image

Onderzoek: mensen wijzigen zelden hun wachtwoorden na een datalek

dinsdag 2 juni 2020, 15:01 door Redactie, 10 reacties

Mensen wijzigen na een datalek zelden hun wachtwoorden en als ze dit al doen zijn de nieuwe wachtwoorden vaak niet sterker dan de oude, zo blijkt uit onderzoek van onderzoekers aan twee Amerikaanse universiteiten (pdf). Voor het onderzoek werden gegevens verzameld van de computers van 249 mensen. Het ging om alle wachtwoorden waarmee deze deelnemers op online diensten inlogden.

Van de deelnemers aan het onderzoek hadden er 63 een account op een website die slachtoffer van een datalek werd. Deze websites waarschuwden hun gebruikers over het datalek, maar dit had weinig effect op de deelnemers aan het onderzoek. Na de aankondiging van het datalek wijzigden 21 van de 63 hun wachtwoord en vijftien deden dit binnen drie maanden na de aankondiging. Wanneer gebruikers hun wachtwoord wijzigen is dit meestal niet in een sterker wachtwoord. Daarnaast blijkt dat het oude en nieuwe wachtwoord vaak veel op elkaar lijken.

Tevens lieten de onderzoekers zien dat veel mensen hun wachtwoorden in de één of andere vorm hergebruiken voor meerdere websites. Wanneer een wachtwoord bij één website werd gelekt worden dezelfde of soortgelijke wachtwoorden bij andere websites niet aangepast. Deelnemers aan het onderzoek die hun wachtwoord op een gecompromitteerde website wijzigden hadden gemiddeld dertig accounts met dezelfde of soortgelijke wachtwoorden.

Van de 21 deelnemers die hun wachtwoorden op de gecompromitteerde website wijzigden, veranderden er veertien tenminste één soortgelijk wachtwoord binnen een maand op een andere website. Gemiddeld werden er binnen deze maand na het wijzigen van het initiële wachtwoord vier wachtwoorden op andere websites aangepast.

Wachtwoordsterkte

Een ander deel van het onderzoek keek naar de sterkte van de oude en nieuwe wachtwoorden. Hiervoor werden de wachtwoordwijzigingen van alle 249 deelnemers over een periode van twee jaar gemonitord, ongeacht of ze met een datalek te maken hadden gekregen. Bij 70 procent zorgde de wijzigingen voor wachtwoorden die net zo sterk of zwakker waren.

"Onze resultaten suggereren dat de huidige datalekmeldingen niet effectief zijn, omdat de meeste gebruikers die zijn getroffen niet afdoende reageren om hun risico zowel op het gecompromitteerde domein als andere domeinen te verhelpen", aldus de onderzoekers. Die stellen dat er meer moet worden gedaan, zij het via datalekmeldingen of andere manieren, om gebruikers zover te krijgen dat ze hun wachtwoorden wijzigen, zowel op de gecompromitteerde website en met name op andere sites, aangezien dat nu over het algemeen wordt genegeerd.

Image

Reacties (10)
02-06-2020, 15:23 door Anoniem
Zover ik heb ondervonden doen de webmasters dit gewoon zelf al. Wel heel onhandig, zo ben ik al eens een account kwijt geraakt omdat de webmaster mijn wachtwoord naar een willekeurig wachtwoord heeft veranderd en nu kan ik hem gewoon niet meer opvragen omdat het email adres waar het account staat geregisteerd niet meer toegangelijk is.
02-06-2020, 15:48 door wesKE
Dit is het gedrag van de mens... Wanneer dit niet wordt gestimuleerd/verplicht door het systeem, zal dit ook altijd zo blijven.

Systemen dienen een hoge waarde van wachtwoordcomplexiteit te verplichten!
02-06-2020, 16:08 door Anoniem
Hmm, sinds Linkedin is gehacked/leaked, maak ik gebruik van een password manager. Staat nu op 130 unieke wachtwoorden welke ik zelf niet kan onthouden. :) Ik hoef er maar eentje te onthouden. Die van de password manager.

Dus nee, ik wijzig geen wachtwoorden meer na een lek. Is niet nodig, want ik heb altijd unieke wachtwoorden. Scheelt een hoop werk gezien er welke maand wel een lek is.

TheYOSH
02-06-2020, 16:09 door Anoniem
Door wesKE: Dit is het gedrag van de mens... Wanneer dit niet wordt gestimuleerd/verplicht door het systeem, zal dit ook altijd zo blijven.

Systemen dienen een hoge waarde van wachtwoordcomplexiteit te verplichten!

