Tweetweekoverzicht week 23 2019: Over verplicht wachtwoord veranderen, social media bij visumaanvraag, Apple inloggen, Blendle en oproep modernisering leenrechtstelsel

Elke week maak ik een tweetweekoverzicht waarin ik alsnog stil sta bij nieuws en interessante ontwikkelingen waar ik wel over getwitterd heb maar waar ik (nog) geen blogpost aan heb gewijd.

Heb ik iets gemist? Of ben je wat interessants tegen gekomen? Stuur me dan een mail of tweet en dan neem ik het op in het (volgende) tweetweekoverzicht.

Verplicht wachtwoord veranderen?

Sterke wachtwoorden gebruiken *en* die ook regelmatig (moeten) veranderen. Het is het mantra van vele websites – en volgens mij van alle IT afdelingen van bedrijven – die daarmee hun gebruikers lastig vallen. Met enige regelmaat moeten die hun, toch al niet te onthouden, wachtwoord weer veranderen en zoals iedereen je kan vertellen is het dan het eenvoudigst om simpelweg 1 cijfer of letter uit hun bestaande wachtwoord te wijzigen.

Wat bepaald niet veilig is natuurlijk. Om nog maar niet te spreken van het feit dat als je eenmaal met veel moeite een sterk wachtwoord bedacht hebt dat aan al die eisen voldoet die IT mensen bedacht hebben, je extreem genegen bent om die op meerdere plekken te gaan gebruiken. WIE GAAT ER IN HEMELSNAAM TIENTALLEN VAN DIE DINGEN BEDENKEN?

Ook Microsoft ziet dat nu in. Tenminste, de noodzaak om periodiek wachtwoorden te moeten wijzigen is nu verdwenen uit het beveiligingsadvies en instellingen die het bedrijf adviseert aan klanten. Multifactor authenticatie ja. Gebruikers elk kwartaal of half jaar hun wachtwoord laten wijzigen nee. Ik ben benieuwd wat bedrijven er mee gaan doen …

Social media accounts doorgeven bij visumaanvraag

Sinds afgelopen week moet je bij een visumaanvraag voor de VS verplicht je social media accounts doorgeven zodat deze ook gecontroleerd kunnen worden. Ergens vind ik dat logisch – als je al verplicht een visum moet aanvragen ligt het voor de hand dat die aanvraag ook wordt beoordeeld op meer dan alleen die paar regels die je op een formulier invult – maar het voelt wel heel erg China-achtig aan allemaal.

Apple inlogsysteem

Ik keek afgelopen maandag naar de Apple persconferentie om wat meer over iOS te weten te komen maar kreeg ook nog eens interessant nieuws over een splitsing van iOS naar een specifieke versie voor de iPad en nieuwe functies voor de AppleTV.

Het meest interessante echter vond ik de privacy opties die Apple introduceerde. Niet alleen kun je straks in apps gebruik maken van een tijdelijk (Apple) mailadres die dan berichtjes van leveranciers doorstuurt via dat adres naar jouw echte mailadres – zodat jouw mailadres dus verborgen blijft voor derde partijen – maar Apple kondigde ook een eigen zogeheten Single Sign On dienst aan.

Sign in with Apple is de concurrent/het alternatief voor inloggen met je Google of Facebook account maar focust zich op het zo min mogelijk doorgeven van gegevens naar websites en appmakers.

Natuurlijk, je kunt je afvragen of Apple meer te vertrouwen is dan Google of Facebook maar Apple verdient zijn miljarden tenminste niet met het tracken van zijn klanten en ik ben in elk geval meer genegen om dit te gaan gebruiken als ik dan toch moet kiezen uit 1 van die drie.

Blendle wijzigt model

Het nieuws komt totaal niet als een verrassing maar afgelopen week liet Alexander Klöpping weten dat Blendle gaat stoppen met het model waarbij, middels een tegoed, wordt betaald voor individuele artikelen.

