Dat gebruikers een makkelijk te hanteren iets zoeken als gevolg van de verplichte door techneuten opgelegde password change policy is iets wat al vele jaren bekend is.
Jammer dat er niet smart op geacteerd wordt.

Dat gebruikers zelf mogelijkheden zoeken en implementeren is iets wat al tijden bekend is als schaduw-ict.
Jammer dat er niet smart op geacteerd wordt.

Dat verhaal van alertonline lijkt een door de overheid gesponsord commercieel feestje te zijn. Er is bij de overheid zoals bij het ncsc en noraonline bir-tnk veel goede handvatten voor ict veiligheid gratis en voor niets te vinden
Jammer dat er niet smart op geacteerd wordt.

Ja een terugkerend refrein met de lijn: gebrek aan kwaliteitsverbetering op het securityvlak

http://www.nu.nl/binnenland/4332366/patientgegevens-isala-ziekenhuis-straat-diefstal-laptop.html

tja, als je elke week een nieuw wachtwoord met 23 characters zonder 2 opeenvolgende letters en cijfers en nooit eerder gebruikt, dan moet je verwachten dat er een postit verschijnt.

wachtwoorden zijnceeuwig houdbaar tenzij aangetoont wordt door logs dat ze gecompromiteerd raken.

Ik ben nog lang niet moe, hoe veiliger hoe beter!

Dat al die technologie er niet was geweest zonder die techneuten is een detail dat je niet moet overslaan. Het komt voort uit een exacte, feitelijke manier van denken die heel veel "gewone" mensen vreemd is. Dat is een basis die verdomd moeilijk weg te abstraheren is. Diezelfde mensen die niet goed met die manier van denken om kunnen gaan verwachten ondertussen namelijk wel dat de computer betrouwbaar en deterministisch blijft werken, het grote succes van dat ding is daarop gebaseerd. Er zit, zonder iemand iets kwalijk te willen nemen, laat ik dat er bij zeggen, iets in van wel de lusten maar niet de lasten willen.
Ik denk dat er heel wat moeite is gedaan om dat wel te doen, maar dat de werkelijkheid weerbarstig is omdat allerlei factoren meespelen van commerciële mensen die willen doen alsof wat ze verkopen nooit moeite zal kosten in het gebruik tot gebruikers die dat geloven en weigeren te accepteren dat het meest complexe apparaat dat ze in huis hebben ondanks alle pogingen die complexiteit af te dekken uiteindelijk wel degelijk complex is.

Er zijn wezenlijk verschillende soorten mensen. Onder IT'ers zitten veel mensen met autisme, die vaak niet van zichzelf weten dat ze in dat beeld passen. Sinds ik de diagnose heb en meer weet van wat het is (en kan zijn, het beeld is behoorlijk divers) kan ik met terugwerkende kracht bij 30 jaar aan collega's in de automatisering heel wat autistische trekken herkennen. Recent hersenonderzoek suggereert dat de "bedrading" op het laagste niveau, de verbindingen tussen hersencellen, bij autisten wezenlijk anders is dan bij niet-autisten (veel meer synapsen en genetisch bepaalde verschillen in de signaaloverdracht door die synapsen). Je hoort vaak dat autisten slecht snappen wat er in anderen omgaat en de signalen daarover slecht opvangen. Mijn indruk is dat dat onbegrip de andere kant op net zo sterk aanwezig is, niet-autisten snappen meestal geen ene donder van autisten, en omdat ze de overgrote meerderheid vormen worden ze veel minder dan autisten door omstandigheden gedwongen toch een soort begrip op te bouwen.

De relevantie hiervan is dat mensen met een autistisch brein gewoonlijk goed zijn in details, goed in heel feitelijke beoordelingen van die details, en daardoor goed zijn in vakgebieden als wetenschap, techniek en IT. Maar ook onder goede musici schijnt autisme relatief veel voor te komen, het zijn ook vaak mensen met een heel selectief talent voor één soort ding en weinig talent voor dingen die daar sterk van afwijken, inclusief voor alledaagse zaken die veel mensen als een vanzelfsprekendheid beschouwen. Autisten en niet-autisten zijn twee groepen mensen met een wezenlijk ander soort brein, en elkaar begrijpen zal altijd moeilijk blijven omdat de belevingswerelden behoorlijk ver uit elkaar liggen.

