Nieuws
image

Onderzoek: veel consumenten met wachtwoord van 10 jaar oud

donderdag 11 juni 2015, 12:21 door Redactie, 8 reacties

Ondanks allerlei adviezen blijken internetgebruikers nog altijd zelden hun wachtwoord te wijzigen. Zo gebruikt één op de vijf consumenten wachtwoorden die 10 jaar of ouder zijn, zo blijkt uit onderzoek onder 2.000 Amerikanen en Britten. Het gaat in dit geval om wachtwoorden die al bestaan voordat er diensten als YouTube en Twitter verschenen. Verder blijkt dat bijna de helft (47%) een wachtwoord gebruikt dat al vijf jaar niet is aangepast.

Daarnaast geeft 73% aan dezelfde wachtwoorden voor meerdere accounts te gebruiken. Gemiddeld gebruiken consumenten slechts zes unieke wachtwoorden om 24 online accounts mee te beveiligen. Om accounts te beveiligen adviseren experts vaak om twee-factor authenticatie (2FA) in te schakelen, waarbij er naast het wachtwoord een aanvullende code moet worden ingevuld, die bijvoorbeeld via sms wordt verkregen. 61% van de mensen weet echter niet wat 2FA is.

Reacties (8)
11-06-2015, 13:14 door Anoniem
Een wachtwoord heeft geen geschiedenis. Het is iedere keer nieuw voor een systeem. Zolang het geheim is gebleven, zie ik geen probleem - hoe oud het ook is. Ik zie er meer in om wachtwoorden niet op te slaan, ook niet in "slimme kluizen" of hoe ze die systemen ook noemen. Een kladje ergens tussen je rommel onder in de la (of zo) is beter. Hoe onsystematischer en rommeliger, hoe beter.
11-06-2015, 14:23 door Anoniem
Dat is allemaal leuk bedacht, maar bij welke (Nederlandse) sites vind je 2-factor authenticatie?

- DigID ( en alles dat daarmee werkt) is op dit moment een van de weinige inlogs, die ik bij met 2FA moet/kan gebruiken.

- Bankieren: ING en SNS hebben elk hun eigen methode, geen 2FA zijnde.

- Winkelen op het Web: van de webshops die ik met enige regelmaat bezoek is mij geen enkele bekend die 2FA gebruikt.

- Forums: idem, geen enkele van de ca 10 forums waar ik kom gebruikt 2FA. Die forums kunnen trouwens meestal via een cookie onthouden dat je aangemeld bent.

Twitter en Facebook gebruik ik niet, maar het lijkt me lastig elke keer als je in je Facebook iets wilt schrijven een 2FA te moeten gebruiken.

Voor een doorsnee PC-gebruiker zal de term "twee-factor authenticatie" eigenlijk niets zeggen, zelfs al gebruken ze dat wél bij DigID.

Voor beheerders van servers ed. ligt dat natuurlijk anders cq zou de inlog strikter moeten zijn, maar ook die laten nog wel eens een geeltje met het password op een monitor hangen.....

10 jaar lang hetzelfde password is natuurlijk niet echt slim, maar ik denk dat het huidige gevaar toch vooral zit in hetzelfde password gebruiken voor bankieren als voor webshops ed. en in het maar klikken op bijlages of links in (spam-)mails!
11-06-2015, 14:32 door Anoniem
Ondanks allerlei adviezen blijken internetgebruikers nog altijd zelden hun wachtwoord te wijzigen. Zo gebruikt één op de vijf consumenten wachtwoorden die 10 jaar of ouder zijn, zo blijkt uit onderzoek onder 2.000 Amerikanen en Britten

Hoe zorg je dat gebruikers hun wachtwoord wijzigen ? Is dat enkel door awareness, of ook door een goede security policy, waarbij gebruikers gedwongen worden om na een bepaalde tijd een nieuw wachtwoord te kiezen ?

Om accounts te beveiligen adviseren experts vaak om twee-factor authenticatie (2FA) in te schakelen, waarbij er naast het wachtwoord een aanvullende code moet worden ingevuld, die bijvoorbeeld via sms wordt verkregen

Natuurlijk een goede tip, maar komen diezelfde experts niet tevens op het idee om wachtwoord te laten verlopen ?!
11-06-2015, 14:34 door Anoniem
61% van de mensen weet echter niet wat 2FA is.

Een erg kort wachtwoord?
11-06-2015, 15:52 door Anoniem
Door Anoniem: Dat is allemaal leuk bedacht, maar bij welke (Nederlandse) sites vind je 2-factor authenticatie?

