Vault-overdracht: voorkom dat credentials met de vertrekker verdwijnen
Gedeelde logins die alleen één persoon kende, API-keys die in zijn persoonlijke vault stonden, 2FA-tokens gekoppeld aan zijn privé-telefoon. Hoe voorkom je de "oh nee"-momenten.
Het klassieke offboarding-drama: iemand vertrekt en een week later ontdek je dat alleen hij het wachtwoord kende voor de bedrijfsaccount van service X. Hij neemt niet op. Probleem.
Preventie op drie niveaus
- Geen persoonlijke vaults voor bedrijfs-credentials. Alles wat zakelijk is gaat in een shared vault (team of vault-systeem). Persoonlijke 1Password-accounts zijn voor privé.
- Minstens 2 kenners per kritieke credential. Zie privileged access — regel dat minstens 2 mensen admin-rechten hebben.
- 2FA niet aan privé-telefoon. Gebruik shared-token-oplossingen (1Password TOTP, Keeper) of bedrijfs-hardware-tokens.
Bij de offboarding zelf
- Lijst: welke vault-items gaan met deze persoon verloren? Die moeten overgedragen.
- Per item: expliciete overdracht aan opvolger + wachtwoordwissel direct daarna (voor zekerheid).
- 2FA-tokens: opnieuw uitdelen of migreren naar shared/team-systeem.
- Log entry met datum en items.
Na de offboarding
Review in het eerstvolgende kwartaal: zijn er credentials waar we nog tegenaan lopen die ontbreken? Meestal vind je binnen een maand nog 1-2 "oh, en dit ook."
Zie ook: gedeelde wachtwoorden beheer, offboarding pillar.
Volledige gids: Waterdichte offboarding in 12 stappen
Dit artikel is onderdeel van onze uitgebreide Offboarding-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →