Nieuws
image

Nederlander gebruikt vaker speciale tekens in wachtwoord

maandag 27 oktober 2014, 15:38 door Redactie, 13 reacties

Nederlanders gebruiken steeds vaker speciale tekens in hun wachtwoorden, zo blijkt uit onderzoek (PDF) dat in opdracht van de Rijksoverheid werd uitgevoerd. 3500 Nederlanders werden voor het onderzoek ondervraagd. Over het algemeen wordt de sterkte van het eigen wachtwoord door de respondenten beoordeeld als (ruim) voldoende. Circa één op de tien beoordeelt de eigen wachtwoorden als onvoldoende veilig.

De meeste respondenten geven aan sterke wachtwoorden samen te stellen. Door 62% van de ondervraagden worden geen woorden uit het woordenboek gebruikt in de wachtwoorden, 59% van de ondervraagden gebruikt speciale tekens en 41% stelt wachtwoorden samen van meer dan 10 karakters.Jongeren hebben vaker 10 of meer tekens dan vijftigplussers, en lager opgeleiden hebben dat vaker dan hoogopgeleiden.

Lager opgeleiden gebruiken wel vaker woorden uit het woordenboek en minder vaak speciale tekens dan hoger opgeleiden. Leidinggevenden gebruiken vaker speciale tekens dan werknemers die geen leiding geven. Volgens de onderzoekers neemt hierdoor de sterkte van het wachtwoord toe. Experts stellen al lang dat de lengte van een wachtwoord belangrijker (PDF) is dan het gebruik van speciale karakters. De reden dat gebruikers de speciale tekens gebruiken komt waarschijnlijk omdat websites dit verplichten.

Papier

Het onderzoek laat verder zien dat veruit de meeste respondenten (zo'n twee derde) hun wachtwoorden nog altijd in hun hoofd onthouden, maar een vijfde (20%) schrijft de wachtwoorden op een briefje dat verstopt wordt. De onderzoekers stellen dat dit risicovol gedrag is. Sommige experts adviseren echter dat het opschrijven van wachtwoorden en het op een veilige plek bewaren van het papier juist wel veilig is.

Meerdere wachtwoorden

Waar de experts het wel over eens zijn is dat het gebruik van een enkel wachtwoord voor meerdere accounts niet veilig is. Zes procent van de burgers zegt voor alles hetzelfde wachtwoord te gebruiken. Veertien procent van de burgers gebruikt echter voor alle accounts een ander wachtwoord. 23% gebruikt voor belangrijke zaken steeds een ander wachtwoord en voor minder belangrijke zaken meestal steeds hetzelfde wachtwoord.

Laagopgeleiden gebruiken vaker voor elk account een ander wachtwoord. Hoger opgeleiden maken vaker een onderscheid tussen belangrijke accounts met verschillende wachtwoorden en minder belangrijke accounts dan lager opgeleiden. Leidinggevenden gebruiken vaker verschillende wachtwoorden, waarvan sommige voor meerdere accounts worden gebruikt (50%), dan niet-leidinggevenden (44%).

Verder blijkt dat alle doelgroepen voornamelijk reactief zijn met het wisselen van wachtwoorden. De meest gehanteerde strategie ten aanzien van het wijzigen van het wachtwoord is dat er wordt gewacht totdat men een melding ontvangt.

Reacties (13)
27-10-2014, 16:05 door Anoniem
Dit moeten die Nederlanders anderen niet aan hun neus hangen! Over je wachtwoorden dien je te zwijgen als het graf.
27-10-2014, 17:48 door Anoniem
Uitstekend nieuws! Maar dan moet je evenredig ook eens minder worden geconfronteerd met sites die voorschrijven welke speciale tekens je wel, en niet mag gebruiken
27-10-2014, 18:08 door 12345dan - Bijgewerkt: 27-10-2014, 18:09
Door Anoniem: Dit moeten die Nederlanders anderen niet aan hun neus hangen! Over je wachtwoorden dien je te zwijgen als het graf.
Dit betrof een enquêtte over de doorgaanse samenstelling van wachtwoorden, er werden geen wachtwoorden gevraagd noch waar die gebruikt werden. ;-)
27-10-2014, 20:32 door Dick99999 - Bijgewerkt: 27-10-2014, 20:33
Het gerefereerde onderzoek gaat over veel meer dan wachtwoorden. Opvallend vind ik het antwoord op de vraag
"Op welke manieren kan er via internet misbruik gemaakt worden van uw computer?"
63% zegt: "weet niet/geen antwoord"

Maar ook het deel over wachtwoorden roept vraagtekens op: De geïnterviewden bepalen zelf of hun wachtwoord veilig is! En als zo'n 60% alle wachtwoorden onthoud, dan kunnen dat geen sterke wachtwoorden zijn. Ze gebruiken in het beste geval simpele variaties op een basis wachtwoord, anders zijn sterke wachtwoorden niet te onthouden.

Dat men vaker speciale tekens gebruikt, wordt impliciet als sterker beoordeeld door de onderzoekers. Security.nl geeft al aan: lengte en lengte zijn belangrijk. Gebruik van een speciaal teken classificeer ik als leuk. Random gekozenen woordenboek woorden als een wachtzin gebruiken, is veel beter, Zo'n 4 a 5 woorden is voor veel gevallen genoeg, ook als de wachtzin uitsluitend uit kleine letters bestaat.
27-10-2014, 20:33 door Anoniem
Door 12345dan:
Door Anoniem: Dit moeten die Nederlanders anderen niet aan hun neus hangen! Over je wachtwoorden dien je te zwijgen als het graf.
Dit betrof een enquêtte over de doorgaanse samenstelling van wachtwoorden, er werden geen wachtwoorden gevraagd noch waar die gebruikt werden. ;-)

Je laat niemand in je keuken kijken.
28-10-2014, 07:32 door Leo van Lierop
Door Dick99999: Ze gebruiken in het beste geval simpele variaties op een basis wachtwoord, anders zijn sterke wachtwoorden niet te onthouden.
Variaties op wachtwoorden kunnen best goede wachtwoorden opleveren. Neem het woord houthakkershut, daar kan je zo bijvoorbeeld houtH@kkershut43 en het prima onthouden.
28-10-2014, 10:38 door Anoniem
Leidinggevenden gebruiken vaker speciale tekens dan werknemers die geen leiding geven.

Is dat de fout van de individuele werknemers ? Of van leidinggevenden, die kennelijk niet in staat zijn om de juiste maatregelen in te voeren om het gebruik van sterke wachtwoorden, bijvoorbeeld met speciale tekens, middels technische controls af te dwingen.

Natuurlijk is het goed indien werknemers de noodzaak snappen, en daar kan je wat aan doen met awareness. Maar het is absurd dat er nog bedrijven zijn die sterke wachtwoorden anno 2014 niet afdwingen.
28-10-2014, 10:41 door Anoniem
Variaties op wachtwoorden kunnen best goede wachtwoorden opleveren. Neem het woord houthakkershut, daar kan je zo bijvoorbeeld houtH@kkershut43 en het prima onthouden.

Hackers kennen dat soort truuks ook al sinds jaar en dag, en spelen daarop in wanneer zij wachtwoorden proberen te vinden. p@ssw0rd is wat dat betreft bijvoorbeeld gewoon een zeer voorspelbare variatie op password.

Ook met het gebruik van speciale tekens zijn wachtwoord variaties vaak alsnog redelijk gemakkelijk te voorspellen, omdat veel gebruikers hetzelfde gedrag laten zien bij het samenstellen van die wachtwoorden.
28-10-2014, 10:45 door Anoniem
Dit moeten die Nederlanders anderen niet aan hun neus hangen! Over je wachtwoorden dien je te zwijgen als het graf.

Wat een onzinnige reactie, het gaat hierbij om een geanonimiseerde enquete waarbij vragen worden gesteld over het gebruik van wachtwoorden. Wachtwoorden zelf worden niet verstrekt. Verder lijkt het mij goed om mensen dit soort enquetes te laten invullen, al is het alleen maar omdat ze daardoor zelf ook weer eens goed nadenken over dit soort veiligheids aspecten.

Leg eens uit welk bezwaar jij maakt tegen deze enquete.
28-10-2014, 18:18 door Dick99999 - Bijgewerkt: 28-10-2014, 21:22
Door Leo van Lierop:
Door Dick99999: Ze gebruiken in het beste geval simpele variaties op een basis wachtwoord, anders zijn sterke wachtwoorden niet te onthouden.
Variaties op wachtwoorden kunnen best goede wachtwoorden opleveren. Neem het woord houthakkershut, daar kan je zo bijvoorbeeld houtH@kkershut43 en het prima onthouden.
10:41 Anoniem geeft al aan dat houtH@kkershut43 geen goed (= sterk) wachtwoord is. Niet goed is wel afhankelijk van wat je ermee beschermt natuurlijk. En ook belangrijk is bescherming tegen online (login) of offline (hash codes) cracking te onderscheiden.