Het lastige is dat mensen met dat soort talenten een hoop van de moderne techniek, inclusief IT, hebben uitgedacht, maar tegelijkertijd nooit in staat zullen zijn om goed te begrijpen hoe het gebruik ervan voor een mens een wezenlijk ander soort brein is (ze kunnen het analyseren en beredeneren, maar beleven er zelf niet hetzelfde bij) net zo min als die andere mens in staat is om te snappen wat die techneut allemaal beleeft bij het ontwikkelen van die zaken.

Het resultaat is door die verschillende belevingswerelden niet optimaal voor de "gewone" gebruiker, maar bedenk dat het er zonder het bestaan van die anders functionerende breinen misschien wel helemaal niet geweest was. Dat er niet "smart" is ingesprongen op de wachtwoordellende, voor zover dat waar is, zou wel eens in belangrijke mate een gevolg van dit soort verschillen kunnen zijn. Per saldo is de bijdrage van nerds/techneuten/autisten, hoe je ze ook wilt noemen, nog altijd een overweldigend positieve, de klachten gaan over zaken die er niet eens geweest zouden zijn zonder dat soort mensen.

Als de mensen voor wie sommige dingen moeilijk in het gebruik zijn in staat waren zelf een voor hun werkend alternatief te ontwikkelen was het er al lang en breed geweest. We moeten het hebben van de samenwerking en wisselwerking tussen zeer verschillende mensen, en met vallen en opstaan zal dat op de lange termijn echt wel steeds beter worden, maar denk niet dat het met even "smart" zijn allemaal is opgelost.

Jammer genoeg is dit niet waar. De kraker zal zo lang mogelijk proberen te verbergen dat hij jouw wachtwoord gekraakt heeft. Na iedere wisseling van wachtwoord kan hij opnieuw beginnen. In jouw situatie heeft de kraker na kraken van je wachtwoord eeuwig toegang tot je (niet meer zo) geheime data (zonder dat je dat weet).

Eigenlijk wel logisch, een waarschuwing geeft je een gevoel van onveiligheid en daar wil je wat aan doen. Dat is ook wel het idee van een waarschuwing, dat het zo onprettig voelt dat het tot actie stimuleert.
Echter op een gegeven moment blijkt het negeren van de waarschuwing ook tot direct een veiliger gevoel te leiden en voila, er is een simpele methode gevonden. Blijkt er na het negeren van de waarschuwing een tijd lang niks mis te gaan, dan leer je dit maar moeilijk weer af. En het hele leven bestaat uit het negeren van waarschuwingen, want anders kwam niemand meer onder zijn dekbed uit. Dus evolutionair zijn we belast met de drang tot negeren.
Mensen zijn slecht in prioriteren, dus negeren gewoon alles. Hehe, wat een rust...

Les: niet waarschuwen, maar waarborgen inbouwen en zorgen dat het goedpad het meest aantrekkelijke pad is. Security kan nog heel veel leren van marketing en retail.

[off-topic] dat is niet zo slim om te fien omdat een wachtwoord met 23 characters zonder 2 opeenvolgende letters een stuk lagere entropie heeft dan een wachtwoord zonder deze beperking [/off-topic]

Ik ook,niet ik check iedere dag op updates voor verschillende programma's welke ik geinstalleerd heb.

Dat is jouw aanname maar geen bewijs. Die gehele wachtwoorden discussie wordt al jaren gevoerd en het is jammer dat er altijd met bang makende motieven wordt geschermd die niet verder onderbouwd kunnen worden met feiten.
Wat wel een feit is dat al die normen waar wachtwoorden aan moeten voldoen, en dat deze om de zoveel tijd moeten worden gewijzigd, allemaal falen en juist het tegenovergestelde bereiken als waarvoor ze bedoeld zijn.
Er zijn diverse alternatieven om het gebruik van wachtwoorden te verbeteren of zelfs helemaal niet meer te hoeven gebruiken. Maar zowel het bedrijfsleven als de overheid blijft het onzinnige gebruik van wachtwoorden maar pushen en stimuleren i.p.v. te investeren in alternatieven waarbij ook nog eens de privacy niet in het geding hoeft te zijn.
Ik gebruik al tijden een RSA token om te kunnen inloggen, i.c.m. een wachtwoord. Met een wachtwoord alleen kan ik niet inloggen want dat kan alleen icm. het token. Maar ik moet van die onzinnige wachtwoord policy (opgesteld door één of andere autist) iedere 3 maanden mijn wachtwoord in een zeer moeilijk te onthouden wachtwoord veranderen. Waarom? Met alleen het wachtwoord kan niemand iets want daarbij is een rsa token nodig. Met alleen een RSA token gaat inloggen ook niet. Tuurlijk kan ik het token verliezen maar hoe kan iemand remote én mijn gebruikersnaam/wachtwoord ontfutselen én het token. Niet bepaald een real live scenario, dus kan wat mij betreft zo'n wachtwoord veel langer mee dan nu in allerlei normen staat. Misschien niet eeuwig maar toch wel langer dan 3 maanden.

