image

ING: helft ondernemers wijzigt wachtwoorden nooit

zondag 3 mei 2015, 07:20 door Redactie, 13 reacties

De helft van de Nederlandse ondernemers in het mkb wijzigt nooit zijn wachtwoorden, terwijl dit volgens ING een eenvoudige maatregel tegen cybercrime is. De bank liet voor een onderzoek 1238 ondernemers ondervragen (pdf). Iets meer dan 20% kreeg het afgelopen jaar met een vorm van cybercrime te maken.

Van de ondernemers die slachtoffer werden van cybercrime ging het in 40% van de gevallen om "hacking", waarbij er toegang tot het computernetwerk werd verkregen. Bij 36% was er sprake van digitale fraude, zoals valse digitale rekeningen of oplichting via internet. De schade als gevolg van cybercrime bedraagt bij driekwart van de getroffen ondernemers maximaal 1.000 euro. Bij een kwart van de ondernemers varieert de schade tussen de 1.000 en 25.000 euro.

Wachtwoorden

De meest getroffen maatregelen tegen bedrijfscriminaliteit zijn beveiliging van het computernetwerk en regelmatig maken van back-ups. ING stelt dat naast een goede beveiliging van het netwerk het regelmatig wijzigen van de belangrijkste wachtwoorden een eenvoudige maatregel tegen cybercrime is. Ongeveer één op de zeven ondernemers doet dit wekelijks of maandelijks. Bijna de helft van de ondervraagde ondernemers geeft echter aan de belangrijkste wachtwoorden nooit te wijzigen. Eén op de vijf wijzigt de wachtwoorden eens per half jaar en 17% ieder kwartaal.

Reacties (13)
03-05-2015, 07:34 door Erik van Straten
Hoe vaak per 10 jaar is regelmatig? Wijzigen van een goed wachtwoord voor toegang tot je PC is geen eenvoudige maatregel. En ik ben benieuwd naar de scenario's waarin dit cybercrime zou kunnen tegengaan.
03-05-2015, 09:07 door Anoniem
Het periodiek wijzigen van je wachtwoord biedt schijnveiligheid. Criminelen hebben je wachtwoord maar kort nodig (als ze het uberhaupt nodig hebben). Middels botnet software zorgen ze ervoor dat ze vanaf dan altijd bij je systeem kunnen. Na een hack je wachtwoord wijzigen is dan zinloos.

Wat wel helpt is je wachtwoord voor jezelf houden, alleen op systemen intikken waar het hoort en niet voor ieder systeem hetzelfde wachtwoord gebruiken. Daarnaast, niet klikken op vage links en zeker niet op vage bijlagen in e-mails.
03-05-2015, 10:13 door Anoniem
Dat zegt een bank die particulieren tijdens het online bankieren beveiligt met slechts een gebruikersnaam en een wachtwoord.Terwijl veel andere banken je de extra beveiligings mogelijkheid geven in de vorm van een digipas.
03-05-2015, 10:50 door karma4
Wachtwoorden, waar sla je die op?
- In configuratiefiles om een database te benaderen
- in configuratiefiles om andere services (messaging) te koppelen.
Dit kun je terugvinden in de omgeving van bijvoorbeeld ING. Het gaat om service-accounts om de boel draaiend te houden.

Mogelijk heeft ING het volgende in de Eigen omgeving:
- service accounts met te veel rechten (unrestricted admins want dat is zo handig).
- user/passwords leesbaar/herbruikbaar opgeslagen. Het is hoe het pakket/tool werkt.
- Gebruik van passwordless access. Komt voor bijvoorbeeld in een grid (hadoop)
- gebruik van ssh-keys om geen password te gebruiken (vermijden sudo).
- Om het aantal service accounts te beperken het draaien onder 1 shared key voor alle functies.
Mooie reclame van Nick Jue http://www.telegraaf.nl/feed/krantart/krantart_financieel/23996072/__ING_Bank__werk_a_la_Google__.html
Diegene die het verzint, bouwt hetm doet de uitrol en de operatie (DevOps). Er wordt geen enkele controle op een veilige omgeving genoemd dan wel de reviews tests of het ook allemaal klopt. Het geeft te denken.
04-05-2015, 01:19 door [Account Verwijderd]
Zolang ING geen 2 factor authenticatie doet hebben ze geen recht van spreken.

