lekker dan.
ben je op verlof, gaat de sysadmin die je niet moet ranzigheid uithalen, en dan vervolgens zeggen, wat heb jij gedaan op die machine. (ter info, dit is mij dus voor 13 jaar geleden gebeurd)
dus geen slim idee dat sysadmins pwd's mogen opslaan,.

Een beetje systeembeheerder heeft je wachtwoord niet nodig om dingen in jouw naam te doen. Klagen hierover is als klagen dat de conciërge toegang heeft tot ieder kantoor in het pand en dat hij daarom met je werk kan rotzooien, de boel kan leegroven en stiekem camera's op de wc's kan installeren. Het is aan de werkgever om ervoor te zorgen dat hij betrouwbare mensen als systeembeheerder (en conciërge) in dienst neemt.

Als systeembeheerder moet je toch op d'ene of d'andere manier wachtwoorden bij nieuwe accounts communiceren. Bijvoorbeeld elk jaar voor alle nieuwe studenten van de faculteit. Dus je maakt een lijstje en deelt ze uit.

Maar om ze daarna nog te bewaren? Dat heeft meestal geen zin, en is alleen maar een dom risico. En vaak genoeg zit er een restrictie op die nieuwe wachtwoorden dat ze onmiddelijk vervangen moeten worden door iets wat alleen de gebruiker weet.

Op dat moment kun je ook de software eisen aan de wachtwoorden laten stellen, al worden die maar al te vaak zonder veel nadenken opgelegd. Maar daarvoor hoef je niet centraal de wachtwoorden te genereren.

Voor vergeten wachtwoorden hoef je het ook al niet te doen: Je zet er een nieuw wachtwoord op wat bij de eerste inlog weer vervangen moet worden, en communiceert dat aan de vergeetachtige gebruiker. Dit is al tientallen jaren goed gebruik, ondanks dat niet iedereen dat weet.

Wat niet wil zeggen dat er geen beheerders zullen zijn die wel lijstjes achterhouden. Wat dan weer boekdelen spreekt over hun integriteit en/of hun kunde. Zeker als je bedenkt dat je als beheerder toch overal al bij kan, ofwel je hebt de macht jezelf die toegang linksom of rechtsom toch te verschaffen.

Schendt een beheerder of een bedrijf privacyrechten, dan kun je daar proberen wat aan doen--aankaarten, ander werk zoeken, noem maar op. Maar ik zie eigenlijk niet waarom je op deze slak zout wil leggen, anders dan als een indicatie dat de beheerder danwel het bedrijf niet zuiver op de graat is.

@spatieman, je zult niet de eerste of laastste zijn waarbij dat gebeurt. Een goede jurist kan zou je nodig kunnen hebben.

De systeembeheerder HOEFT mijn wachtwoord helemaal niet te weten (en ik zal het hem ook nooit geven, zelfs niets als dat bedrijfsbeleid is). Mocht ik mijn ww vergeten zijn, dan kunnen zij het resetten en moet ik een nieuw ww aanmaken. Zo werkt het bij de meeste besturingssystemen.
Wachtwoorden voor documenten etc. is een ander verhaal. Als dat alleen werk-gerelateerde gegevens zijn heb ik daar niet zo'n probleem mee.

@Spatieman:
Denk je dat dit te voorkomen is doordat de sysadmin je wachtwoord niet op slaat?
Zoals Arnoud al zegt: Systeembeheer kan in principe overal bij (zelfs in een sterk gelaagde omgeving), dus ze kunnen toch al op jouw systeem inloggen, in je mailbox en je home directory kijken.

Ook je wachtwoord kan hij simpelweg resetten om onder jouw account op je systeem te komen. het argument "hij zal zijn wachtwoord wel zijn vergeten in de vakantie" is best sterk in een discussie over wachtwoorden, zeker als het met enige regelmaat gewijzigd moet worden.

Belangrijke zin in het artikel van Arnoud staat bijna onder aan het artikel:
In jouw geval had beheer (of een andere medewerker die jouw wachtwoord wist/heeft geraden) geen goede intenties.

Het grote probleem wat je hebt met wachtwoorden die bij derden bekend zijn, is dat je niet meer kan aantonen of de persoon voor wie de account bedoeld is, ook degene is die de account gebruikt. Dit druist in tegen een aantal fundamentele beveiligingsprincipes. De werkgever in dit geval kan onmogelijk een personeelslid aanspreken op wat er met de bij die persoon horende account is gebeurd als de wachtwoorden overal bekend zijn.

Een goed ontworpen setup zou er voor moeten zorgen dat een beheerder weliswaar overal bij kan, maar dat wel duidelijk is welke beheerder het is geweest en wat die precies heeft gedaan. De beheerder zou dan wel z'n sporen kunnen gaan wissen en logfiles aan kunnen gaan passen, maar als je het goed voor elkaar hebt zou de beheerder dat nooit kunnen doen zonder medewerking van andere beheerders.

Ik ben wel benieuwd naar de argumenten van die bedrijven die zelf de wachtwoorden willen bepalen voor hun werknemers. Maar goed, in de ICT hebben werkgevers maar weinig controle over wat hun werknemers allemaal kunnen doen, tenzij ze daar in reglementen allerlei beperkingen voor instellen. Zo zijn er vast werkgevers die willen dat je hun bevriendt op Facebook en die je Twitter-account gaan volgen. Of die inzage willen in je complete LinkedIn profiel. Vervelender zijn zelfs bedrijven die je mobiele telefoon willen nakijken en mogelijk zelfs de complete inhoud van je tak/koffer.
Het is allemaal een blijk van wantrouwen jegens de werknemer. Zo zie ik het ten minste.

ik ben zelf ook een admin maar een lijst met wachtwoorden bijhouden hoeft niet eens. Kijk zelf gebruik ik ook een password tools waar wachtwoorden instaan maar als ik ze niet weet en ik moet toch op het systeem inloggen druk ik op de knop password reset en vervolgens kan ik gewoon inloggen. Je moet,mag er vanuit gaan dat je systeembeheerder toch wel kan inloggen of die nou wel of niet je wachtwoord weet. Ik denk dat je gewoon betrouwbare mensen als admins moet hebben, zoals ik :)

Beperkingen in de software die van buitenaf wordt opgelegd. Er zijn best nog wel paketten en platformen waar een user zijn eigen wachtwoord niet kan instellen, dan kan je daar als beheerder niet erg veel aan doen behalve zeuren dat andere software beter is, al is die waarschijnlijk ook wel duurder. De meeste beheerders staan er niet om te springen om wachtwoorden voor iemand anders te maken, laat staan ze bij te houden, in mijn ervaring leid dit eerder vaak tot de vraag van gebruikers om even het wachtwoord opnieuw in te vullen omdat de autocomplete het niet meer doet...

In principe kunnen ze toch overal bij? Dat dacht ik niet. Zo was het bij mijn oude werkgever zeker niet. De systeembeheerders op de districtskantoren, die wachtwoordresets moesten uitvoeren, konden met hun eigen autorisaties zelfs helemaal niets in het bedrijfssysteem.

Een beheerder kan vaak overal bij, maar zich voordoen als een andere gebruiker is meestal niet mogelijk zonder het wachtwoord. Natuurlijk kan hij het wachtwoord resetten, daar heft hij de rechten wel voor. Maar dat is dus niet geheel zonder sporen achter te laten, hij kan namelijk niet het originele wachtwoord herstellen (hele aparte omgevingen daar gelaten, een DC in een VM met een snapshot ofzo is nog een denkbare situatie ..)

"Vraag: Mag systeembeheer wachtwoorden bepalen en uitreiken, en dan een bestand bijhouden waar wachtwoorden worden opgeslagen, met daarnaast dus de mogelijkheid om de correspondentie van werknemers te kunnen lezen?"

Gebruikers zouden bij de 1e login hun wachtwoord gedwongen moeten veranderen.

Op die manier voorkom je dat derden (zoals systeembeheerders) over hun wachtwoorden beschikken. Overigens heeft een systeembeheerder die wachtwoorden ook nergens voor nodig; een password reset is immers altijd mogelijk indien iemand zijn password vergeet, of de organisatie verlaat.

Strikt juridisch zal de praktijk die je beschrijft wellicht mogen; vanuit beveiligingsoptiek is het oerdom, en het ondermijnt het concept van non-repudation. Men kan niet klakkeloos een account aan een persoon koppelen, omdat collega's ook over de wachtwoorden beschikken.

"Als systeembeheerder moet je toch op d'ene of d'andere manier wachtwoorden bij nieuwe accounts communiceren. Bijvoorbeeld elk jaar voor alle nieuwe studenten van de faculteit. Dus je maakt een lijstje en deelt ze uit. "

Of je implementeert een password management systeem waarbij een bericht met een gegenereerd password naar de gebruiker gaat, zonder dat de beheerder toegang heeft tot het wachtwoord. Het is helemaal niet nodig dat een beheerder wachtwoorden ziet, of verzint voor gebruikers.

"Maar om ze daarna nog te bewaren? Dat heeft meestal geen zin, en is alleen maar een dom risico."

Indien beheerders wachtwoorden uitdelen, zou je dan niet afdwingen dat de gebruiker bij de eerste login het wachtwoord wijzigt ? Daarna is de informatie die de beheerder heeft niet langer bruikbaar. Ik heb in organisaties gezien dat honderden gebruikers hetzelfde (zeer zwakke) wachtwoord hadden - uitgedeeld door de systeembeheerder, en nooit aangepast.

"Een beetje systeembeheerder heeft je wachtwoord niet nodig om dingen in jouw naam te doen. Klagen hierover is als klagen dat de conciërge toegang heeft tot ieder kantoor in het pand en dat hij daarom met je werk kan rotzooien"

Ben je bekend met concepten als audit trails, waarin je terug kunt zien wie welke handelingen heeft uitgevoerd ? Er is toch wel een wereld van verschil tussen een beheerder die zaken uitvoert onder zijn account, of onder accounts van collega's.

Om terug te komen op je vergelijking met een concierge; zie het dan als individuele sleutels, zodat te herlijden is wie de deur van een kantoor in je pand openmaakt. De concierge kan dat doen met zijn eigen sleutel (en achteraf kan men terug kijken wie de deur open heeft gemaakt, ter controle).

"In principe kunnen ze toch overal bij? Dat dacht ik niet."

Niet indien er sprake is van seperation of duties om te voorkomen dat mensen zomaar overal bij kunnen. Verder kan een goede audit trail zorgen dat misbruik van rechten gedetecteerd kan worden. Veel bedrijven pakken dat soort zaken echter niet goed aan.

"Of hij dat nu doet met een wachtwoord van een lijst of met een beheerswachtwoord of door de lijn te tappen maakt niet uit."

Sorry Arnoud, maar vanuit beveiligingsoptiek maakt dat alles uit.

"Zoals Arnoud al zegt: Systeembeheer kan in principe overal bij (zelfs in een sterk gelaagde omgeving), dus ze kunnen toch al op jouw systeem inloggen, in je mailbox en je home directory kijken."

Dat kan Arnoud wel roepen als jurist, maar dat is gelukkig lang niet altijd het geval.

"Een beheerder kan vaak overal bij, maar zich voordoen als een andere gebruiker is meestal niet mogelijk zonder het wachtwoord. Natuurlijk kan hij het wachtwoord resetten, daar heft hij de rechten wel voor."

Of je bouwt een password change applicatie waarbij beheerders die over wachtwoorden gaan deze enkel kunnen resetten indien er een change request is aangevraagd middels een technical control. Op die manier kan de beheerder niet op eigen houtje passwords resetten zonder onderliggend verzoek van de betrokken gebruiker.

Indien je vervolgens ervoor zorgt dat dat password ook nog eens rechtstreeks naar de gebruiker gaat via bijvoorbeeld een email of SMS bericht, dan kan de beheerder daarbovenop het nieuwe wachtwoord niet zien. Het beheer over de authentication server kan verricht worden door andere beheerders, die daar wel systeembeheer taken op kunnen uitvoeren, maar die op hun beurt niet de rechten hebben om passwords van gebruikers te wijzigen.

Het is wel grappig om te zien hoeveel bedrijven er kennelijk nog zijn waar systeembeheerders hun gang kunnen gaan zonder enige scheiding van verantwoordelijkheden, en hoeveel mensen niet snappen dat dat helemaal niet noodzakelijk is.