Blendle heeft dat langer volgehouden dan ik had gedacht. Toen ze begonnen (eind april 2014) eindigde ik mijn blogpost al met de vraag hoe lang gebruikers bereid waren om voor losse artikelen te betalen en die is nu dus beantwoordt: ruim vijf jaar. Blendle introduceerde al hun Premium abonnement vorig jaar, waarbij voor een vast bedrag per maand onbeperkt toegang tot een (selectie van) titels geboden werd en ik was er al van overtuigd dat aanbieders van content op termijn allemaal iets moeten met zo’n dergelijke toegang.

De stap van Blendle om te stoppen met betalen per artikel betekent dus mijns inziens ook alleen maar dat er een nieuwe, en hopelijk betere, dienst overblijft. Blendle heeft thans 60.000 Premium abonnees en wil dat laten groeien naar 100.000. Dan mis je die losse eurocenten per artikel inderdaad niet.

Modernisering leenrechtstelsel

De Auteursbond, Groep Algemene Uitgevers (GAU), Stichting Leenrecht en de Beroepsorganisatie Nederlandse Ontwerpers (BNO) roepen, in een brief (pdf) minister Van Engelshoven van OCW op om het leenrechtstelsel te moderniseren. Het leenrecht is een wettelijke grondslag ingebouwd in de Auteurswet die een vergoeding toekent aan de rechthebbenden als hun boeken geleend (gelezen) worden via de openbare bibliotheken. Per uitlening wordt er een klein bedrag uitgekeerd aan de rechthebbende(n).

De organisaties wijzen op de daling uit de opbrengsten uit leenrechtvergoedingen. Ze spreken van een daling van 75 procent in de afgelopen 25 jaar, van 23 miljoen euro voor 158 miljoen uitleningen in 1995 naar 8 miljoen euro voor 59 miljoen uitleningen in 2018.

Hoewel ik betwijfel of de minister een pot met geld open trekt om de teruglopende vergoedingen te compenseren, lijdt het geen enkele twijfel dat het stelsel aan een update toe is. Met teruglopende uitleningen – door meerdere factoren overigens – ligt het voor de hand om de vergoeding per uitlening op te hogen maar ook om vanuit de branche *en* ministerie goed te bedenken hoe (en of) schrijvers van jeugdboeken beter ondersteund kunnen worden.

En verder nog …

Eén niet correct gelicenseerd deuntje in je intro gebruiken (voor honderden video’s op je kanaal) en daar ga je met de copyright claims. Ook jaren later dus. Moraal van het verhaal: zorg dat je altijd de rechten van muziek goed regelt op je YouTube kanaal.

Ik had mijn eigen gemeente moeten uitnodigen voor de AVG/privacy praatjes die ik het afgelopen jaar gehouden heb. Of zij mij eigenlijk.

De gemeente Deventer deelt de persoonsgegevens van inwoners (dus ook de mijne) met “wel 50 andere gemeenten” en daar kwam een stadsgenoot van me achter middels een tweetal WOB verzoeken. Het gebeurt ongetwijfeld ook in alle andere gemeenten maar wat wel nieuw is dat de rechter dankzij de strengere privacywetgeving daadwerkelijk een schadevergoeding toewees van 500 euro.

Het schept een precedent waarbij letterlijk elke Nederlander zijn gemeente kan aanspreken op de bescherming van zijn of haar persoonsgegevens dus laten we hopen dat alle Nederlandse gemeenten nu eens wat kritischer kijken naar hoe ze hiermee om gaan. Het is tenslotte precies waarvoor die AVG er gekomen is.

#

Tweetweekoverzicht week 15 2017: Wachtwoord-wijzigen-perikelen, betrouwbaarheid CB ebookstatistieken, einde van Windows Vista en uniforme APA-richtlijnen voor het hoger onderwijs

vakblog tweetweekoverzichtIn het tweetweekoverzicht sta ik alsnog kort stil bij nieuws en interessante ontwikkelingen waar ik wel over getwitterd heb maar waar ik (nog) geen blogpost aan heb gewijd.

Soms omdat anderen dat al beter gedaan hebben dan ik het zou doen, soms omdat er weinig meer over te vertellen valt dan het nieuwtje zelf en soms omdat ik er ook geen blogpost van weet te maken.

Weer wachtwoord wijzigen

Twee keer per jaar krijg ik een herinneringsmailtje. Dat het binnenkort weer zo ver is en ik me mag gaan opmaken voor een uurtje oncomfortabel en machteloos ondergaan van een procedure waarvan anderen bedacht hebben dat ik dat nodig heb.