Gebruikersnaam/wachtwoord is NIET genoeg.
04-05-2015, 04:47 door Anoniem
Hoevaak ik nog tegenkom dat de gebruikersnaam: " achternaam " is en het wachtwoord de "voornaam". En dat bij o.a. accountants... Ik moet elke keer weer mensen erop wijzen en later wordt je sjacherijnig aangekeken... zo van.. waarbemoei je je mee of...ik heb dat altijd zo gedaan en het werkt gewoon goed. Dan moet ik mezelf gaan zitten verdedigen. Laat ze allemaal maar wegzakken denk ik dan maar dat gaat je ook weer aan het hart want die ellende die buiten op ze loert, daar zijn de gebruikers weer niet verantwoordelijk voor.
Er komt dan ook nog bij dat de grote software boeren voor eigengewin om de zoveel jaar een nieuw besturings systeem de mensen opdringen. Iets dat ze moeten leren, en daar gaat ook weer tijd overheen... De handigheid die ze met bijv. XP opgebouwd hebben die wordt automatisch verstikt door nieuwe manieren van werken (nieuwe interface). Waarom niet een oud vertrouwde interface op het besturingssysteem denk ik dan maar met een nieuwe motor erin ? Ze maken het de mensen zo moeilijk dat het niet meer Monkeyproof is, en dan krijg je dat mensen terugvallen op oude vertrouwheid van simpele constructies zoals houtje touwtje wachtwoorden die iedereen raden kan en het gebruik van verouderde software omdat die niet zo moeilijk is als bijvoorbeeld windows 8. K.I.S. = keep it simple svp.
04-05-2015, 07:11 door Anoniem
Door NedFox: Zolang ING geen 2 factor authenticatie doet hebben ze geen recht van spreken.

Gebruikersnaam/wachtwoord is NIET genoeg.
ING heeft twee factor authenticatie
04-05-2015, 07:39 door Anoniem
Door NedFox: Zolang ING geen 2 factor authenticatie doet hebben ze geen recht van spreken.

Gebruikersnaam/wachtwoord is NIET genoeg.
Daarom hebben ze ook de codes die ze per SMS versturen...
04-05-2015, 09:47 door Anoniem
Waarom zou je uberhaupt je wachtwoorden moeten verversen?

Nadelen:

elke 7 dagen een 12 character wachtwoord met hoofdletters, kleine letters, cijfers, bijzondere tekens en waarvan 90% niet gerycled mag zijn... Hoe ga je dat onthouden na een maand? NOOIT!

voordelen:

geen...

zolang je wachtwoord niet is aangevallen door bijv brute force (wat te detecteren is) heeft het NUL nut om je wachtwoord te veranderen. Die moeilijke wachtwoorden moeten dan weer onthouden worden, wat niet gebeurt, en dus heb je overal wachtwoord post-its, onderleggers met wachtwoorden, password apps enz enz.

het is een scheinveiligheid voor een probleem wat niet bestaat. Alleen in geval van een brute force wachtwoord kraker, dat zou te zien moeten zijn in de logging, en dan nog zou na x aantal keer het account gewoon geblokkeerd moeten worden.
04-05-2015, 09:50 door Rolfieo
Door Anoniem:
Door NedFox: Zolang ING geen 2 factor authenticatie doet hebben ze geen recht van spreken.

Gebruikersnaam/wachtwoord is NIET genoeg.
Daarom hebben ze ook de codes die ze per SMS versturen...
Door Anoniem:
Door NedFox: Zolang ING geen 2 factor authenticatie doet hebben ze geen recht van spreken.

Gebruikersnaam/wachtwoord is NIET genoeg.
ING heeft twee factor authenticatie

Het is maar hoe je het ziet. Ik kan bij de ING inloggen met een userid / wachtwoord. En daarna kan ik de alle afschrijvingen zien. Dus een paypal account kan ik er perfect aan koppelen.
Ik kan automatische overboekingen verwijderen.....