Het is nu eenmaal een feit dat de kop in het zand steken heel menselijk is. En om eerlijk te zijn, ik begrijp die mensen wel, zolang de basis niet in orde is moet je blijven updaten en opletten, dag na dag. En ja op een gegeven moment zijn mensen er moe van, neem nou Windows 10, als je de jubileum update via Windows Update wil installeren, moet eerst je 1507 installatie helemaal bij zijn, dan wordt de 1607 update geïnstalleerd, en daarna moet je weer updates installeren voor 1607.

Al met al betekend het dat uren bezig ben, beetje afhankelijk van je hardware. Zelf op meerdere apparaten meegemaakt dat het zo'n 4 uur in beslag nam. En nu is het mijn werk als systeembeheerder, maar denk je dat ik thuis of andere consumenten daar op zitten te wachten? Denk het niet, dus door die rolling (niet security) updates van Microsoft krijgen mensen meer en meer een afkeer van updaten, met alle gevolgen van dien.

Maar het is tegenwoordig mode, breng zo vroeg mogelijk een halfbakken OS, softwarepakket en zelfs hardware op de markt, en ga daarna allerlei problemen op lossen middels updates......

Ben ik het niet mee eens. Nou ja, wél dat "normale" mensen het zichzelf soms bijzonder moeilijk maken, maar niet dat computers een andere denkwijze vereisen.

Een computer of applicatie is een hulpmiddel, niet meer, niet minder. Net zoals je een rijbewijs nodig hebt om veilig en verantwoord deel te kunnen nemen aan het verkeer, zul je jezelf ook moeten aanpassen om veilig en verantwoord met een apparaat om te kunnen gaan dat (in principe) in communicatie staat met de rest van de wereld.

Maar ja, net zoals er de hufter in het verkeer is, zijn er ook mensen die denken dat de computer alles wel automatisch regelt. Dat laatste gebeurt ook wel grotendeels in de vorm van updates, patches, hotfixes en al die andere kreten, maar mensen hebben hier geen geduld voor.

Dus nee, mensen hebben geen andere denkwijze nodig, maar onderwijs.

Wachtwoordbeleid wordt opgesteld door beleidsmakers, niet door technici.


Wat is er fout aan schaduw-ict? Als er goed beleid is rond schaduw-ICT en BYOD, werkt dat goed. Of bedoel je dat met smart acteren?


En als de mensen er nu moe van worden, van al die kwaliteitsverbeteringen?

Peter

Vanochtend twee toepasselijke artikelen gelezen op decorrespondent.nl over de (falende) aanpak van klimaatverandering en de leerpunten voor privacy strijders. Conclusie: De mens is simpelweg niet designed om zich druk te maken over vage ver-van-mijn-bed doom scenario's en zal derhalve zich eerder afkeren dan actief worden voor iets ontastbaars.

Als we dat accepteren als human design flaw, moeten we dus gaan omdenken..

De vraag is dan niet hoe we mensen in beweging krijgen om alle security instellingen toe te passen, maar hoe we security gratis en super simpel vóór hen verbeteren.

Bijvoorbeeld door één makkelijk bruikbare (open source) 2 factor authentication App voor alle platformen aan te bieden, met fingerprint, NFC token & QR scanner. Inbegrepen bij je mobiele of ISP abo, dus zg. gratis ;)

En daarbij: Overal verschillende sterke wachtwoorden is voor de gemiddelde home user werkelijk zinloos. Door de knop 'wachtwooord vergeten' heeft men alleen het pwd voor je mailbox nodig. En unencrypted USB & harddisks zijn natuurlijk ook een groot feest voor virussen.. Daarbij komt dat alle data al door de social media ontwikkelaars zelf en masse wordt geript, dus hebben hackers weinig toe te voegen :D Behalve dat natuurlijk illegaal al je foto's op straat komen te liggen.