Op mijn werk hebben ze namelijk bedacht dat het extra veilig is als de ca. 1500 medewerkers elk half jaar verplicht hun wachtwoord moeten wijzigen. Ergens op managementniveau moet het logisch geklonken hebben. Immer, als sterke beveiliging en gebruikersgemak elkaars tegenpolen zijn dan is het logisch dat als je elke zes maanden je medewerkers enorm irriteert, dit per definitie positief voor het gevoel van veiligheid moet zijn.

Natuurlijk moet dit telkens een ‘sterk’ wachtwoord zijn en moet voorkomen worden dat de eigen (inlog)naam of die van je geliefden, huisdieren of favoriete artiesten gebruikt wordt. En voor de organisatiegevaarlijke collega’s, die willen rouleren tussen twee wachtwoorden, wordt de gemakkelijke route natuurlijk ook afgesneden.

En dus hebben collega’s 1 keer zo’n lastig wachtwoord bedacht die ze inmiddels uit hun hoofd kennen (met geheugensteuntje verstopt op papiertjes, post-its of in de telefoon) en wijzigen ze elke zes maanden één letter zodat ze tussen 26 bijna identieke wachtwoorden roeleren. Vervolgens moeten op alle telefoons en tablets ook de wachtwoorden veranderd worden voor mailaccounts, het bedrijfswifi-netwerk en OneDrive for Business. En moeten de geheugensteuntjes bijgewerkt zodat je kunt onthouden welke van de 26 variaties je op dit moment in gebruik hebt voor het onvermijdelijke moment na een vakantie dat je het echt even niet meer weet.

Ja, met die beveiliging zit het wel snor.

Over de betrouwbaarheid van de CB ebookstatistieken

Toen CB afgelopen maandag de nieuwe Barometers publiceerde, discussieerde ik op Twitter met Patrick Heemstra over de vermelde aantallen titels op de E-book Barometer die beschikbaar zouden zijn voor bibliotheek en abonnementsdiensten. Patrick kwam met een link naar de catalogus op bibliotheek.nl waar toch echt ruim 4500 titels minder te vinden waren dan CB vermeldde terwijl ik constateerde dat er toch echt meer Nederlandstalige titels in Kobo Plus zaten dan aangegeven.

Of CB toevallig mee las weet ik niet maar de volgende dag stond er een nieuwe versie van de E-book Barometer op de site waaruit bleek dat er inderdaad wat getallen waren omgedraaid. Kan gebeuren natuurlijk maar het bracht me wel aan het denken over wat er nou precies (wel en niet) gemeten wordt in de systemen van CB.

Het is logisch dat CB alleen maar gegevens heeft over de ebooks die ze zelf leveren voor uitleen, verkoop en de abonnementsdiensten. Dat betekent logischerwijs dat bijvoorbeeld de zgn. indies (de zelfstandig / self published ebooks) niet meegeteld worden. Nou is dat een relatief klein aantal in Nederland gok ik aangezien zelfs bij Brave New Books een deel van de selfpublished boeken via CB gedistribueerd worden. Maar het betekent ook dat alle downloads van Bookchoice (voormalig Elly’s Choice) niet meegeteld worden, noch onder de categorie verkoop, noch onder de categorie abonnementsdiensten.

Nou kun je dit toelichten bij de ebook statistieken (niet dat CB dat doet overigens) en nog steeds claimen dat je representatieve statistieken hebt. Maar het werd een ander verhaal toen me te binnen schoot dat ik in december 2016 in Inct Magazine een artikel las over de distributieworkflow bij Overamstel uitgevers. Daar stond iets in over het rechtstreeks leveren naar ebookwinkels ipv via CB en toen ik het nazocht bleek dat te kloppen:

Overamstel uitgevers bestaat uit meerdere uitgeverijen en is verantwoordelijk voor een groot aantal digitale titels in Nederland. Hoeveel precies? Geen idee. Maar het lijkt me voor de hand liggen dat de cijfers over de distributie van de titels van Overamstel niet opgenomen zijn in de E-book Barometer. En ik vermoed dat hun titels ook niet meegenomen zijn in het staatje van ‘voor verkoop beschikbare titels’. Zou dat het verschil van bijna 3000 titels verklaren tussen het totale aantal ebooktitels in Nederland (48.143) en het aantal voor verkoop beschikbare titels (45.259)?