ING heeft voor het overmaken een soort van 2FA omgeving.
Al beschouw ik SMS niet echt meer als een secure iets op een smartphone. Maar echt super veilig is het ook niet.
Je komt gewoon door de voordeur naar binnen in, je bent alleen nog wat gelimiteerd.
04-05-2015, 10:29 door Anoniem
Door Anoniem 09:07: Het periodiek wijzigen van je wachtwoord biedt schijnveiligheid. Criminelen hebben je wachtwoord maar kort nodig (als ze het uberhaupt nodig hebben). Middels botnet software zorgen ze ervoor dat ze vanaf dan altijd bij je systeem kunnen. Na een hack je wachtwoord wijzigen is dan zinloos.

Botnets maken misbruik van andere zaken dan je wachtwoord. Ik heb nog geen botnet gezien dat zich richt op systemen waar het wachtwoord van gekraakt is.

Wat wel helpt is je wachtwoord voor jezelf houden, alleen op systemen intikken waar het hoort en niet voor ieder systeem hetzelfde wachtwoord gebruiken. Daarnaast, niet klikken op vage links en zeker niet op vage bijlagen in e-mails.

Ik zie voornamelijk wachtwoorden die op gekraakte sites terug zijn gevonden. En dan helpt het niet hergebruiken van wachtwoorden redelijk goed. Een account gebruiken dat niet je e-mail adres is, is ook handig. Externe, gekraakte, partijen maken vaak gebruik van het e-mail adres als account. Dat levert wel een nadeel op, omdat dan vaak te achterhalen is bij welke organisatie dat wachtwoord geprobeerd moet worden. Vandaar ook graag accounts waar niet de naam van de gebruiker in zichtbaar is.

Door Anoniem: Waarom zou je uberhaupt je wachtwoorden moeten verversen?

Nadelen:

elke 7 dagen een 12 character wachtwoord met hoofdletters, kleine letters, cijfers, bijzondere tekens en waarvan 90% niet gerycled mag zijn... Hoe ga je dat onthouden na een maand? NOOIT!

Ik weet niet waar jij dat iedere 7 dagen moet doen, maar daar is dan misschien wel een hele goede reden voor.

voordelen:

geen...

Als je wachtwoordlijst bekend is geraakt, hoop je dat ze een oude lijst hebben.

zolang je wachtwoord niet is aangevallen door bijv brute force (wat te detecteren is) heeft het NUL nut om je wachtwoord te veranderen.

Hoe detecteer jij of bol.com o.i.d. via brute force is aangevallen? Ik ben trouwens veel minder bang voor brute-force dan voor het lekken van lijsten. Bij brute-force zie ik eigenlijk amper de accounts gebruikt worden, die in mijn systemen gebruikt worden. Allemaal accounts als root en admin, die hier altijd gelijk onbruikbaar worden gemaakt.

Brute-force laat je ook gewoon niet gebeuren. Direct in de router ermee.

Die moeilijke wachtwoorden moeten dan weer onthouden worden, wat niet gebeurt, en dus heb je overal wachtwoord post-its, onderleggers met wachtwoorden, password apps enz enz.

Wachtwoord apps zijn zeer handig. Ook als je wachtwoorden niet regelmatig wijzigt, wil je al je wachtwoorden wel ergens veilig opslaan en, indien nodig, eenvoudig kunnen gebruiken.

het is een scheinveiligheid voor een probleem wat niet bestaat. Alleen in geval van een brute force wachtwoord kraker, dat zou te zien moeten zijn in de logging, en dan nog zou na x aantal keer het account gewoon geblokkeerd moeten worden.

Jij gaat uit van de betrouwbaarheid van de externe partijen waar jij je accountgegevens invoert. Dat is al zeer vaak funext gebleken.

Door karma4:Diegene die het verzint, bouwt hetm doet de uitrol en de operatie (DevOps). Er wordt geen enkele controle op een veilige omgeving genoemd dan wel de reviews tests of het ook allemaal klopt. Het geeft te denken.

Ik weet niet welke voorstelling van zaken jij van DevOps hebt, maar ik ken de wijze van werken bij Google van zeer dichtbij. Onlangs nog een presentatie van een SRE bijgewoond voor een groep interne ontwikkelaars.

Peeter
04-05-2015, 12:21 door karma4
Ik weet niet welke voorstelling van zaken jij van DevOps hebt, maar ik ken de wijze van werken bij Google van zeer dichtbij. Onlangs nog een presentatie van een SRE bijgewoond voor een groep interne ontwikkelaars.

