image

Beveiligingsexpert: deel geen accounts met je partner

zondag 29 november 2020, 10:15 door Redactie, 14 reacties

Uit onderzoek blijkt dat het delen van accounts binnen relaties veel voorkomt, maar dit brengt ook allerlei risico's met zich mee, bijvoorbeeld wanneer partners uit elkaar gaan. Ook werkt tweefactorauthenticatie niet optimaal bij gedeelde accounts en is men voor de beveiliging van het account niet alleen afhankelijk van de eigen cyberhygiëne, maar ook hoe de partner hiermee omgaat.

Het is daarom verstandig om accounts niet met een partner te delen, zegt beveiligingsexpert David Emm van antivirusbedrijf Kaspersky tegenover Wired. In 2018 deden onderzoekers van de Carnegie Mellon University onderzoek naar het delen van accounts binnen relaties (pdf). Van de 195 deelnemers aan het onderzoek bleek bijna 85 procent tenminste één account te delen. Gemiddeld werden er vier accounts gedeeld, maar één deelnemer gaf aan 39 accounts met zijn partner te delen.

De deelnemers aan het onderzoek gaven aan de accounts vanwege het gemak of besparingen met elkaar te delen. "Het is ook een blijk van vertrouwen dat je iets geheims met de ander deelt", zegt onderzoeker Jason Hong. Hoewel het delen van accounts veel voorkomt zijn de meeste techdiensten ontwikkeld met het idee dat één account door één persoon wordt gebruikt. "Er is deze mindset dat één account gelijkstaat aan één persoon", merkt Hong op.

Bij sommige diensten zoals Netflix kunnen onder één account meerdere subprofielen worden aangemaakt. Een probleem met de aanname dat één account maar één gebruiker heeft is dat bijvoorbeeld tweefactorauthenticatie (2FA) niet optimaal werkt. Wanneer een gebruiker wil inloggen en de 2FA-code wordt via sms verstuurd, zal die naar één telefoonnummer gaan. Volgens Hong kiezen sommige relaties er bewust voor om 2FA vanwege de gemaksfactor niet te gebruiken.

Het grootste probleem met gedeelde accounts is wanneer partners uit elkaar gaan. "Als je fysiek van iemand gaat scheiden moet je ook naar de digitale scheiding kijken", zegt Emm, die mensen adviseert om hun accounts niet te delen. Hij krijgt bijval van Raj Samani van antivirusbedrijf McAfee. Hij geeft aan geen accounts met zijn vrouw te delen. Het probleem speelt echter niet alleen bij relaties. Ook op de werkvloer worden geregeld wachtwoorden gedeeld, iets wat door het thuiswerken van de afgelopen maanden alleen maar erger is geworden, merkt Samani op.

Reacties (14)
29-11-2020, 10:40 door Anoniem
2FA met sms is sowieso lek. Ongeacht of je account wel of niet deelt. Zulke partijen zouden per direct over moeten stappen op een tokengenerator.

TheYOSH
29-11-2020, 11:17 door Anoniem
Er zijn zelfs mensen die hun huis of hun bankrekening met hun partner delen!
29-11-2020, 11:49 door Briolet
Bij sommige diensten zoals Netflix kunnen onder één account meerdere subprofielen worden aangemaakt.

Dit zou gewoon standaard moeten zijn. Als je b.v. regelmatig dezelfde spullen bij een webshop bestelt, wil je gewoon dat beide partners kunnen inloggen en de laatste bestelling kunnen herhalen. Nu lukt dat alleen als beiden met dezelfde naam inloggen, maar eigenlijk zouden er onder één account meerdere inlognamen moeten zitten.

Bij een zakelijke dienst als e-herkenning, werkt dat perfect. Meerdere inlogcodes voor hetzelfde bedrijfsaccount. Ieder kan bij dezelfde data, maar via het log kun je altijd nog zien wie dat was.

