt ook dat mensen die niet bevoegd zijn,
in het systeem niet worden toegelaten. Het
belangrijkste middel daarbij is de geheim
houding van het wachtwoord. Net als bij de
belegerde stad. De systeembeheerder wijst
de gebruikersidentificatie toe en die is
meestal niet moeilijk (naam of initialen van
de gebruiker). De gebruiker zelf kiest het
wachtwoord en dat is de echte sleutel tot
het systeem.
Geheimhouding Voor een goede beveili
ging is het dus nodig om het wachtwoord
absoluut geheim te houden. Op het eerste
gezicht lijkt dat wat overdreven. Maar de
toegang van gebruikers tot bepaalde com
putertoepassingen is niet voor niets be
perkt. Als het gaat om de invoer van be
talingsopdrachten bijvoorbeeld. Eén iemand
voert de betalingen in, iemand anders veri
fieert ze. Dat moet altijd door twee verschil
lende personen worden gedaan. Als een
wachtwoord niet meer geheim is, zou één
en dezelfde persoon deze twee handelingen
kunnen verrichten. Dat vormt een risico dat
de Rabobank zeer ongewenst vindt. Daar
om zijn die functies ook in het computer
systeem gescheiden. Om die scheiding
te handhaven is geheimhouding van het
wachtwoord voor iedereen verplicht.
Vertrouwelijk Niet alleen bij betalingen
is het belangrijk om een geheim paswoor
den te gebruiken. Ook bij tekstverwerking
speelt dat een rol. Onbevoegden mogen
geen toegang krijgen tot vertrouwelijke ge
gevens. Met een 'geleend' paswoord zou
iemand op plaatsen terecht kunnen komen
waar financiële gegevens staan of beoorde-
SYSTEM HELP USER LOG BACKUP MANAGER OPERATOR
TEST PASSWORD GAST VAKANTIE RABO GEHEIM SECRET
Naam partner Naam kinderen Huisdier Automerk Kenteken Ge
boortedatum Voorletters Vakantiebestemming Naam van de afdeling
Maand van gebruik Voetbalclub
lingen, salarissen en vertrouwelijke rappor
ten. Lezen en veranderen van zulke gege
vens moet worden voorkomen. Ook omdat
binnen de Rabobank steeds meer PC's en
terminals in netwerken aan elkaar zijn ge
koppeld, is een beveiliging van de toegang
essentieel. Eenmaal op één PC of terminal
binnengekomen, kan een handige deskun
dige weieens verder in een computersys
teem doordringen.
Verantwoordelijk Omdat ieder pas
woord aan één persoon is gebonden, is
iedereen binnen de Rabobank zelf verant
woordelijk voor wat er via dat paswoord ge
beurt. Bij ongeoorloofde handelingen via
een PC is niet te zien wie het toetsenbord
bediende. Wel is het gebruikte paswoord te
achterhalen. Daarom is zorgvuldige omgang
met het wachtwoord zo belangrijk. En dat
geldt dus voor alle Rabobankmedewerkers.
Geen uitleen Vanwege haast, gemak of
goed vertrouwen komt het doorgeven van
het paswoord regelmatig voor. Uitlenen van
een wachtwoord aan collega's is uitdrukke
lijk niet de bedoeling. Je weet niet wat ze er
mee doen of aan wie zij het verder door
geven. Wanneer het gaat om regelmatig
voorkomende situaties, is het misschien
beter om de systeembeheerder of het
hoofd van een afdeling te vragen maatre
gelen te nemen. Ook het opschrijven van
userid en wachtwoord wordt in principe af
geraden. Sommige medewerkers schrijven
hun wachtwoord op een briefje en plakken
dat op hun PC! Dan heeft dus iedere voorbij
ganger toegang tot het computersysteem
van de Rabobank en dat is niet de bedoe
ling.
Te makkelijk De Rabobank hanteert de
richtlijn dat wachtwoorden minimaal vier po
sities beslaan en maximaal acht. Enkele
lastige wachtwoorden zijn: '9@*,, D/a',
'?u(3.!QpQ' of q wY9x'. Deze wachtwoor
den worden zeker niet geraden door iemand
die ongeoorloofd toegang zoekt tot een
computersysteem. Maar een paswoord
moet natuurlijk wel onthouden worden door
de gebruiker. Daarom kiezen veel gebrui
kers vaak voor woorden; bovendien vaak
woorden die ze makkelijk kunnen onthou
den. Toch is het kiezen van te gemakkelijke
wachtwoorden niet aan te raden. De namen
van partner of kinderen, geboortedata of de
eigen voorletters zijn te gemakkelijk. Een
kwaadwillende gebruiker zou deze snel kun
nen raden. Overigens kan niet oneindig ge
raden worden. Wanneer de derde poging om
binnen te komen op een PC of terminal niet
is gelukt, dan wordt de code van die bepaal
de gebruiker in de meeste computersyste
men geheel afgesloten.
Wisselen Wanneer het vermoeden be
staat dat ongeoorloofd gebruik wordt ge
maakt van het eigen wachtwoord, dan moet
de Rabobankmedewerker eigenlijk een
nieuw wachtwoord kiezen. De meeste com
putersystemen geven de gebruiker de moge
lijkheid om dat zelf te
doen. Regelmatig wis
selen van paswoord
vormt bovendien een
extra beveiliging. Het
raden van een pas
woord wordt daarmee
voor onbevoegden las
tiger. Overigens komt
dat niet zo vaak voor.
De meeste incidenten
doen zich voor bij 'uitleen' van een wacht
woord aan collega's.
De conclusie moet luiden dat voor een
zorgvuldig beheer van de toegang tot de
computersystemen van de Rabobank een
lastig en geheim wachtwoord voorwaarde
is. Het geheimhouden van zo'n toegangs
code is zeker zo belangrijk, ledereen zorgt
toch ook voor een goed slot op de eigen
voordeur en laat de sleutel niet slingeren,
zeker niet met het adres erbij. Zo moet ook
het wachtwoord worden behandeld. Niet te
gemakkelijk, in principe niet opschrijven en
zeker niet doorgeven aan anderen.