Ook ik begrijp dit heel goed. We leren mensen dat ze moeten updaten, het liefst met 'Automatische Updates'. Ga voor de grap eens praten met mensen die zonder goedkeuren Windows 10 in hun maag gesplitst hebben gekregen. Of ineens met een brakke versie van iOS/macOS zitten? Deze mensen leren we één ding: noooooit automatisch updaten, don't touch a running system, het zal wel, nu kan ik in ieder geval mijn werk nog doen, updates zorgen voor enorm veel tijdverlies enz.

En dan de wachtwoorden... 2-factor authenticatie werkt al beter, maar ook daar gaat het vaak mis. Mensen nemen een nieuw abonnement, krijgen een nieuw 06-nummer, proberen in te loggen....en dan sta je daar. Ga je even met Twitter of Facebook bellen? Veel te moeilijk, gewone wachtwoorden werken ook en zijn niet afhankelijk van externe diensten of devices. Mensen vinden security op zich geen doel, het moet vooral _werken_!

En dan encryptie... Allemaal leuk en aardig, totdat je ooit een wachtwoord vergeet. Wie heeft er thuis niet een HDD liggen, netjes gecrypt met VeraCrypt/TrueCrypt/BitLocker/FileVault, waarvan je het wachtwoord niet meer weet. Ook hier gaat een gewone gebruiker tegenaan lopen. En dan is de afweging simpel: wil ik me beschermen tegen een theoretisch gevaar (want zo zien zij het) of wil ik vooral de beschikbaarheid op mijn data behouden?

Security is voor veel gebruikers lastig, de techniek is te moeilijk en in veel gevallen keert security zich ook tegen gebruikers (zie hierboven). Voorbeeld: leg eens - zonder het op te zoeken - uit hoe app-specific passwords werken op een Apple device. Of hoe het backup proces van Android precies werkt. Als wij dit al niet fatsoenlijk kunnen uitleggen, hoe kunnen we het dan verwachten van gebruikers, die als ze al doen wat wij ze vragen, er meer last dan profijt van hebben.

Het is wel duidelijk dat de Security.nl er geen probleem van maakt dat mensen met een handicap beledigd worden.

In het kort ben ik het eens met de lijn van je betoog.
Heb je ook de waarneming gedaan dat veel bestuurders niet met ICT van doen willen hebben. Maar dat die zelfde mensen de PI/ardino PS het internetten van hun kind op de basisschool zo fantastisch vinden. Al die ICT-ers in dienst kunnen van dat kroost nog wat leren die doen het veel beter. Hmmm je begint met ICT bij zo iemand met een mission impossible.

@Peter
Dat zo zou moeten zijn. Soms zijn de richtlijnen er ook.
Vervolgens zie dat de techneut zijn eigen richting inslaat. Hadden we niet een posts hier met een vragen van een techneuten hoe ze het management van gedachten konden veranderen.

Ja. (er moet goed beleid zijn)
In de praktijk is het meer alternatieven zoeken aangezien de ICT niet wil of faalt. Vervolgens gaan alle aanwezige richtlijnen waaronder die van ICT overboord want te lastig. Voorbeeld: dat datalek Isala. Beleid geen gevoelig informatie van werk op eigen pc. Toch gebeurt het. Hoeveel voorbeelden heb jij van zoiets gezien, ik veel.

Ze worden niet er niet moe van is het geen gezeur zonder onderbouwing zou zijn. Zien ze de voordelen en het is gemakkelijk dan willen ze best wel. Het probleem is dat zij niet weten hoe en ict-autisme heel andere dingen doet. (anoniem 19:10 eens me die strekking)

De mensen die computers programmeren zijn van een ander slag, waar ik het over had is het verschil tussen hun en de "gewone" gebruikers.

De user interface van een auto is al generaties behoorlijk stabiel, de makers en gebruikers hebben de tijd gehad om op elkaar afgestemd te raken. Computers zitten wat dat betreft nog volop in de pioniersfase. En een auto heeft maar één applicatie met aanzienlijk minder bedieningsmogelijkheden dan menig programma dat je op je computer gebruikt.

Dat ben ik niet helemaal met je eens.
Wat de wachtwoordregels betreft worden die in hoofdlijnen opgesteld door "de ICT technici" en geaccordeerd door beleidsmakers.

De onmogelijke combinatie van lange/lastige wachtwoorden, frequent wijzigen , verschillend per domein en niet opschrijven komt feitelijk uit generaties van techniek folklore, en is gecodificeert geraakt in eindeloos veel audit tooling. auditor checklists en "industry best practices" .
Per stuk zijn dergelijke regels logisch, en sommigen waren ooit heel concreet nodig (denk Unix pre-shadow passwordfiles) .