Het grootste probleem met gedeelde accounts is wanneer partners uit elkaar gaan.
Dat ligt er aan. Als alles via één partner loopt, krijgt die juist de monopolie over de accounts. Kijk b.v. naar het recente voorbeeld uit het nieuws van een partijvoorzitter die ruzie met het bestuur krijgt. Juist doordat de accounts niet gedeeld waren, kan hij de partij gijzelen.
29-11-2020, 14:28 door Anoniem
Door Briolet:
Het grootste probleem met gedeelde accounts is wanneer partners uit elkaar gaan.
Dat ligt er aan. Als alles via één partner loopt, krijgt die juist de monopolie over de accounts. Kijk b.v. naar het recente voorbeeld uit het nieuws van een partijvoorzitter die ruzie met het bestuur krijgt. Juist doordat de accounts niet gedeeld waren, kan hij de partij gijzelen.

Precies. Een steeds weer terugkerend element in dit soort "berichten van experts" is dat ze altijd vertellen "het is
dom om A te doen, je moet B doen", waarbij ze uitgaan van een scenario X en uitleggen dat het dan fout gaat.

Maar dan treedt ineens scenario Y in werking en blijkt dat A toch slimmer was dan B.
Daarom heb je maar zo weinig aan die adviezen.

Ik ga er dan ook maar vanuit dat het hen niet te doen is om het feitelijke advies, maar alleen om het in de publiciteit
komen met de bedrijfsnaam. De inhoud van het advies doet er dan niet zoveel meer toe.

Het eigenlijke onderwerp van dit artikel is dus niet "deel geen accounts met je partner" maar "Kaspersky is een
antvirusbedrijf".
29-11-2020, 15:58 door Anoniem
Door Anoniem: 2FA met sms is sowieso lek. Ongeacht of je account wel of niet deelt. Zulke partijen zouden per direct over moeten stappen op een tokengenerator.

TheYOSH
Ik ben best geïnteresseerd in je statement. Wat is er kapot aan 2FA en waarom lost een tokengenerator dit op? -De Kerstman
29-11-2020, 16:49 door -Peter-
Door Anoniem:Maar dan treedt ineens scenario Y in werking en blijkt dat A toch slimmer was dan B..

Bijvoorbeeld bij ernstige ziekte of overlijden van een van de twee.

Wij hebben eigenlijk alle accounts wel gescheiden. Maar we zijn op de hoogte van de belangrijke wachtwoorden van elkaar, zoals bijvoorbeeld die van de kluis. Waar 2FA is ingesteld, bestaat altijd wel de mogelijkheid om om een reset uit te voeren. De goede leveranciers bieden de mogelijkheid om meerdere resetmogelijkheden te geven. Daar kun je dus het telefoonnummer of mailadres van je partner bij opgeven.

Dat helpt niet bij scheiden, maar daar moet je dus gewoon rekening mee houden. Net als met de mogelijkheid dat je partner de sloten van het huis wijzigt als jij even de deur uit bent.

Peter
29-11-2020, 18:27 door Anoniem
Door Anoniem: Er zijn zelfs mensen die hun huis of hun bankrekening met hun partner delen!
Ja, en zelfs ook hun hele leven.
Ze noemen zo iemand ook wel levenspartner.
En uiteraard brengt dat risico's met zich mee: een basis van vertrouwen brengt altijd risico met zich mee,
namelijk het risico dat het vertrouwen kan worden misbruikt.

Echter het wonderlijke, bijzondere, en in een bepaalde zin dure "kado" van vertrouwen in de ander zou de levenspartner ertoe moeten bewegen om er geen misbruik van te maken. En dat lijken we een beetje kwijt te raken in deze neergaande tijd van steeds meer aangezwengeld egoïsme.

Een mens is pas echt mens als hij de ander belangrijker vind dan zichzelf.
Zo niet, dan onderscheidt hij zich niets van de dieren.
Dat we dit van nature niet uit onszelf kunnen, is weer een andere kwestie, maar houdt er wel verband mee.
29-11-2020, 18:47 door Anoniem
Door Briolet:
Het grootste probleem met gedeelde accounts is wanneer partners uit elkaar gaan.
Dat ligt er aan. Als alles via één partner loopt, krijgt die juist de monopolie over de accounts. Kijk b.v. naar het recente voorbeeld uit het nieuws van een partijvoorzitter die ruzie met het bestuur krijgt. Juist doordat de accounts niet gedeeld waren, kan hij de partij gijzelen.

