Cybersecurity
Ruim twaalf jaar geleden, op 27 april 2011, was ik in Rome voor een meeting van een Europees project. Voor vier euro kocht ik een buskaartje van het vliegveld naar het centrum. Daarvoor moest ik een account aanmaken bij Terravision.eu. Toentertijd maakte de wereld zich nog niet zo druk om digitale veiligheid. Je vroeg een account aan en kreeg een mailtje met daarin de combinatie van je gebruikersnaam en wachtwoord in platte tekst. Het mailtje waar dat password instaat, heb ik nog steeds. Het password: ‘2yp6yq2f’.
Een paar maanden geleden kreeg ik een mailtje van een van onze security officers. Paniek, want er zouden passwords gelekt zijn bij Terravision en mijn mailadres was onderdeel van het lek. Het was voor mij de eerste keer dat ik zo’n paniekmail van de TU/e kreeg en ik had hem bijna niet serieus genomen. Je krijgt immers vaak genoeg mails met de mededeling dat je snel ergens in moet loggen om je wachtwoord aan te passen en die moet je altijd negeren. Deze mail deed de suggestie mijn wachtwoord bij Terravision te veranderen, maar kwam ook met de eis mijn TU/e-wachtwoord binnen een week te veranderen.
Het bleek een beetje paniek om niets, want het betreffende datalek was helemaal niet zo spannend. Iedereen die wel eens op de website van 'Have I Been Pwned' heeft gekeken, weet dat er geregeld datalekken zijn en dat er geen passwords gelekt zijn, maar slechts salted hashes van passwords. Die nuance staat wel in dit nieuwsbericht op de site van security.nl, maar in de TU/e-mail is dat weggelaten. Dit is wel een belangrijk detail, want het is significant lastiger om een account te kraken wanneer je alleen een salted hash van een password hebt, dan wanneer je het password zelf kent.
Het is zorgelijk dat de TU/e er blijkbaar vanuit gaat dat mensen hun wachtwoorden hergebruiken. Het twaalf jaar oude wachtwoord van Terravision werkte nog (nu niet meer), maar ik heb toch maar een verzoek tot verwijdering van het account gedaan. Mijn TU/e-wachtwoord heb ik ook veranderd, niet dat dat nodig was, maar het systeem eiste het. Het is verbazingwekkend op hoeveel plaatsen dat dan doorwerkt, in de telefoon, in de computer thuis, etc.
Deze column schrijf ik vanuit Lissabon, waar ik ben voor de jaarlijkse Petri Nets-conferentie. Om bij mijn hotel te komen vanaf het vliegveld was Uber de gemakkelijkste optie. Ruim de helft goedkoper dan een taxi en vijf keer sneller dan met de bus. Opnieuw moest ik een account aanmaken, want Uber had ik nog niet eerder gebruikt. Nu maar hopen dat er op termijn niet weer een datalek aankomt.
Discussie