Peeter, ik weet niet welke voorstelling van werken in grote organisaties jij hebt en dan bedoel ik het het in de praktijk werkt. Ik heb dat van zeer nabij meegemaakt en zie dat nog gebeuren. Er is een groot verschil tussen wat gepresenteerd wordt en wat de echte werekelijkheid is. Ooit iets met ISO27k series en de risk-management policies gedaan?

Nu kan ik het niet laten:
Wachtwoord apps zijn zeer handig. Ook als je wachtwoorden niet regelmatig wijzigt, wil je al je wachtwoorden wel ergens veilig opslaan en, indien nodig, eenvoudig kunnen gebruiken.
en dan zie ik:
Jij gaat uit van de betrouwbaarheid van de externe partijen waar jij je accountgegevens invoert. Dat is al zeer vaak funext gebleken.
en
Ik ben trouwens veel minder bang voor brute-force dan voor het lekken van lijsten.
Zie je niet dat er hier sprake is van tegenstrijdigheid?
Waarom geen SSO 2FA en meer om het veiliger en eenvoudiger te maken. Zal niet altijd lukken maar alle beetjes helpen.
Ook maak ik mee dat het oplaan van een ww in een veilige persoonlijke wat in het tool zit er uit gehaald wordt om vervolgens een ander tool proberen aan te gaan aanbieden dat hetzelfde zou moeten, echter de connectie/integratie niet kent. Resulaat continue opnieuw user/ww intikken. (tijdverlies ergernis)

Brute-force laat je ook gewoon niet gebeuren. Direct in de router ermee.
Mooi dat is iets waar ik ook achter sta, maar dan uitgebreider. Hoe eerder je troep afvoert des te beter.

Botnets maken misbruik van andere zaken dan je wachtwoord. Ik heb nog geen botnet gezien dat zich richt op systemen waar het wachtwoord van gekraakt is.
tegenvoorbeeld: http://nl.wikipedia.org/wiki/Zeus_(Trojaans_paard) gebruik botnet wordt genoemd

Als laatste de uitsmijter. Onnodige moeilijke wachtwoorden is een frustratie die heel groot is. De post met die 7 dagen periode is wat overdreven, maar het signaal is duidelijk. Als er voor de gebruiker/business geen nut is of de maatregel onterecht of de security-awareness is niet op orde. Het is "niet goed" of "niet goed".
Het negeren dan wel ontkennen is geen verbetering op zijn best een verslechtering.
05-05-2015, 15:15 door Anoniem
waarom steeds weizigen ?
lijkt mij de grootste onzin en gevaarlijk ook !!!!

wachtwoorden worden soms opgeslagen en ook je oude kijk naar gmail.
zodat je geen oude wachtwoorden kan hergebruiken.

zolang jij veilig te werk gaat is een wachtwoord gewoon 100 jaar lang te gebruiken

echter moet je bij een onveilig systeem zoals fb en ING natuurlijk je wachtwoord blijven veranderen.
gaan ze nu opeens allemaal regels bedenken zodat wij betalen voor hun beveiligings fouten ???

pc up to date ...
virusscanner ...
ect ect ect.. tevens kan je toch internet bankieren met elk internet aparaat zeggen ze !\oke mijn navigatie heeft ook internet
helaas geen firewall virusscanner ect lol

BOEVEN ZIJN HET !! hebben ze het over mijn beveileging abn amro ik weet ook julllie status hoor .....
het het interne netwerk is net zo **** ( TRAAAAAAG )

ps hoeveel pasjes en sluitels heb ik nodig om bij de servers te komen wat is dan wel weer goed :P

uhh nee ik werk er niet , en ik weet ook niet wie want ik ben dement / vergeet achtig. hahahh

PS : is het niet makkelijker om een veilig systeem op te zetten zodat niet , elke seconden een nieuw wachtwoord nodig heb.
1 bedrijf ... 17 milj... wachtwoorden weizigen ??

of 1 bedrijf veilig dan onveilig en 17 milj. mensen hun wachtwoord laten weizigen toch ?

het is net spam 1 **** en milj... mensen zijn 5 minuten kwijt van hun tijd door 1 stom e-mailtje.

zo kan je stellen dan 1 spam bedrijf gewoon de economie miljoenen kost en dat allles omdat je je een aanbod willen doen wat elke boere **** af slaat :P
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.