Nog iets specifieker waarom het niet goed is:

- houthakkershut is 1 woordenboek-woord, en dat is tegen offline cracking veel te zwak.
- Toevoeging van 2 cijfers (welk jaar nam ik ook al weer voor deze site?) aan het einde levert een 100-voud van te proberen wachtwoorden op, nog steeds zwak.
- @ i.p.v. a (welke a veranderde ik ook al weer?) kevert een 2-voud op. Neem daar ook nog O >0 en i>1. en e> 3, levert nog steeds maar een16 voud op.
- Samen dus 1600 voud.
- 1 hoofdletter voor elke letter (welke had ik ook al weer gekozen?) levert levert in dit geval een 14-voud op.
- alles bij elkaar levert dit een 22500 voud (14 *1600) op van te testen variaties van elk woord.

Neem een woordenboek met 200.000 'echte' Nederlandse woorden (dat is heel veel voor Nederlands), dan moeten er 200.000* 22500=4.480.000.000 woorden getest worden. Als het Windows-LAN 'NTLM' betreft, dan neemt dat een paar seconden op een kraak-systeem met 2 $500 grafische kaarten (GPU's).

Zelfs als ik er een factor 100 naast zit, gaat het kraken van deze 'goede' variatie in een paar honderd seconden! En de regels om die variaties voor ieder woord in een woordenlijst automatisch te genereren en te testen heeft elke kraker gewoon beschikbaar.

Het wordt iets sterker als houthakkershut niet in het woordenboek mocht voorkomen. Dan is houtH@kkershut43 een wachtzin van 3 woorden (incl. het getal). Ook zwak, maar ik weet helaas nog steeds niet zeker of 3 woorden met modificatie even makkelijk te kraken zijn op basis van standaard regels.
29-10-2014, 14:46 door Leo van Lierop
Door Dick99999: Neem een woordenboek met 200.000 'echte' Nederlandse woorden (dat is heel veel voor Nederlands), dan moeten er 200.000* 22500=4.480.000.000 woorden getest worden. Als het Windows-LAN 'NTLM' betreft, dan neemt dat een paar seconden op een kraak-systeem met 2 $500 grafische kaarten (GPU's).
Ja, maar dan ga je er vanuit dat je al weet wat voor wachtwoord het is. Als je dat niet weet zal je toch flink wat meer pogingen moeten doen.
30-10-2014, 14:17 door Rien12
Na drie keer foute invoer, aanmelden blokkeren voor onbepaalde tijd, lijkt mij veiliger!
31-10-2014, 14:56 door Dick99999 - Bijgewerkt: 31-10-2014, 14:58
Door Leo van Lierop:
Door Dick99999: Neem een woordenboek met 200.000 'echte' Nederlandse woorden (dat is heel veel voor Nederlands), dan moeten er 200.000* 22500=4.480.000.000 woorden getest worden. Als het Windows-LAN 'NTLM' betreft, dan neemt dat een paar seconden op een kraak-systeem met 2 $500 grafische kaarten (GPU's).
Ja, maar dan ga je er vanuit dat je al weet wat voor wachtwoord het is. Als je dat niet weet zal je toch flink wat meer pogingen moeten doen.
Nee, 'ik' ga er vanuit dat de slimmigheden van vele gebruikers omgezet kunnen worden in een patroon. Die patronen ontstaan door deze te baseren op veel van de slimmigheden die in gehackte woordenlijsten voorkomen.
Het patroon dat ik aangaf omvat:
- alle woorden die in een uitgebreid Nederlands woordenboek voorkomen
- en al die woorden maar dan met een slimme keuze van 1 hoofdletter op een willekeurige plaats
- en al die woorden met slimme substituties als o -> 0 ; a -> @ ; e -> 3 ; i -> 1 (en ook nog alle combinaties daarvan)
- en al die woorden gevolgd door een getal van 2 cijfers (en de jaren 1900-2020)
- en alle combinaties van het bovenstaande slimmigheden.

Als zo'n wachtwoord in 1 sec kan worden geraden, dan moet je heel veel andere slimmigheden bedenken om daar 10 dagen van te maken. En bedenk dat zelfs als het 10 dagen wordt,de kans dat het woord op dag 1 geraden wordt 10% (!) is.

De enige sterke wachtwoorden zijn volgens mij:
- de klassen van de eerste letter van elk woord van een lange zin van minimaal 9 woorden
- wachtwoorden van willekeurig gekozen tekens, minimaal 9 tekens
- wacht zinnen, minimaal 4 woorden

@ Rinus15: dit gaat om off-line aanvallen. De meeste aanvallen gebeuren doordat de hashes gestolen worden van de sites waarop je inlogt. Voor online bescherming is blokkering na 5-10 pogingen effectief. 3 keer is ineffectief, zoals sommige banken nu ook bedacht hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search