"Het centraal bepalen van wachtwoorden kan voordelen hebben maar ook nadelen. Je voorkomt al te zwakke keuzes (hunter2 en dergelijke) maar je maakt het wel lastiger voor mensen om wachtwoorden te onthouden, dus je vergroot de kans dat mensen ze gaan opschrijven. Maar dat is het risico van de werkgever."

Je moet in de praktijk eens kijken wat voor zwakke wachtwoorden beheerdersuitdelen. Zaken als Bedrijfsnaam2014! als wachtwoord. De veronderstelling dat het centraal bepalen en uitdelen van wachtwoorden voorkomt dat er geen zwakke wachtwoorden worden gekozen is wat dat betreft voorbarig.

Afdwingen van sterke wachtwoorden doe je overigens met technical controls, zodat je simpelweg geen zwak wachtwoord kan kiezen, en niet door erop te vertrouwen dat systeembeheerders slimmer zijn dan gebruikers, en zich per definitie verstandig gedragen.

Indien je systeembeheerders wachtwoorden laat kiezen, let er dan ook op dat ze niet iedere gebruiker hetzelfde wachtwoord verstrekken (gebeurt zeer vaak) ;)

Het antwoord van Arnoud Engelfriet bevat feitelijke onjuistheden.

In goede systemen wordt niet het wachtwoord maar de Hash-waarde+randomstring van het wachtwoord+randomstring opgeslagen. Bij controle van het systeem of het goede wachtwoord is ingegeven door de gebruiker wordt de Hash-waarde van het ingegeven wachtwoord+randomstring vergeleken met de opgeslagen Hash-waarde. Zijn deze gelijk, dan is het wachtwoord correct anders is het incorrect. De systeembeheerder van goed beveilgde systemen kent dus alleen de hash waarde+randomstring, niet het wachtwoord zelf.

In goede systemen kan een wachtwoord gebruikt worden om alle opgeslagen bestanden te versleutelen op een zodage manier dat een systeembeheerder alleen toegang heeft tot de versleutelde bestanden. Aangezien in goede systemen de systeembeheerder het wachtwoord ook niet kent (alleen de hash-waarde ervan en de randomstring), is het voor de systeembeheerder onmogelijk om de versleutelde bestanden te ontsleutelen.

Toen ik de kop van dit artikel las dacht ik direct: het antwoord zal wel "nee, dat mag niet" zijn. Blijkt 't gewoon te mogen. Leuk vak, jurist :-)

Nee? Op een willekeurig Unix systeem zit er standaard een gereedschap bij wat precies dat toelaat. Sterker, vaak genoeg heb je geen keuze zoiets te gebruiken, bijvoorbeeld als je een dienst onder de bijbehorende (pseudo-)gebruiker wil configureren en aanzwengelen. Dat soort gebruikers hebben geen enkel wachtwoord, zijn zelfs uitgezet voor normaal gebruik, en dus kan je niet eens op de normale manier inloggen.

Hoe relatieve nieuwkomer windows dit regelt weet ik niet, maar het zou me verbazen als er geen weg was om de wachtwoordhash te vervangen door een eigen, en die dan wellicht later weer terug te zetten. Kan best dat het behoorlijk bewerkelijk gaat zijn, maar dat is het daar vaak toch wel.

Verschilletje tussen wat van de wet niet mag (waarom zou die dit verbieden? levert alleen maar problemen op) en wat er goed gebruik is binnen de branche zelf. Dus het is dan wel niet wettelijk verboden, maar het is voor de goed verstaander wel een teken aan de wand dat er iets niet goed zit in de organisatie--al was het maar die individuele beheerder, maar vaak is het probleem institutioneel en dus groter.

als systeembeheerder wil ik het wachtwoord van een gebruiker niet eens weten.
bij een eerste inlog of bij een wachtwoord reset krijgt de gebruiker een random wachtwoord wat bij de eerstvolgende inlog veranderd moet worden.

Als het beleid is heb je een grote kans dat de systeembeheerder het password aan jouw geeft en kan jij het zelf niet veranderen. Of wachtwoorden moeten gewijzigd worden via een speciale tool die de wachtwoorden kan exporteren.

