image

Juridische vraag: Vereniging wil wachtwoord niet wijzigen

woensdag 30 december 2009, 10:24 door Arnoud Engelfriet, 18 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Ik ben lid van een vereniging, en ik krijg als onderdeel van het lidmaatschap toegang tot een POP3-mailbox. Nu heeft men onlangs de administratie online gezet, maar dan met hetzelfde wachtwoord als voor de mailbox. Dat was handig volgens het bestuur, maar daarmee is mijn privacy wel in het geding. Het mailbox-wachtwoord wordt immers onversleuteld verstuurd, dus iemand die dat te pakken krijgt, kan nu ook bij mijn persoonlijke gegevens uit de administratie (met onder andere NAW, geboortedatum en persoonlijke interesses). Hoe kan ik ze dwingen om een apart wachtwoord te laten gebruiken?

Antwoord: Een bedrijf, vereniging, stichting of andere instelling die persoonsgegevens van anderen verwerkt, is verplicht deze "afdoende" te beveiligen tegen ongeautoriseerde toegang of misbruik. We hebben in juli al eens gediscussieerd over wat dat precies betekent maar het gebruik van een wachtwoord en versleutelde verbinding om bij die gegevens te komen, lijkt me toch wel het minimum vandaag de dag.

Zo te lezen heeft deze vereniging echter wel degelijk een beveiliging ingevoerd. Alleen is er het probleem dat het wachtwoord van die beveiliging kennelijk ook voor een onveilige dienst (POP3, bestaat dat nog) gehanteerd wordt. Iemand die het POP3-wachtwoord weet te achterhalen, kan dus ook bij de beveiligde interface. De vraag is natuurlijk wel hoe realistisch dit aanvalsscenario is.

Je zult moeten hardmaken dat de beveiliging van de persoonsgegevens niet afdoende is omdat het wachtwoord in een ander systeem over plaintext kanalen verstuurd wordt. Als je dat lukt, kun je eisen dat men maatregelen neemt die wel afdoende zijn. Of dat automatisch is dat er een ander wachtwoord moet worden gehanteerd, durf ik niet te zeggen. Er zijn immers nog genoeg andere oplossingen, bv. de POP3-verbinding over een SSL-kanaal laten lopen - of POP3 dumpen en alles via IMAP of webmail laten gaan.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (18)
30-12-2009, 10:36 door Anoniem
He Arnoud :) hoe is het op vakantie.

"Er zijn immers nog genoeg andere oplossingen, bv. de POP3-verbinding over een SSL-kanaal laten lopen - of POP3 dumpen en alles via IMAP of webmail laten gaan."

Dan moet je die webmail ook met SSL beveiligen, en die software goed onderhouden.
30-12-2009, 10:39 door Syzygy

Je zult moeten hardmaken dat de beveiliging van de persoonsgegevens niet afdoende is omdat het wachtwoord in een ander systeem over plaintext kanalen verstuurd wordt. Als je dat lukt, kun je eisen dat men maatregelen neemt die wel afdoende zijn. Of dat automatisch is dat er een ander wachtwoord moet worden gehanteerd, durf ik niet te zeggen. Er zijn immers nog genoeg andere oplossingen, bv. de POP3-verbinding over een SSL-kanaal laten lopen - of POP3 dumpen en alles via IMAP of webmail laten gaan.

Prachtig antwoord maar wat kan ie er mee ?
Bij welke instantie moet ie gaan klagen dan ?

Als hij kan aantonen dat het niet veilig is , en dat kan ie, dan is het maar de vraag of die vereniging (wellicht een visclub o.i.d. die geen notie van beveiliging heeft) ontvankelijk is voor zijn technische bezwaar.
Wat hij dus moet hebben is een instantie die het voor hem opneemt en die vereniging dwingt om stappen te nemen zodat zijn privacy beter gegarandeerd is dan nu het geval.
Iemand die zijn (en de leden van de club) belangen hieromtrent behartigd.
30-12-2009, 10:43 door Anoniem
"Er zijn immers nog genoeg andere oplossingen, bv. de POP3-verbinding over een SSL-kanaal laten lopen - of POP3 dumpen en alles via IMAP of webmail laten gaan."

Dit advies slaat natuurlijk nergens op.

IMAP is net zo (on)beveilig als POP3. Voor webmail geldt eigenlijk hetzelfde. Voor alle genoemde adviezen geldt dat deze alleen beter beveiligd zijn wanneer de verbinding via SSL (of TLS) wordt opgezet.