Systeem is hier (meestal) niet slim genoeg voor, mensen blijven gewoontedieren:

compl3xW@achtwoord1 --> compl3xW@chtwoord2 --> compl3xW@achtwoord3
02-06-2020, 16:30 door Wim ten Brink
Wat ik meestal doe is mijn email adres wijzigen voor iedere site die gehackt is. Met mijn eigen domeinnaam kan ik immers een onbeperkt aantal aliassen aanmaken.
Het voordeel hiervan is dat hierdoor wachtwoord en email adres niet meer bij elkaar horen en de account dus opnieuw veilig is. Maar daarnaast kan het oude adres vervolgens naar \dev\null verwijzen omdat daar dan eigenlijk alleen nog spam op binnen komt.
Daarnaast zal ook het wachtwoord worden veranderd, als ik daar zin in heb. :) Hangt van de ernst van het lek af. Veel sites hebben een random password die een password manager voor mij onthoudt. Scheelt veel hergebruik.
03-06-2020, 01:22 door Briolet
Bij 70 procent zorgde de wijzigingen voor wachtwoorden die net zo sterk of zwakker waren.

Dat zegt niets. Als je al een heel sterk wachtwoord gebruikt, is er geen reden om een nog sterker wachtwoord te kiezen. Jammer dat dit niet uitgesplitst is naar hoeveel er een zwakker wachtwoord gekozen hebben . Dat kan nu van 0 tot 70% zijn. 30% heeft blijkbaar wel een sterker wachtwoord gekozen.

En deze groep met een sterker wachtwoord is duidelijk in de meerderheid, want de brontekst geeft aan:

However, new passwords were on average 1.23× stronger than older passwords[/quoe]
03-06-2020, 09:09 door Anoniem
Door Briolet:
Bij 70 procent zorgde de wijzigingen voor wachtwoorden die net zo sterk of zwakker waren.

Dat zegt niets. Als je al een heel sterk wachtwoord gebruikt, is er geen reden om een nog sterker wachtwoord te kiezen. Jammer dat dit niet uitgesplitst is naar hoeveel er een zwakker wachtwoord gekozen hebben . Dat kan nu van 0 tot 70% zijn. 30% heeft blijkbaar wel een sterker wachtwoord gekozen.

En deze groep met een sterker wachtwoord is duidelijk in de meerderheid, want de brontekst geeft aan:

However, new passwords were on average 1.23× stronger than older passwords

Nee! Had beter van je verwacht dan selectie quoten:
"New passwords were on average 1.3× stronger than old passwords (when comparing log10-transformed strength), though most were weaker or of equal strength."
03-06-2020, 09:34 door Anoniem
We leven dan ook in een tijd waarin moeite doen in samenhang met het gebruik van digitale apparaten steeds minder aantrekkelijk wordt.
Mensen kiezen voor de digitale optie omdat het makkelijker/gunstiger werkt, en wanneer ze de optie krijgen om een makkelijk wachtwoord te gebruiken, dan doen ze dat in de meeste gevallen ook.

Meestal krijg je bijv, 123Wachtwoord@, maar vooral in de oudere generaties (die in Nederland in overschot zijn) zie je al snel dat wachtwoorden enorm simpel zijn.
Je kan in deze gevallen beter niet de optie voor een makkelijk wachtwoord aanbieden, en het liefst 2 factor authentication verplichten.
(Maarja, dat doet niet ieder bedrijf, want moeite doen schrikt af)

Password Managers zijn ook een goede oplossing, maar niet iedereen wil er geld aan uitgeven.

Eigenlijk wil je het zo aantrekkelijk mogelijk maken voor de niet-technische consument om hun account beter te beveiligen, en dat het liefst zonder IT-jargon en bangmakerij.
03-06-2020, 09:54 door Briolet
Door Anoniem: Nee! Had beter van je verwacht dan selectie quoten:
"New passwords were on average 1.3× stronger than old passwords (when comparing log10-transformed strength), though most were weaker or of equal strength."

Jij hebt precies niet begrepen waar mijn betoog over ging. Er wordt geen onderscheid gemaakt tussen hoeveel zwakker en hoeveel even sterk zijn. Maar als het gemiddelde ruim sterker geworden is, moet het percentage dat zwakker geworden is, heel klein geweest zijn.

Zelf stoor ik me vaak aan dit soort suggestieve berichten waar ze de lezer een bepaalde kant op proberen te duwen door eenzijdige informatie te geven. (In dit geval door de verslechterde waarden met de goede waarden op één hoop te gooien en dit als slecht af te schilderen) Waarom geven de auteurs niet gewoon alle waarden?
08-06-2020, 13:23 door Anoniem
Als ik een zwak wachtwoord heb op een site die gehackt is, dan heb ik er weinig trek in om daar voortaan een sterk wachtwoord te gebruiken. Wat heeft dat voor zin, als de site de wachtwoorden toch niet goed beveiligt.
Daar ga ik niet mijn sterke wachtwoorden aan opofferen.
Als een site een datalek heeft gehad maar er zijn geen wachtwoorden uitgelekt, waarom zou ik dan mijn wachtwoord moeten wijzigen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.