Ik heb CB gevraagd of ze kunnen aangeven of de cijfers uit de E-book Barometer inclusief of exclusief de titels van Overamstel zijn maar zij verwijzen me door naar Overamstel zonder antwoord te geven op die vraag. Wat voor mij al een antwoord is. Ik ga niet Overamstel vragen of de E-book Barometer van CB klopt – wiens infographic is het nou? – maar misschien is het nog wel een goede vraag hoeveel titels zij digitaal leverbaar hebben? Hoe dan ook, de volgende Barometer zal ik wel wat kritischer gaan bekijken want het voelt wel heel erg als stoeien met statistieken nu.

Microsoft stopt met het ondersteunen van Vista

Iets meer dan tien jaar geleden introduceerde Microsoft Windows Vista als opvolger van Windows XP. Het heeft de reputatie gekregen als een slecht en onbetrouwbaar besturingssysteem hoewel ik het zelf jarenlang zonder enige problemen gebruikt heb en het tot de dag van vandaag op de laptop van mijn vader draait.

Het weerhield ook vele andere gebruikers er niet van om het te blijven gebruiken, ook al kwam in 2009 Windows 7 uit en is zelfs die al weer vervangen door Windows 10. Microsoft verlengde daarom de ondersteuningsperiode ook tot 11 april 2017. Afgelopen week was het echter zo ver en is daarmee officieel het doek gevallen voor Windows Vista. En misschien ook voor de laptop van mijn vader?

Uniforme APA-richtlijnen voor het hoger onderwijs

Een uniforme manier van bronvermeldingen. Dat was (en is) het achterliggende idee van de Amerikaanse APA-richtlijnen die ook in het Nederlandse hoger onderwijs veelvuldig gebruikt worden.

Het probleem met (Amerikaanse) richtlijnen is echter dat je ze nog steeds heel verschillend kunt interpreteren en toepassen. Dan kun je wel vanuit de bibliotheek workshops en begeleiding aanbieden maar het leidt tot vervelende situaties als je studenten één interpretatie uitlegt terwijl de docenten meerdere andere interpretaties hanteren.

Waarom, vroegen collega Rensje en ik ons af, was er nog geen één uitleg en interpretatie voor het Nederlandse hoger onderwijs die door (de bibliotheken van) alle onderwijsinstellingen gehanteerd en ondersteund zou kunnen worden? En dus moest die er maar komen vonden wij. Negen informatiespecialisten van in totaal zeven hogescholen hebben als werkgroep APA van het Netwerk Auteursrechten Informatiepunten-hbo, met ondersteuning door SURF, die uitdaging opgepakt. Op 15 mei aanstaande is de digitale versie van ‘De APA-richtlijnen uitgelegd: een praktische handleiding voor bronvermelding in het hoger onderwijs‘ gratis te downloaden van Auteursrechten.nl.

En als papieren editie te koop via Studystore! Dat moet ik niet vergeten natuurlijk.

(dank aan Arjan, Jurgen, Annelies, Elleke, Roelie, Marij, Ans, Philip en natuurlijk Rensje!)

En verder nog …

Sony komt met een nieuwe e-ink 13,3 inch tablet, de DPT-RP1, die 700 dollar moet gaan kosten. Met alleen ondersteuning voor pdf dus vooral (alleen) handig voor zakelijk gebruik.

Goed nieuws uit Hilversum voor de verandering. Het best bekeken programma in huize Snijders gaat twee keer zo lang worden na de zomer. Joepie!

De VakantieBieb 2017 komt er weer aan in juni (voor de jeugd) en juli (ook voor volwassenen).

#

Over sterke wachtwoorden bedenken en onthouden (zonder dat je ze iedere keer moet veranderen)

Iedereen worstelt met de belachelijke hoeveelheid wachtwoorden die je tegenwoordig moet onthouden. Tientallen of zelfs honderden (betaalde) webdiensten, klantenpagina’s van bedrijven, DigiD, de inlogcodes voor je werk, noem het allemaal maar op.