Het advies zou moeten zijn: kies voor POP3+SSL of POP3+TLS.
30-12-2009, 11:02 door SirDice
of POP3 dumpen en alles via IMAP of webmail laten gaan.
IMAP is net zo clear-text als POP3.
30-12-2009, 11:06 door Anoniem
Net zoals HTTP ook clear-text is...
30-12-2009, 11:47 door Preddie
Door Anoniem: Net zoals HTTP ook clear-text is...

LOL, jij wou zeker ook wat zeggen ?

Zoals hier boven ook al gezegd, pop+encryptie is minimaal.

Ontopic, het wordt in alle gevallen afgeraden om voor meerdere diensten het zelfde wachtwoord te gebruiken. Helemaal wanneer deze diensten niet beveiligd zijn. Deze maatregel werkt progressief.

Wanneer toch iemand jou wachtwoord weet te bemachtigen van dienst A dan kan men niet zomaar gebruik maken van dienst B. In dit geval heeft er een incident plaats gevonden en wordt de schade beperkt doordat je verschillende wachtwoorden hanteert. Encryptie zo je toekunnen voegen vanuit het oog punt preventie om te voorkomen dat iemand jou wachtwoord kaapt.

Keyloggers en shouldersurfers zijn nog steeds een gevaar, installeer daarom anti-virus/malware tegen kwaadaardige programmatuur en let goed op wanneer je je wachtwoord intikt of niemand mee kijkt en of dat je aanslagen niet gefilmd worden, eerder was snel tikken genoeg om een shouldersurfer het na kijken te geven maar tegenwoordig beschikken veel mensen over een handcamera waarmee de beelden later vertraagd kunnen worden afgespeel.
30-12-2009, 11:49 door Anoniem
Best Arnoud Engelfriet .
Bedank voor je info, ik zou zegen zet het wachtwoord online op een spam form. Dan weet je zeker dat de Vereniging niet meer gebruik wil maken van het volgende email account, dan hoef je ook het wachtwoord niet meer tewijzigen.
30-12-2009, 12:18 door Arnoud Engelfriet
Ik dacht dat bij IMAP eigenlijk standaard SSL aanstaat, vandaar dat advies. Maar het protocol zelf is natuurlijk ook plaintext.

En wat moet je ermee? Tsja, je moet de vereniging overtuigen van hun onjuiste aanpak. Een klacht bij het CBP is altijd mogelijk maar het is nogal een kleine zaak voor hen. Naar de rechter stappen kan ook, maar dan hoop ik dat je wel in kleutertaal kunt uitleggen waarom passwords die plaintext over de lijn gaan een slecht idee zijn. Met meteen een reactie op het tegenargument "wie gaat dat nou doen bij onze verenigingsmailserver".
30-12-2009, 13:17 door SirDice
Door Arnoud Engelfriet: Ik dacht dat bij IMAP eigenlijk standaard SSL aanstaat, vandaar dat advies. Maar het protocol zelf is natuurlijk ook plaintext.
Alleen IMAP4rev1 heeft voorzieningen om het e.e.a. te encrypten. Dit wordt echter niet afgedwongen. Meestal wordt IMAP over SSL aangeboden. Overigens blijft het verzenden van e-mail bij IMAP gewoon over SMTP gaan, die moet dan natuurlijk ook over SSL.
30-12-2009, 13:34 door Syzygy
Het probleem zit hem natuurlijk in het feit dat het allemaal vrijwilligerswerk is en dat iedereen naar beste bedoeling zoiets opzet.
Als mensen zich dan druk maken over Security en Privacy dan zijn het weer "zeurders" en dan voelen de bouwers van de service zich meteen weer aangevallen. Als je dan gaat dreigen met Juridische stappen of het inschakelen van een bepaald orgaan dan ben je al snel een persona non grata en dat bevordert de gezelligheid binnen de club natuurlijk ook niet. Ik kan me wel iets indenken bij de reactie van de vraagsteller. Hij staat dus nu voor een dilemma.
30-12-2009, 13:42 door Anoniem
Door Syzygy:

Prachtig antwoord maar wat kan ie er mee ?
Bij welke instantie moet ie gaan klagen dan ?


Wat hij dus moet hebben is een instantie die het voor hem opneemt en die vereniging dwingt om stappen te nemen zodat zijn privacy beter gegarandeerd is dan nu het geval.
Iemand die zijn (en de leden van de club) belangen hieromtrent behartigd.

