Hier is een harde waarheid: de meeste instellingen vertrouwen vrijwel volledig op email, maar weten niet hoe ze het moeten gebruiken. Ze weten wel hoe ze ontvangers kunnen opgeven, of hoe verzenden werkt, maar missen het meest cruciale onderdeel: de informatie die ze willen communiceren daadwerkelijk overbrengen.
Eén van de grote boosdoeners is de universiteit. Elf dagen geleden kreeg ik een mailtje met het volgende onderwerp: Wachtwoord wijzigen.
Ik denk: “oeh, zal er misschien iets gehackt zijn? Moet ik voor de zekerheid mijn wachtwoord veranderen?”
Ik klik erop en wordt begroet door een horrorshow van een mailtje. (Merk op: door het mailtje heen stonden ook enkele referenties naar hetzelfde mailtje in het Engels, maar die heb ik voor de duidelijkheid weggelaten.)
Wachtwoord wijzigen
Beste student,
Om ervoor te zorgen dat niemand anders toegang krijgt tot jouw informatie heb je een sterk en goed onderhouden wachtwoord nodig. (Hier verandert ineens het lettertype.) Daarom vraagt de universiteit nu alle studenten om eenmalig het wachtwoord te wijzigen. (Hier verandert ineens weer het lettertype.)
Hoe kun je je wachtwoord wijzigen?
Wijzig je wachtwoord als je aanwezig bent op de campus en ingelogd op het campusnetwerk, dat werkt gemakkelijker dan buiten de campus. Ga daarvoor naar deze pagina.Kies de optie ‘change password’. Je kunt een wachtwoord kiezen dat minstens 8 tekens lang is en minimaal een hoofdletter, een cijfer en speciaal teken bevat. Na het wijzigen wordt je wachtwoord gelijk in alle universiteitsapplicaties zoals Canvas en Osiris aangepast en werkt op verreweg de meeste apparaten optimaal.
Daaronder staat nog een hoop tekst, maar dat is gewoon de vriendelijke groet en alle functietitels van de mailschrijver. (En dus dezelfde mail in het Engels.)
Ik zie het alweer. Precies wat ik dacht: veiligheidsmaatregelen. Altijd maar die websites die willen dat je elk half jaar een ander wachtwoord neemt—verschrikkelijk!
Ook herinnerde ik dat ik ooit mijn wachtwoord wilde veranderen op mijn studielaptop (want het standaardwachtwoord was moeilijk te onthouden), EN DAT MOCHT NIET. Dus nu zit dat verschrikkelijke wachtwoord voor eeuwig in mijn hoofd (en typevingers) gebrand. Ik ging het echt niet meer veranderen. Niet zo vlak voor de finish (van mijn studie; ik ging er niet vanuit dat mijn laptop het binnenkort zou begeven).
Elf dagen later …
Elf dagen vliegen voorbij, waarin ik gewoon naar buiten ga, andere dingen doe en een leven buiten de campus leef. Ineens ontvang ik niks meer van de universiteit. Ik kan ook nergens meer inloggen. Wat? Toch maar dat mailtje verder lezen.
Tien dagen de tijd
Na ontvangst van deze e-mail heb je 10 dagen de tijd om je wachtwoord te wijzigen, daarna kun je met het oude wachtwoord niet meer inloggen en word je bij het opstarten gevraagd eerst je wachtwoord te wijzigen. Voor meer informatie en veel gestelde vragen over het wijzigen van je wachtwoord kun je op deze intranetpagina kijken.
Met vriendelijke groet,
Henkiepenkie Tekorthempie (niet de echte naam natuurlijk; zou wel humor zijn overigens)
Chief Information Security en Privacy Officer
AAAAH. Dus ik snel proberen mijn wachtwoord te wijzigen, maar ja, dat was geen succes. Het was niet alleen moeilijker buiten de campus, het was ONMOGELIJK buiten de campus. Ik kreeg steeds de (voorspelbare) error: “je moet op de campus zijn om deze pagina te bezoeken”. Dus nu moet ik wachten tot ik op de campus terugkeer om überhaupt iets studiegerelateerds te doen.
De eerste vraag is natuurlijk: wie geeft mensen maar 10 dagen voor zoiets essentieels? We krijgen 30 dagen om te bedenken of dat gekochte shirt ons wel past, we krijgen zelfs 30 dagen om te bedenken of die koker tennisballen wel aan onze wensen voldoet—maar nee hoor, het wachtwoord voor al je studiegerelateerde zaken moet ineens binnen 10 dagen veranderd.
