In een tweet kregen wij de vraag of een bedrijf dat een maximumaantal karakters stelt voor de wachtwoorden van zijn online portal, daardoor aansprakelijk zou zijn bij een hack. Nou, dat zit er wel dik in!
Op Twitter kreeg Eneco er door oplettende consumenten van langs omdat het wachtwoord voor de online portal van Eneco niet langer dan 10 karakters mag zijn. Zij kwamen zelf al tot de conclusie dat Eneco daardoor risico loopt op aansprakelijkheid.
Wachtwoorden zijn tegenwoordig letterlijk en figuurlijk de sleutel tot jouw persoon. Denk er maar eens over na: bijna alle informatie die over jou bestaat, wordt beveiligd door wachtwoorden. Aan de ene kant zijn dat bijvoorbeeld de wachtwoorden die je zelf invult op een website als je je registreert voor een dienst, maar ook als je bij de gemeente een rijbewijs of iets dergelijks aanvraagt, worden je gegevens ingevoerd in een computersysteem, dat normaal gesproken beveiligd zal zijn met een wachtwoord. (En tegenwoordig misschien nog een tweede factor voor authenticatie.)
Hoewel het best lastig kan zijn om voor al die sites en systemen goede, unieke wachtwoorden te verzinnen, is er nog steeds eigenlijk niet echt een betere manier om voor beveiliging te zorgen. Voor biometrische authenticatiemethoden, zoals een scanner voor je vingerafdruk of je irispatroon, heb je speciale hardware nodig, die bovendien eenvoudig voor de gek te houden kan zijn als de aanvaller jouw vingerafdruk of irispatroon heeft kunnen bemachtigen. Een combinatie van een wachtwoord en een tweede factor (biometrisch, smartcard, SMS) kan extra veilig maar ook omslachtig zijn.
Wachtwoorden worden dus nog altijd het meest gebruikt, maar lang niet altijd op een goede manier. Gelukkig is daar tegenwoordig op diverse plaatsen goed advies over te krijgen, zoals bij de Consumentenbond en wachtwoordbewust.nl, of de ‘correct horse battery staple’ cartoon.
Bij ieder goed advies geldt de vuistregel: langer is veiliger (zolang je het nog kunt onthouden). Tegen de achtergrond van deze (algemene, of steeds algemener wordende) kennis, is het volstrekt onbegrijpelijk te beweren dat een maximum van 10 karakters is om de kans op misbruik van klantgegevens te verkleinen. Dat vergróót die kans juist, doordat gebruikers minder veilige wachtwoorden kunnen kiezen!
Bedrijven die jouw persoonsgegevens bewaren, zijn wettelijk verplicht om deze te beveiligen door ‘passende technische en organisatorische maatregelen’. Een wachtwoord is een technische maatregel, maar een wachtwoordsysteem dat maximaal 10 karakters toelaat, is moeilijk passend te noemen voor de toegang tot het klantenportaal van een energieleverancier.
Als er er dan een hack/datalek plaatsvindt, kun je er wel vanuit gaan dat zo’n bedrijf aansprakelijk is, zelfs als het niet direct duidelijk is of het lek wel is ontstaan door het kraken van het wachtwoord. Sterker nog, zelfs zonder dat er daadwerkelijk een hack is geweest, zou de Autoriteit Persoonsgegevens Eneco ertoe kunnen dwingen om dit aan te passen of zelfs een boete opleggen.
Het is te hopen dat Eneco iets doet met het gratis advies van haar klanten (en van ons), zodat de Autoriteit Persoonsgegevens er niet aan te pas hoeft te komen.
Update 24-5-2016: Eneco heeft laten weten dat ze het aantal tekens korte termijn uitbreiden. Verder geven ze aan dat een Eneco-wachtwoord ook minimaal 8 karakters lang moet zijn. Het maximum van 10 wordt dus opgeheven, mede naar aanleiding van eerdere opmerkingen hierover van hun klanten.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.