Sterker nog wat denk je als je bij een IT bedrijf werkt, die de ICT zaken regelt voor haar klanten?

Zelf ben ik ook SysAdmin van ons bedrijf (150+ medewerkers) en ook bij klanten. Ik zie soms dingen voorbij komen waarop mij vooraf wordt getendeerd. met de zin "Ja, dit is belangrijke data". Mij interesseren deze data/zaken totaal niet. Ik wil zorgen dat de persoon weer verder kan.

Dit zelfde geld voor wachtwoorden. Waarom moet ik alles weten? Als iemand zoals de TS zegt "13 jaar geleden is mij zoiets overkomen" dan heeft die SysAdmin geen manieren en is het een laffe daad. Ik heb ook de mogelijkheid om mail te bekijken of andere zaken. Sterker nog mailservers (zoals Exchange) hebben de mogelijkheid tot Journaling wat in de VS een erg graag gebruikte optie is, om mail af te vangen van gebruikers zonder dat ze dit weten. Zodat HRM en management alles weten wat je gedaan hebt.

In NL mag dit niet met mail (ik dacht ook bedrijfs mail) valt onder de wet briefgeheim (correct me if i`m wrong).

En ja, als SysAdmin bent je heel veel rechten. Weet je hier niet hiermee om te gaan, dan moet die persoon maar een goed nadenken of hij wel geschikt is om met zoveel verantwoordelijkheid om te gaan.

Wat een hoop gezeik om niets zeg. Hier in het bedrijf heb je wel eens zieke mensen van een belangrijke afdeling. Nu weer eentje al drie weken ziek. Iemand moet het werk overnemen vanwege de betalingen die verricht moeten worden. Tja, dan moet je in de computer kunnen komen van de persoon omdat tegenwoordig alles digitaal gaat. Hier wordt er ook niet moeilijk gedaan op de zaak. Mensen nemen in vakantietijd elkaars computer over. Je hebt altijd van die azijnpissers. Doe je privézaken maar lekker via je webmail van je eigen provider. Het zijn zakelijke computers en daar hoort geen privérommel op.

Het gaat niet alleen om privézaken, het gaat erom dat je de aangebrachte functiescheiding in stand wil kunnen houden in je organisatie.

Een zaak die "niet moeilijk doet" heeft geen poot om op te staan als een van die collegiale medewerkers ineens geld weggesluisd bleek te hebben door bevoegdheden van anderen te gebruiken. Lekker makkelijk inderdaad, elkaars wachtwoorden weten.

Net zoiets als die aardige goser die net in dienst is maar altijd bereid om als laatste door te werken en de kasafsluiting doet hij er ook wel even bij. Kan de chef lekker wat eerder naar huis. En alleen een echte azijnpisser gaat dan natellen of het wel klopt.

Tja, ben zelf ook sysadmin, en wij doen beheer van diverse klanten. Sommige klanten staan erop om de wachtwoorden van gebruikers te bepalen en noteren, ook al doen wij dit liever niet.. Ik heb zelfs bedrijven gezien waar men erop staat dat de gebruikers allen hetzelfde wachtwoord gebruiken; bijvoorbeeld de bedrijfsnaam (in kleine letters, want dat raad je niet zomaar). En ongeacht hoeveel je probeert; als de klant dit blijft eisen, dan kan je als beheerder niet anders..

Verder zijn er ook genoeg gevallen waarbij pakketten slechts 1 beheer-account hebben, welke ook door de klant benaderbaar moet zijn.. Ook dan moeten we het wachtwoord van de klant weten en gebruiken.. Slecht uit beveiligings-oogpunt, maar soms kan je niet anders..

Pffff wat een nondiscussie weer.
Natuurlijk mag een sysadmin dit. Wanneer je het er niet mee eens bent wijzig je jouw wachtwoord toch? Waar hebben we het over.

Wanneer die sysadmin vervolgens echt jouw correspondentie wil lezen doet hij dat wel via de mail/file server zelf. Daar hoeft hij jouw wachtwoord niet eens voor te resetten......

Interessant vak een system administrator. Wat kunnen ze eigenlijk zien? Puur de webpagina's die je bezoekt? Of kunnen ze bijvoorbeeld ook lezen wat je intikt (privebericht)?