Juridische vraag: Vereniging wil wachtwoord niet wijzigen
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Ik ben lid van een vereniging, en ik krijg als onderdeel van het lidmaatschap toegang tot een POP3-mailbox. Nu heeft men onlangs de administratie online gezet, maar dan met hetzelfde wachtwoord als voor de mailbox. Dat was handig volgens het bestuur, maar daarmee is mijn privacy wel in het geding. Het mailbox-wachtwoord wordt immers onversleuteld verstuurd, dus iemand die dat te pakken krijgt, kan nu ook bij mijn persoonlijke gegevens uit de administratie (met onder andere NAW, geboortedatum en persoonlijke interesses). Hoe kan ik ze dwingen om een apart wachtwoord te laten gebruiken?
Antwoord: Een bedrijf, vereniging, stichting of andere instelling die persoonsgegevens van anderen verwerkt, is verplicht deze "afdoende" te beveiligen tegen ongeautoriseerde toegang of misbruik. We hebben in juli al eens gediscussieerd over wat dat precies betekent maar het gebruik van een wachtwoord en versleutelde verbinding om bij die gegevens te komen, lijkt me toch wel het minimum vandaag de dag.
Zo te lezen heeft deze vereniging echter wel degelijk een beveiliging ingevoerd. Alleen is er het probleem dat het wachtwoord van die beveiliging kennelijk ook voor een onveilige dienst (POP3, bestaat dat nog) gehanteerd wordt. Iemand die het POP3-wachtwoord weet te achterhalen, kan dus ook bij de beveiligde interface. De vraag is natuurlijk wel hoe realistisch dit aanvalsscenario is.
Je zult moeten hardmaken dat de beveiliging van de persoonsgegevens niet afdoende is omdat het wachtwoord in een ander systeem over plaintext kanalen verstuurd wordt. Als je dat lukt, kun je eisen dat men maatregelen neemt die wel afdoende zijn. Of dat automatisch is dat er een ander wachtwoord moet worden gehanteerd, durf ik niet te zeggen. Er zijn immers nog genoeg andere oplossingen, bv. de POP3-verbinding over een SSL-kanaal laten lopen - of POP3 dumpen en alles via IMAP of webmail laten gaan.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
"Er zijn immers nog genoeg andere oplossingen, bv. de POP3-verbinding over een SSL-kanaal laten lopen - of POP3 dumpen en alles via IMAP of webmail laten gaan."
Dan moet je die webmail ook met SSL beveiligen, en die software goed onderhouden.
Je zult moeten hardmaken dat de beveiliging van de persoonsgegevens niet afdoende is omdat het wachtwoord in een ander systeem over plaintext kanalen verstuurd wordt. Als je dat lukt, kun je eisen dat men maatregelen neemt die wel afdoende zijn. Of dat automatisch is dat er een ander wachtwoord moet worden gehanteerd, durf ik niet te zeggen. Er zijn immers nog genoeg andere oplossingen, bv. de POP3-verbinding over een SSL-kanaal laten lopen - of POP3 dumpen en alles via IMAP of webmail laten gaan.
Prachtig antwoord maar wat kan ie er mee ?
Bij welke instantie moet ie gaan klagen dan ?
Als hij kan aantonen dat het niet veilig is , en dat kan ie, dan is het maar de vraag of die vereniging (wellicht een visclub o.i.d. die geen notie van beveiliging heeft) ontvankelijk is voor zijn technische bezwaar.
Wat hij dus moet hebben is een instantie die het voor hem opneemt en die vereniging dwingt om stappen te nemen zodat zijn privacy beter gegarandeerd is dan nu het geval.
Iemand die zijn (en de leden van de club) belangen hieromtrent behartigd.
Dit advies slaat natuurlijk nergens op.
IMAP is net zo (on)beveilig als POP3. Voor webmail geldt eigenlijk hetzelfde. Voor alle genoemde adviezen geldt dat deze alleen beter beveiligd zijn wanneer de verbinding via SSL (of TLS) wordt opgezet.
Het advies zou moeten zijn: kies voor POP3+SSL of POP3+TLS.
LOL, jij wou zeker ook wat zeggen ?
Zoals hier boven ook al gezegd, pop+encryptie is minimaal.
Ontopic, het wordt in alle gevallen afgeraden om voor meerdere diensten het zelfde wachtwoord te gebruiken. Helemaal wanneer deze diensten niet beveiligd zijn. Deze maatregel werkt progressief.
Wanneer toch iemand jou wachtwoord weet te bemachtigen van dienst A dan kan men niet zomaar gebruik maken van dienst B. In dit geval heeft er een incident plaats gevonden en wordt de schade beperkt doordat je verschillende wachtwoorden hanteert. Encryptie zo je toekunnen voegen vanuit het oog punt preventie om te voorkomen dat iemand jou wachtwoord kaapt.
Keyloggers en shouldersurfers zijn nog steeds een gevaar, installeer daarom anti-virus/malware tegen kwaadaardige programmatuur en let goed op wanneer je je wachtwoord intikt of niemand mee kijkt en of dat je aanslagen niet gefilmd worden, eerder was snel tikken genoeg om een shouldersurfer het na kijken te geven maar tegenwoordig beschikken veel mensen over een handcamera waarmee de beelden later vertraagd kunnen worden afgespeel.
Bedank voor je info, ik zou zegen zet het wachtwoord online op een spam form. Dan weet je zeker dat de Vereniging niet meer gebruik wil maken van het volgende email account, dan hoef je ook het wachtwoord niet meer tewijzigen.
En wat moet je ermee? Tsja, je moet de vereniging overtuigen van hun onjuiste aanpak. Een klacht bij het CBP is altijd mogelijk maar het is nogal een kleine zaak voor hen. Naar de rechter stappen kan ook, maar dan hoop ik dat je wel in kleutertaal kunt uitleggen waarom passwords die plaintext over de lijn gaan een slecht idee zijn. Met meteen een reactie op het tegenargument "wie gaat dat nou doen bij onze verenigingsmailserver".
Als mensen zich dan druk maken over Security en Privacy dan zijn het weer "zeurders" en dan voelen de bouwers van de service zich meteen weer aangevallen. Als je dan gaat dreigen met Juridische stappen of het inschakelen van een bepaald orgaan dan ben je al snel een persona non grata en dat bevordert de gezelligheid binnen de club natuurlijk ook niet. Ik kan me wel iets indenken bij de reactie van de vraagsteller. Hij staat dus nu voor een dilemma.
Prachtig antwoord maar wat kan ie er mee ?
Bij welke instantie moet ie gaan klagen dan ?
Wat hij dus moet hebben is een instantie die het voor hem opneemt en die vereniging dwingt om stappen te nemen zodat zijn privacy beter gegarandeerd is dan nu het geval.
Iemand die zijn (en de leden van de club) belangen hieromtrent behartigd.
Bij het College Bescherming Persoonsgegevens kan de vraagsteller een klacht indienen (http://www.cbpweb.nl/).
Als mensen zich dan druk maken over Security en Privacy dan zijn het weer "zeurders" en dan voelen de bouwers van de service zich meteen weer aangevallen. Als je dan gaat dreigen met Juridische stappen of het inschakelen van een bepaald orgaan dan ben je al snel een persona non grata en dat bevordert de gezelligheid binnen de club natuurlijk ook niet. Ik kan me wel iets indenken bij de reactie van de vraagsteller. Hij staat dus nu voor een dilemma.
Dat hangt natuurlijk ook samen met hoe je je zorgen kenbaar maakt. Als je roept dat ze iets waardeloos hebben gemaakt waar niets van deugd en dat je ze wel eens flink zult gaan aanpakken, dan zal je snel in bovenstaande situatie vervallen. Als je aangeeft dat ze een mooie oplossing hebben gemaakt, maar wellicht een kleinigheidje over het hoofd hebben gezien, dan zal dat al tot een heel andere reactie leiden.
Als mensen zich dan druk maken over Security en Privacy dan zijn het weer "zeurders" en dan voelen de bouwers van de service zich meteen weer aangevallen. Als je dan gaat dreigen met Juridische stappen of het inschakelen van een bepaald orgaan dan ben je al snel een persona non grata en dat bevordert de gezelligheid binnen de club natuurlijk ook niet. Ik kan me wel iets indenken bij de reactie van de vraagsteller. Hij staat dus nu voor een dilemma.
Dat hangt natuurlijk ook samen met hoe je je zorgen kenbaar maakt. Als je roept dat ze iets waardeloos hebben gemaakt waar niets van deugd en dat je ze wel eens flink zult gaan aanpakken, dan zal je snel in bovenstaande situatie vervallen. Als je aangeeft dat ze een mooie oplossing hebben gemaakt, maar wellicht een kleinigheidje over het hoofd hebben gezien, dan zal dat al tot een heel andere reactie leiden.
Het feit dat de vraagsteller deze vraag stelt doet mij vermoeden dat dat niet gelukt is.
Het feit dat de vraagsteller deze vraag stelt doet mij vermoeden dat dat niet gelukt is.
Dat lijkt er inderdaad wel op. Maar mijn opmerking was dan ook meer bedoeld om lezers er bewust van te maken dat als ze met zoiets te maken krijgen, je al veel invloed kan uitoefenen door je eigen opstelling juist te kiezen.
Het feit dat de vraagsteller deze vraag stelt doet mij vermoeden dat dat niet gelukt is.
Dat lijkt er inderdaad wel op. Maar mijn opmerking was dan ook meer bedoeld om lezers er bewust van te maken dat als ze met zoiets te maken krijgen, je al veel invloed kan uitoefenen door je eigen opstelling juist te kiezen.
Het feit dat de vraagsteller deze vraag stelt doet mij vermoeden dat dat niet gelukt is.
Dat lijkt er inderdaad wel op. Maar mijn opmerking was dan ook meer bedoeld om lezers er bewust van te maken dat als ze met zoiets te maken krijgen, je al veel invloed kan uitoefenen door je eigen opstelling juist te kiezen.
Het is meer vliegen vangen met stroop dan met azijn
Het verschil tussen stroop en stront kan nog wel eens anders uitpakken dan je denkt vooral als het om strontvliegen gaat.
;-)
Daarnaast is het vreemd dat iedereen die de mailbox mag gebruiken ook standaard in de administratie kan. Scheiding van functie en bevoegdheid iemand?
Het Orakel
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