Vroeger kwam je er nog mee weg om tussen twee of drie eenvoudige wachtwoorden te rouleren die je simpelweg overal voor gebruikte. Na een jarenlange berichtenstroom van hacks en gestolen inloggegevens bij allerlei diensten (o.a.Time Warner, Netflix, Amazon, Spotify) zit de schrik bij veel bedrijven er goed in en wordt iedereen gedwongen om zogenaamde sterke wachtwoorden aan te maken. Niet dat het je enigszins helpt als de servers van dat bedrijf alsnog gehacked worden en anderen er met de wachtwoorden vandoor gaan maar tja, dan moet je natuurlijk vooral niet dat wachtwoord op andere sites gebruiken, nietwaar? “Gewoon” voor elke site, elke toepassing en elk bedrijf een uniek wachtwoord bedenken alsjeblieft.

sterke wachtwoordenIT-afdelingen weten namelijk heel goed dat je niet moet gaan uitleggen aan gebruikers hoe firewalls en netwerkbeveiliging werken. Laat staan dat je toegeeft dat er niet iets bestaat als 100% garantie dat je niet gehacked gaat worden. Net zo min als dat je met een memo aan de hoogste baas duidelijk maakt dat betere beveiliging ook gelijk een stuk kostbaarder is.

Nee, de logische aanpak is om te voorkomen dat gebruikers zich onveilig voelen. En aangezien iedereen weet dat – als je gebruikers hun eigen gang laat gaan – mensen graag de meest eenvoudige wachtwoorden kiezen, zit daar meteen de oplossing. Niet meer toestaan dat mensen ‘123456‘ of ‘wachtwoord’ als wachtwoord kunnen kiezen omdat ze die makkelijk kunnen onthouden. Maar verplicht stellen dat er minimaal een paar leestekens, hoofdletters, kleine letters en cijfers in zitten omdat hackers gemakkelijke wachtwoorden ook gemakkelijk kunnen raden.

Sterke wachtwoorden vereisen sterke geheugens

Helaas blijft het vaak niet bij een wat exotische combinatie van letters, leestekens en cijfers maar moet het nog een stukje ingewikkelder worden. Omdat het dan een stuk “veiliger” is natuurlijk. En om het allemaal perfect veilig te krijgen moet je dan ook nog eens 2 tot 4 keer per jaar dat wachtwoord wijzigen naar een nieuw sterk wachtwoord.

Onlangs kwam ik de onderstaande instructie tegen bij het aanmaken van een account:

• minimaal 8 tekens lang
• minimaal 3 van de 4 soorten karakters: hoofdletters, kleine letters, cijfers, speciale tekens
• maximaal 2 opeenvolgende gelijke tekens (bv niet ‘aaa’)
• mag niet bevatten: voornaam, achternaam, inlognaam
• mag niet gelijk zijn aan de vorige 10 wachtwoorden
• moet minimaal 1 dag gebruikt worden

Alsof het al niet erg genoeg is dat je aan de hand van een set aanwijzingen een wachtwoord moet componeren dat aan de eisen voldoet, mag je dat ook nog eens op regelmatige basis herhalen omdat bijvoorbeeld je bedrijf besloten heeft dat je elke 90 dagen je wachtwoord moet veranderen. Net als je het wachtwoord met pijn en moeite kunt onthouden, kun je weer opnieuw beginnen. Niet vreemd dat de meest gestelde vraag bij een helpdesk na de zomervakantie is om het wachtwoord te resetten (na vier weken vakantie vergeet iedereen het) en de meeste aangeklikte link de ‘wachtwoord vergeten’ link is. Tenzij je natuurlijk je wachtwoord veilig opgeschreven hebt in je agenda of op een post-it bij je computer.

Niet verrassend wellicht dat onderzoekers nu andere theorieën hebben over het verplicht periodiek wijzigen van (een sterk) wachtwoord. In The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis kun je dat nalezen maar chief technologist Lorrie Cranor vat het wat mij betreft mooi samen:

So, should you ever change your password? Well, sometimes. If you have reason to believe your password has been stolen, you should change it, and make sure you change it on all of your accounts where you use the same or a similar password. If you shared your password with a friend, change it. If you saw someone looking over your shoulder as you were typing your password, change it. If you think you might have just given your password to a phishing website, change it. If your current password is weak, change it. If it will make you feel better or if you just feel like it’s time for a change, then by all means go ahead and change your password.