- DigID ( en alles dat daarmee werkt) is op dit moment een van de weinige inlogs, die ik bij met 2FA moet/kan gebruiken.

- Bankieren: ING en SNS hebben elk hun eigen methode, geen 2FA zijnde.

- Winkelen op het Web: van de webshops die ik met enige regelmaat bezoek is mij geen enkele bekend die 2FA gebruikt.

- Forums: idem, geen enkele van de ca 10 forums waar ik kom gebruikt 2FA. Die forums kunnen trouwens meestal via een cookie onthouden dat je aangemeld bent.

Twitter en Facebook gebruik ik niet, maar het lijkt me lastig elke keer als je in je Facebook iets wilt schrijven een 2FA te moeten gebruiken.

Voor een doorsnee PC-gebruiker zal de term "twee-factor authenticatie" eigenlijk niets zeggen, zelfs al gebruken ze dat wél bij DigID.

Voor beheerders van servers ed. ligt dat natuurlijk anders cq zou de inlog strikter moeten zijn, maar ook die laten nog wel eens een geeltje met het password op een monitor hangen.....

10 jaar lang hetzelfde password is natuurlijk niet echt slim, maar ik denk dat het huidige gevaar toch vooral zit in hetzelfde password gebruiken voor bankieren als voor webshops ed. en in het maar klikken op bijlages of links in (spam-)mails!

Ik ben bang dat je het concept 2FA dan niet helemaal heb begrepen,
Iets wat je hebt,
iets wat je bent
Iets wat je weet

Bij SNS heb je een pincode en een token nodig ( weet en hebt)
(of wchtwoord en TAN, maar dat is inderdaad verouderd en op het randje van..)

Voor google (gmail etc) kan je TFA inschakelen
En op veel service kan je met een pass through (oauth2 meestal) inloggen via een dienst die wel 2FA instelbaar heeft.
Voordeel is dat je op dergelijke fora geen wachtwoorden hebt staan, en dat deze dus ook niet gestolen kunnen worden.

een SMS sturen is maar een manier voor TFA en nog eens een van de slechtse ook omdat deze veelal op hetzelfde aparaat binnenkomen als waar je de site/app in de eerste plaats mee bezoekt.

DigiD is trouwens het schooklvoorbeeld van hoe TFA dus NIET werkt..
Als je TFA hebt ingesteld, kan je ook gewoon inloggen met User en Password alleen!
Een broodje aap dus!
TFA wordt niet afgedwongen daar...


Maar goed..

Het zou veel vaker gebruikt moeten worden!
11-06-2015, 17:13 door Anoniem
DigiD is trouwens het schooklvoorbeeld van hoe TFA dus NIET werkt..
Als je TFA hebt ingesteld, kan je ook gewoon inloggen met User en Password alleen!
Een broodje aap dus!
TFA wordt niet afgedwongen daar...
Als bij DigID 2FA hebt ingesteld dan moet je ook 2FA gebruiken.
Het staat er wel als aanvink mogelijkheid maar dat werkt dus niet je moet alsnog met 2FA aanmelden.
11-06-2015, 23:21 door Anoniem
Liever een sterk wachtwoord dat je zo lang gebruikt dat je het inderdaad van buiten kent, dan elke drie maanden een zwak werkwoord maken omdat je het anders niet kunt onthouden. Het enige moment om een nieuw wachtwoord te nemen is wanneer de site waar je hem voor gebruikt is gehackt. Beheerders die gebruikers dwingen hun wachtwoorden te veranderen zijn dus vooral bezig hun eigen incompetentie te verbergen. En het is gewoon dom, gebruikers gaan dan weer zwakkere, gemakkelijk te onthouden wachtwoorden gebruiken, zoals mijn persoonlijke favoriet, de licentie code op de sticker op het apparaat zelf.

Het grootste probleem in het hele wachtwoord fiasco zijn de beheerders.
12-06-2015, 09:16 door Anoniem
Het grootste probleem in het hele wachtwoord fiasco zijn de beheerders.

Het grootste probleem in het hele wachtwoord fiasco is het feit dat we ze in cleartext opsturen naar iedere site die daar om vraagt .Fixed that for you.

Een zero-knowledge-protocol (http://srp.stanford.edu/) zou al veel schelen. Het zat al in sommige browsers maar niet in alle. Daarom kozen de sitebouwers voor het meest compatibel protocol: cleartext passwords. Dat werkte overal. Met de bekende gevolgen.

Ik noem dit de 'Toxic Combination': http://eccentric-authentication.org/blog/2014/11/30/spot-the-differences.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search