Ze hebben ook geen herinnering gestuurd. (Of wel, maar die heb ik niet binnengekregen omdat ik niet meer op mijn mail kan :p) Ik moet me nu schuldig voelen dat ik hard aan het werk was, in plaats van de hele dag mijn mail checken.
Maar de tweede vraag is: waarom begint het mailtje daar niet mee? Het is niet “de universiteit vraagt of jij je wachtwoord wil veranderen”, het is “van de universiteit MOET je hem binnen 10 dagen veranderen.” Ze geven ook verder geen enkele reden.
Ik weet wel zeker dat niemand ooit mijn oude onmogelijke wachtwoord ging raden, terwijl ik ook zeker weet dat studenten hun wachtwoord nu veranderen in iets wat enorm voor de hand ligt. (Denk aan “Jantje1995!”, “Student1234@”, en “W8woord!”)
Een technische universiteit zou beter moeten weten. Als je zulke restricties op het wachtwoord legt, worden ze juist makkelijker te kraken. Er zijn minder mogelijkheden voor de hacker om uit te proberen, omdat hij al zeker weet dat er een getal inzit, en een speciaal teken, etc.
Je kunt het beste studenten dwingen om een zin van minstens 20 letters te nemen. (Zo gebruikte ik vroeger de kabouterfee neemt stiekem kabouters mee, maar dan zonder spaties.)
Mijn versie van de mail
Dit hele mailtje is, in mijn ogen, gefaalde communicatie. (Natuurlijk, ik had zelf het bericht ook secuur moeten aflezen, maar daar gaat het even niet om.)
Die eerste zin van het bericht is onzin: het hele doel van een wachtwoord is zorgen dat anderen niet bij jouw informatie komen. Vervolgens hebben de kopjes een verkeerde volgorde. Ze kunnen daarentegen ook geheel weg, want ze bevatten informatie die ook op de wachtwoord-verander pagina of additionele FAQ had gekund.
Zo’n laatste regel, die veel “professionals” bij hun mailtjes willen zetten, vind ik ook raar: Chief Security and Privacy Officer.
Ten eerste: niemand die het leest heeft iets aan die informatie. (“Hmm, ik vertrouw dit mailtje niet helemaal … wacht, Privacy Officer?! JA! Ik ga al mijn wachtwoorden drie keer veranderen!”)
Ten tweede: het leidt af. Omdat het de laatste regel is van de mail, en helemaal op zichzelf staat (met witruimte eromheen), krijgt het automatisch meer aandacht dan de belangrijke tekst. Visueel ontwerpen 101.
Ik zou het bericht zo herschrijven:
Wachtwoord wijzigen
Van de universiteit moet jij jouw wachtwoord binnen 30 dagen wijzigen.
Waar kan ik mijn wachtwoord wijzigen? deze link
Waar moet mijn wachtwoord aan voldoen? Minstens 20 letters, verder niks.
Verder nog iets? Om de een of andere vage reden moet je op de campus zijn om het te doen
Vragen? Contacteer Henkiepenkie op …
Tada! Je hoeft niet eens uit te leggen waarom, want iedereen gaat ervan uit dat het “voor de zekerheid” en “uit beveiligingsoogpunt” is. Je kunt dit wel toevoegen, maar het is een beetje een holle frase. (Alsof iemand elke dag een krant bij jou door de brievenbus gooit, en erbij schreeuwt “OMDAT JE EEN ABONNEMENT HEBT”.)
Mocht je dit lezen en denken dat je ooit nog een formele mail gaat versturen, hou dan in je achterhoofd het motto: “communicatie kan altijd beter!”
het is inmiddels gelukt buiten de campus. Ik weet niet precies hoe. Ik heb alle applicaties die verbonden waren met mijn universiteitsaccount opengezet, totdat ik eentje vond die het gek genoeg nog wél deed op mijn oude wachtwoord. (Outlook; dat blijft ook een raar programma.) Via Outlook kon ik het wachtwoord aanpassen, en toen heb ik mijn wachtwoord aangepast NAAR PRECIES HETZELFDE WACHTWOORD DAT IK AL HAD.
Ha, dat zal ze leren.