Bij het College Bescherming Persoonsgegevens kan de vraagsteller een klacht indienen (http://www.cbpweb.nl/).
30-12-2009, 13:47 door Anoniem
Door Syzygy: Het probleem zit hem natuurlijk in het feit dat het allemaal vrijwilligerswerk is en dat iedereen naar beste bedoeling zoiets opzet.
Als mensen zich dan druk maken over Security en Privacy dan zijn het weer "zeurders" en dan voelen de bouwers van de service zich meteen weer aangevallen. Als je dan gaat dreigen met Juridische stappen of het inschakelen van een bepaald orgaan dan ben je al snel een persona non grata en dat bevordert de gezelligheid binnen de club natuurlijk ook niet. Ik kan me wel iets indenken bij de reactie van de vraagsteller. Hij staat dus nu voor een dilemma.

Dat hangt natuurlijk ook samen met hoe je je zorgen kenbaar maakt. Als je roept dat ze iets waardeloos hebben gemaakt waar niets van deugd en dat je ze wel eens flink zult gaan aanpakken, dan zal je snel in bovenstaande situatie vervallen. Als je aangeeft dat ze een mooie oplossing hebben gemaakt, maar wellicht een kleinigheidje over het hoofd hebben gezien, dan zal dat al tot een heel andere reactie leiden.
30-12-2009, 14:01 door Syzygy
Door Anoniem:
Door Syzygy: Het probleem zit hem natuurlijk in het feit dat het allemaal vrijwilligerswerk is en dat iedereen naar beste bedoeling zoiets opzet.
Als mensen zich dan druk maken over Security en Privacy dan zijn het weer "zeurders" en dan voelen de bouwers van de service zich meteen weer aangevallen. Als je dan gaat dreigen met Juridische stappen of het inschakelen van een bepaald orgaan dan ben je al snel een persona non grata en dat bevordert de gezelligheid binnen de club natuurlijk ook niet. Ik kan me wel iets indenken bij de reactie van de vraagsteller. Hij staat dus nu voor een dilemma.

Dat hangt natuurlijk ook samen met hoe je je zorgen kenbaar maakt. Als je roept dat ze iets waardeloos hebben gemaakt waar niets van deugd en dat je ze wel eens flink zult gaan aanpakken, dan zal je snel in bovenstaande situatie vervallen. Als je aangeeft dat ze een mooie oplossing hebben gemaakt, maar wellicht een kleinigheidje over het hoofd hebben gezien, dan zal dat al tot een heel andere reactie leiden.

Het feit dat de vraagsteller deze vraag stelt doet mij vermoeden dat dat niet gelukt is.
30-12-2009, 14:20 door Anoniem
Door Syzygy:
Het feit dat de vraagsteller deze vraag stelt doet mij vermoeden dat dat niet gelukt is.

Dat lijkt er inderdaad wel op. Maar mijn opmerking was dan ook meer bedoeld om lezers er bewust van te maken dat als ze met zoiets te maken krijgen, je al veel invloed kan uitoefenen door je eigen opstelling juist te kiezen.
30-12-2009, 15:09 door SirDice
Door Anoniem:
Door Syzygy:
Het feit dat de vraagsteller deze vraag stelt doet mij vermoeden dat dat niet gelukt is.

Dat lijkt er inderdaad wel op. Maar mijn opmerking was dan ook meer bedoeld om lezers er bewust van te maken dat als ze met zoiets te maken krijgen, je al veel invloed kan uitoefenen door je eigen opstelling juist te kiezen.
Je vangt meer vliegen met stroop dan met stront ;)
30-12-2009, 16:18 door Anoniem
STMP kan niet over SSL maar wel via TLS ;)
30-12-2009, 17:44 door Syzygy
Door SirDice:
Door Anoniem:
Door Syzygy:
Het feit dat de vraagsteller deze vraag stelt doet mij vermoeden dat dat niet gelukt is.

Dat lijkt er inderdaad wel op. Maar mijn opmerking was dan ook meer bedoeld om lezers er bewust van te maken dat als ze met zoiets te maken krijgen, je al veel invloed kan uitoefenen door je eigen opstelling juist te kiezen.
Je vangt meer vliegen met stroop dan met stront ;)

Het is meer vliegen vangen met stroop dan met azijn
Het verschil tussen stroop en stront kan nog wel eens anders uitpakken dan je denkt vooral als het om strontvliegen gaat.

;-)
03-01-2010, 11:41 door Anoniem
Simpel, gebruik een netwerksniffer op het eigen netwerk om duidelijk te maken dat dit ook online kan gebeuren. Als er uit de gegevens het wachtwoord kan worden gefilterd is duidelijk dat de transactie onveilig is.

Daarnaast is het vreemd dat iedereen die de mailbox mag gebruiken ook standaard in de administratie kan. Scheiding van functie en bevoegdheid iemand?


Het Orakel
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.