Organisaties die emails versturen met daarin je gebruikersnaam en wachtwoord realiseren zich blijkbaar niet dat dit een slecht idee is. In dit stukje probeer ik kort en bondig uit te leggen waarom het versturen van wachtwoorden of andere gevoelige informatie per email onveilig is.
Ik gebruik hierbij als metafoor 'de Post' zoals die al honderden jaren acief is
Email is te vergelijken met een ansichtkaart. Een ansichtkaart heeft geen envelope. Het adres en de boodschap zijn door iedereen die de ansichtkaart verwerkt direct te lezen. Een ansichtkaart wordt daarom niet gebruikt voor gevoelige informatie. Een wachtwoord op een ansichtkaart zetten is daarom onverstandig omdat iedereen dit direct kan lezen.
Om ietwat gevoeligere informatie te versturen gebruik je een envelope. Een envelope bevat een ontvangst adres en eventueel een retour adres. In de envelope stop je de brief of kaart. Daarmee blijft de boodschap met gevoeligere informatie voor de post verwerkers, zoals een postbode, verborgen totdat de ontvanger de envelope opent. Dit gebruik je bijvoorbeeld voor een uitnodiging van een feestje of een rouwkaart. Uiteraard kan een kwaadwillende postbeambte nog altijd de envelope openen en de boodschap lezen. Daarom is dit nog steeds niet direct geschikt voor het versturen uiterst gevoelige informatie.
Voor uiterst gevoelige informatie, zoals wachtwoorden, wordt ook nog eens gebruik gemaakt van een versleuteling. Als de envelope geopend is en het bericht zichtbaar is, kun je nog niet de boodschap lezen. Hiervoor moet je het bericht eerst ontcijferen voordat de daadwerkelijke boodschap te lezen is. Dit voorkomt dat zomaar iemand de boodschap kan lezen als hij of zij toegang heeft tot het bericht. Met een versleuteling kun je zelfs gebruik maken van een ansichkaart want je kan de boodschap pas begrijpen als je het bericht kan ontcijferen. Daarvoor heb je een sleutel nodig. Zonder de sleutel kun je het bericht wel lezen, maar de boodschap niet begrijpen. Je ziet slechts 'geheimtaal'.
Kortom, wachtwoorden verzenden in een email zonder versleuteling is onveilig. Maar toch wordt dit nog vaak gedaan, veelal uit ontwetendheid. Met de informatie hier beschreven kan dat nu geen excuus meer zijn.
MAAR je wilt vast ook weten wat je dan wel kan doen. Het verzenden van versleutelde email voor wachtwoorden is helaas niet zo eenvoudig en gebruiksvriendelijk. Zo moet je bij versleutelde email nog altijd de sleutel met elkaar kunnen delen. En dat is vaak niet zo makkelijk te realiseren.
Daarom zijn er enkele tussenoplossingen bedacht. Deze tussenoplossingen zijn een compromis tussen de veiligheid van versleutelde email en de gebruiksvriendelijkheid van wachtwoorden direct in emails versturen. Een mogelijke oplossing die veel gebruikt wordt is het gebruiken van een tijdelijk wachtwoord dat per email verzonden wordt. Dat tijdelijke wachtwoord is zeer kort bruikbaar (meestal maximaal 24 uur) en moet na 1e gebruik direct worden gewijzigd. Dat nieuwe wachtwoord wordt alleen maar versleuteld opgeslagen en kan dus ook niet direct in een email worden verzonden. Om het nog veiliger te maken kan er gebruik gemaakt worden van zogenaamde two-factor authenticatie, waarbij er naast email nog een communicatie kanaal wordt gebruikt om vast te stellen dat de ontvanger van de email met het wachtwoord de juiste ontvanger is. Uiteraard zijn hier allerhande varianten op te bedenken en dit is slechts een het begin voor een veilgere omgang met wachtwoorden en andere gevoelige informatie.
Mocht je meer willen weten over wachtwoord beveiliging dan kun je hierover meer lezen bij de Open Web Application Security Project oftwel OWASP website. Uiteraard kun je ook altijd contact opnemen met Burobjorn.nl voor maatwerk advies.