Het is goed dat er nu ook security experts van naam zijn die deze combinatie durven challengen , en constateren dat het beoogde doel van "security" er niet zo veel mee opschiet .

Een hoop onzin is zeker afkomstig vanuit "beleidsmakers" , maar password regels hebben nmm echt hun origine in de "ICT techniek" , en worden nog steeds te vaak heel hard verdedigd / indringend aangeraden aan beleidsmakers door "technische security experts" .

Het is dan ook het enige stukje theoretisch quantifeerbare security.


Als "kwaliteitverbetering op securityvlak" vanuit de gebruiker neer komt op "nog meer zeikregeltjes die het werk in de wegzitten" hebben ze groot gelijk daar moe van te worden.

ICT in het algemeen, en security in het bijzonder wordt een beetje te vaak bevolkt door mensen die vergeten dat ze er zijn om het werk wat de organisatie doet te ondersteunen en supporten.

Noem eens wat voorbeelden van wat jij "zeikregeltjes" noemt?

Het password beleid straktrekken (lang, geen hergebruik, geen patroon, korte expiry) in een organisatie zonder single sign on staat met stip op één.

Mail weggooien (natuurlijk zonder melding naar zender/ontvanger) met een te fanatieke scanner is een prima tweede .

Nou ja, "Ammehoela" was een Ethiopische koning, die spreekwoordelijk werd in het Mokumse.
We kennen allemaal het sprekende gebaar waarmee de associatie die deze uitdrukking gaf werd begeleid.

Alles wat men hier in deze draad beweert, behoort tot de diep-menselijke natuur.
We gaan door digitaal tot het randje en schrikken pas terug als dit terug bijt.
We worden pas wakker als we zelf narigheid ervaren.
De narigheid of onveiligheid van anderen interesseert ons echter geen zier.

Zolang we onveilig doorgaan en we hebben geluk, gaan we echt geen betere beveiliging toepassen.
En dat speelt ons parten, niet beveiligingsmoeheid, zoals hier aangenomen wordt.

Er zijn nou eenmaal veel autisten werkzaam in de IT. Logisch, want zij zijn daar het best voor "bedraad". Helaas hebben ze niet altijd gevoel voor de zwakheden van niet-autisten (een groot deel van de gebruikers), die wat meer moeite hebben met bijvoorbeeld het onthouden van meerdere 20-karakter wachtwoorden.

De autist kan een verrijking zijn voor de beveiligingsomgeving. Voor het beoordelen van de veiligheid van code is emotioneel inlevingsvermogen en sociale "intelligentie" niet zo van belang. Emoticons zijn hier secundair.

Bij de "normalen" zijn er ook heel veel empathieloze wezens. En wie is er per slot van rekening helemaal normaal?

Misschien moet er een speciale "emoticon" app komen die autisten kan helpen bij hun "rat's race" en hun carrière,
want daar dreigen de echte beschadigingen voor hen. Maar daar vindt men ook de meeste en grootste ergernis- veroorzakers voor andere developers - chef, hoofd-eerst vroeger collega, projectleiders, managers, documentatie.

Autisten zijn geliefd voor het uitvoeren van controletaken, ze kunnen heel lang "plezier beleven' aan wat anderen als geestdodend zullen ervaren en kunnen verbanden leggen op niveau's waar dat aan "anders ingestelden" totaal zal ontgaan.
Daarom zijn het vanwege hun andere "bedrading en functioneren fouten-jagers bij uitstek.

Maar de autist heeft het vaak veel moeilijker als de psychopaat.
Terwijl die laatste vaak veel verwoestender in de wereld zal staan.
Een psychopaat maakt meer kapot dan je lief is.

Het vergelijken van een autist met een psychopaat is dan ook wel een beetje als eh, het vergelijken van een autist met een psychopaat. Autisten zijn (misschien niet allemaal maar de intelligenten zeker) wel degelijk in staat tot empathie (anders zou lotgenotencontact zinloos zijn, bijvoorbeeld). Psychopaten zullen het overigens veel verder schoppen in de hiërarchie. Wie vindt dat alle ellende van boven komt (beleid) moet dus zeker niet bij de autisten wezen om te klagen. Die zitten daar niet.

@Anoniem 9 Okt 19.05... Eens met je.