Van een gedeeld account kan je kinderlijk eenvoudig het wachtwoord wijzigen en dan is het niet gedeeld meer. Met goed ingerichte eigen accounts kan de een niet zomaar de ander uitsluiten. Of je dan één partner alle zaken laat afhandelen en diegene zo aan de touwtjes laat trekken is aan jezelf.

Nog even los van dat accounts delen volgens de algemene voorwaarden doorgaans niet mag. Achteraf je gram halen kan je dus ook wel vergeten.
29-11-2020, 18:56 door jh81
Ik heb gewoon geen partner. problem solved.
29-11-2020, 22:49 door Anoniem
De titel van het artikel zou moeten zijn: Let bij scheiding ook op de digitale kant.

Uiteindelijk draait alles om vertrouwen!
Lekker belangrijk dat mijn vrouw in 'mijn', netflix, bol.com of Albert Hein account kan komen, maar dat vertrouwen moet inderdaad worden verbroken als de relatie veranderd.

Uit eindelijk moeten we van de wachtwoorden af en naar certificaten gaan, waarbij je een keer via digid ofzo moet inloggen om het 'certificaat' te ondertekenen dat je mag inloggen wanneer dat certificaat op je computer staat.
zodra de trust is verbroken dan is het certificaat ongeldig en kan je niet meer inloggen.

Je hoeft dan ook niet meer tig wachtwoorden te onthouden of moeilijk te doen met password vaults.
eventueel even een tikje geven op je horloge,telefoon of key.
30-11-2020, 09:07 door Anoniem
Bij een overlijdens risico verzekering bij ASR is het bijvoorbeeld niet mogelijk twee persoonlijke accounts te koppelen aan 1 verzekering waar 2 verzekerde op staan. Dat werkt tegenwoordig met idin. Daardoor wordt je gedwongen gegevens te gaan delen. Contact met de helpdesk heeft niet mogen helpen.
30-11-2020, 10:24 door Anoniem
Of de boel elders verzekeren natuurlijk...
30-11-2020, 10:26 door Anoniem
We worden dus steeds meer een individu op afstand van elkander.
Ieder doet z'n eigen ding op zijn of haar eigen plek. Hoe noemt men dat thans?

Dan hoef je ook van buiten niet in actie te komen tegen een hele familie, groep, clan, bevolkingsgroep.
Wel zo makkelijk voor de diensten "verdeel en heers". Alles als los zand aan elkaar hangend.

Dat is dan ook fijn voor de goede ontwikkeling van de bindingsbereidheid van opgroeiende kinderen.
Daar wint historisch Sparta het reeds weer van Athene. Vanaf de crèche op die manier bij de les.

Aan de ene kant goed in zulk soort voorkomende gevallen, aan de andere kant vervreemdend.
Allemaal op je kleine transparante digitale eilandje blijven en zo worden we er niet socialer op met z'n allen.

Jodocus Oyevaer
01-12-2020, 17:29 door Anoniem
Door Anoniem: 2FA met sms is sowieso lek. Ongeacht of je account wel of niet deelt. Zulke partijen zouden per direct over moeten stappen op een tokengenerator.

TheYOSH

2FA op basis van SMS is niet "sowieso" lek. Ja, er zijn gevallen waar deze vorm van extra authenticatie is omzeild.
Maar dan heb je het wel over gerichte aanvallen door partijen met heel veel geld en expertise.
Als dat je vijand is moet je je allicht beter verdedigen.

Voor de overgrote meerderheid van de gebruikers is standaard MFA, zelfs op basis van SMS, prima.
Het is "sowieso" veeeeeeel veiliger dan geen MFA.

Aardig artikel in dit kader: https://techcommunity.microsoft.com/t5/azure-active-directory-identity/all-your-creds-are-belong-to-us/ba-p/855124

" Multi-factor Authentication (MFA) is the least you can do if you are at all serious about protecting your accounts. Use of anything beyond the password significantly increases the costs for attackers, which is why the rate of compromise of accounts using any type of MFA is less than 0.1% of the general population."
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.