En hoe veilig is dat wachtwoord nou echt?

De eisen die sites en bedrijven aan wachtwoorden stellen, wekken de suggestie dat veel symbolen en – niet te onthouden – leestekens betere en sterkere wachtwoorden opleveren. Zelf denk ik dat de veiligheid van een wachtwoord drastisch verbeterd wordt door er eentje te kiezen die je zelf makkelijk kunt onthouden maar dat lastig door anderen te raden is.

En daarbij is de sterkte van een wachtwoord niet alleen afhankelijk van de variatie in de tekens van je wachtwoord. Op diverse sites kun je laten toetsen hoe veilig je gekozen wachtwoord is en zonder uitzondering kijken die eerst naar de lengte van je wachtwoord (hoe meer tekens, hoe veiliger) en of het wachtwoord een woord is uit een woordenboek, danwel een term is die vaker/veel gebruikt wordt. Pas daarna speelt de variatie in de tekens een rol.

Een wachtwoordzin (passphrase) gebruiken is dan zonder twijfel het meest veilige. Helemaal als daar leestekens en cijfers in zitten. Als fan van goede muziek zou ik dan bijvoorbeeld kiezen voor een zin uit een muzieknummer. Makkelijk te onthouden en onmogelijk voor een computer om te raden. Tenzij die weet dat ik uit nummers van Prince put natuurlijk: Tonighti'mgonnapartylikeit's1999

sterke wachtwoorden
Volgens How secure is my password is een computer “9 tredecillion years” bezig om dat wachtwoord te kraken. Ja, ik moest het ook opzoeken maar 1 trecedillion is een 1 met 42 nullen. Oh, en het is een voorbeeld mensen, ik gebruik deze zin nergens dus ga nou niet proberen om overal in te loggen met die zin.

Eén van de redenen waarom ik niet overal wachtwoordzinnen gebruik is omdat je maar op weinig plekken meer dan 20 of 30 tekens mag gebruiken voor wachtwoorden. Minimaal 8 betekent meestal niet dat je hele zinnen kunt gebruiken helaas. Als ik de instructies volg die een paar alinea’s hierboven staan, dan kies ik een willekeurig wachtwoord van 8 tekens, met hoofdletters, kleine letters, getallen en vooruit, ook een speciaal teken waar niet mijn voornaam, achternaam en inlognaam in verwerkt zijn. Kortom, wat de site een perfect sterk wachtwoord vindt. Wat dacht je van VAKB9#rs? De eerste vier letters van Vakblog, dat 9 jaar bestaat met hashtag mijn initialen.

niet sterke wachtwoorden
Negen uren! Hoezo veilig?

Het lijkt me hoog tijd dat bedrijven (en sites) *eerst* rekening houden met gebruikers die hun wachtwoorden moeten kunnen onthouden aangezien het grootste risico gelopen wordt door gebruikers die al hun wachtwoorden opschrijven.

Bedenk dan pas eisen voor de wachtwoorden die het *gemakkelijker* maken om ze te onthouden terwijl het voor kwaadwillenden juist lastiger wordt om te raden. En hou op met gebruikers een paar keer per jaar lastig te vallen door ze een nieuw wachtwoord te laten bedenken (waarbij iedereen simpelweg één letter of getal verandert) tenzij er daadwerkelijk redenen zijn om alle wachtwoorden te laten veranderen.

Zoek je overigens nog songteksten om een makkelijk te onthouden wachtwoordzin uit te halen? Die kun je uitstekend via Google vinden als je ze (nog) niet uit je hoofd kent. Moet je natuurlijk niet hardop mee gaan zingen als je je wachtwoordzin intikt …

@header via Pixabay met CC0 verklaring

#

  • © 2006- 2019 Vakblog – werken met informatie
    Aangedreven door WordPress en duizenden liters koffie // Theme: Tatami van Elmastudio
Top