Onveilige websites overheid: hopen op sterk wachtwoord

Rob van der Staaij, gespecialiseerd in identity & access management en verbonden aan de Rijksuniversiteit Groningen: “Het is zeker verstandig om er voor te zorgen dat de inlogpagina voor het beheer niet toegankelijk is voor de buitenwereld. Hackers kunnen dan eenvoudig met scripts wachtwoorden uitproberen en als die wachtwoorden te kort zijn of voor de hand liggend, zijn die snel gekraakt en hebben ze toegang.”

'Niet automatisch rampzalig'

Dat die inlogpagina’s publiekelijk toegankelijk zijn, is niet automatisch rampzalig maar “Het is zeker niet goed”, volgens Van der Staaij. “Je moet er wèl iets tegen doen en dat kan ook, maar het betekent huiswerk voor die overheidsorganisatie.” Eén van de maatregelen is te zorgen dat de inlogpagina verborgen is. “Dat kan heel goed in WordPress en het is geen grote inspanning.”

Daarnaast is het van belang dat er een sterk wachtwoord wordt gebruikt. “Daarbij is de lengte het belangrijkst. Hoe langer, hoe meer tijd die scripts nodig hebben om het te kraken. Een wachtwoord van 6 tekens kost maar een paar minuten om te kraken. Maar als het 14 tekens of meer heeft, kan het zomaar duizenden jaren duren."

Basisregels voor beveiliging

Van der Staaij voegt hier nog een belangrijke basisregel voor beveiliging aan toe. "En natuurlijk geen voor de hand liggende wachtwoorden gebruiken want de kans is groot dat die al eens gehackt zijn en dan zijn opgeslagen in de dictionary – een database met veelgebruikte en ooit gehackte wachtwoorden die hackers voor die scripts gebruiken.”

Dit geldt zeker zeer sterk voor toegangspagina’s voor beheer, benadrukt Van der Staaij. “Gebruik daar bovendien altijd multifactor authenticatie. Beheertoegang levert altijd vergaande rechten op. Dat moet goed beschermd zijn.”