image

Onderzoek: Nederlanders gaan onveilig om met wachtwoorden en privédata

vrijdag 9 september 2022, 12:41 door Redactie, 18 reacties

Nederlanders gaan onveilig om met wachtwoorden en het delen van persoonsgegevens op internet, zo stelt het Kenniscentrum voor Psychologie en Economisch Gedrag dat in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum van het ministerie van Justitie en Veiligheid hier onderzoek naar uitvoerde.

De onderzoekers keken naar welke psychologische factoren een rol spelen bij het aanmaken van veilige wachtwoorden en of mensen hun persoonsgegevens online alleen delen wanneer dit veilig of noodzakelijk is. "We richten ons op veilig wachtwoordgedrag, omdat het wachtwoord de meest gebruikte authenticatiemethode is om systemen en online informatie van gebruikers te beschermen", aldus de onderzoekers.

Ondanks het belang van wachtwoorden blijkt dat mensen hier in de praktijk niet altijd veilig mee omgaan. "Mensen maken vaak zwakke wachtwoorden aan, hergebruiken wachtwoorden en delen hun wachtwoorden regelmatig met anderen. Het delen en hergebruiken van wachtwoorden vergroot het risico op cybercriminaliteit. Door zwakke wachtwoorden, hergebruik en het delen van wachtwoorden zijn gebruikers de ‘zwakste schakel’ in wachtwoordbeheer. Daarom is het belangrijk om te onderzoeken welke psychologische factoren veilig wachtwoordgedrag kunnen bevorderen en belemmeren."

Wachtwoord aanmaken

Voor het onderzoek werd deelnemers gevraagd een wachtwoord aan te maken. Het merendeel van de deelnemers maakte volgens de onderzoekers zwakke tot zeer zwakke wachtwoorden aan (84 procent). Het merendeel van de deelnemers (74 procent) had een wachtwoord dat bestond uit minder dan twaalf tekens. Ook gebruikte 32 procent van de deelnemers geen hoofdletters, twintig geen cijfers, en 62 procent geen speciale tekens.

"Een criterium voor sterke wachtwoorden is dat wachtwoorden bestaan uit minstens 12 tekens, minstens 1 kleine letter, 1 hoofdletter, 1 speciaal teken en 1 cijfer. Bij slechts 13.5% procent van de deelnemers voldeed het aangemaakte wachtwoord aan deze voorwaarden", zo claimen de onderzoekers van het KCPEG. Instanties zoals het Amerikaanse NIST en tal van beveiligingsexperts adviseren echter passphrases, een wachtwoord dat uit meerdere woorden bestaat. De kracht van een passphrase bestaat uit zijn lengte, niet uit het gebruik van hoofdletters of speciale karakters. Het concept van de passphrase (wachtzin) wordt echter nergens in het onderzoek genoemd.

Verder kregen deelnemers de vraag of ze het aangemaakte wachtwoord ook voor andere accounts gebruikten. 22 procent bevestigde deze vraag. 67 procent antwoordde met nee en zo'n 11 procent wilde dit niet zeggen. "Dit betekent dat bij een deel van de deelnemers sprake was van niet-unieke wachtwoorden", aldus de onderzoekers.

Winactie

Verder werd gekeken naar het veilig online delen van gegevens. Dit werd beoordeeld op basis van drie criteria: een check van de veiligheid van de website of applicatie, niet méér delen dan noodzakelijk en het maken van onderscheid tussen verschillende typen persoonsgegevens. Voor dit deel van het onderzoek werd er onder andere een "winactie" georganiseerd.

Bijna 81 procent van de deelnemers aan het onderzoek nam deel aan de winactie. Met deze deelname stemden deelnemers in het met online delen van hun persoonsgegevens. Meer dan zeventig procent van de deelnemers die deelnamen aan de winactie deelde hierbij alle persoonsgegevens, waaronder ook de laatste drie cijfers van hun bankrekening, terwijl het niet verplicht was om al deze gegevens te delen.

De onderzoekers keken ook naar beleidsimplicaties en interventies om het gedrag te veranderen, zoals het uitleggen van de risico's van onveilige wachtwoorden. Zo wordt er gewezen naar wetgeving die apps en websites verplicht om alleen noodzakelijke persoonsgegevens te vragen. "Samenvattend blijkt uit het huidige onderzoek dat Nederlandse burgers onveilig wachtwoordgedrag vertonen en online onveilig persoonsgegevens delen", zo concluderen de onderzoekers.

Ze merken op dat het benoemen van de risico's van onveilig gedrag voor veiligere wachtwoorden en veiliger online delen van persoonsgegevens zorgde. "Maar er is nog steeds veel winst te behalen. Deze winst is mogelijk te behalen door in te zetten op techniek en aanpassingen van de gebruikersomgeving en aanpassingen in wetgeving." Minister Yesilgöz van Justitie en Veiligheid komt later dit jaar met een beleidsreactie op het rapport.

Reacties (18)
09-09-2022, 12:50 door Anoniem
"Een criterium voor sterke wachtwoorden is dat wachtwoorden bestaan uit minstens 12 tekens, minstens 1 kleine letter, 1 hoofdletter, 1 speciaal teken en 1 cijfer. Bij slechts 13.5% procent van de deelnemers voldeed het aangemaakte wachtwoord aan deze voorwaarden"
Wat een onzin. Alsof willekeurige wachtwoorden -of wachtwoord-zinnen-, zonder een speciaal teken of cijfer niet sterk kunnen zijn.
09-09-2022, 13:17 door [Account Verwijderd]
"Een criterium voor sterke wachtwoorden is dat wachtwoorden bestaan uit minstens 12 tekens, minstens 1 kleine letter, 1 hoofdletter, 1 speciaal teken en 1 cijfer."

Volgens mij is dat "complexe" wachtwoorden idee ook al achterhaald:
https://www.vericlouds.com/nist-password-guidelines-2021-challenging-traditional-password-management/

Dat de gemiddelde Nederlander laks is met zijn/haar gegevens verbaasd me niet echt, maar ik zou zo snel geen oplossing weten voor dit probleem.

Misschien dat de gedragswetenschappers met iets werkbaars komen... ;-)
(Nee, geen biometrie, dat is echt geen oplossing)
09-09-2022, 13:42 door Anoniem
"Een criterium voor sterke wachtwoorden is dat wachtwoorden bestaan uit minstens 12 tekens, minstens 1 kleine letter, 1 hoofdletter, 1 speciaal teken en 1 cijfer." -- Dat is inderdaad een criterium, eentje die hopeloos outdated is en hooguit een incentive voor zwakke wachtwoorden is, helemaal als wordt afgedwongen dit om de zoveel dagen te wijzigen.
09-09-2022, 14:15 door Anoniem
Veel Nederlanders weten niet eens wat "veiligheid" is. Zelfs deze onderzoekers. Je kunt wel zeggen dat een wachtwoord onveilig is maar je kunt niet zeggen dat een wachtwoord veilig is. Veiligheid is relatief. Stap 1 is onderkennen dat absolute veiligheid niet bestaat. Vervolgstappen zijn risicp's identificeren en beperken. Een veilig wachtwoord bestaat niet.
09-09-2022, 14:36 door Anoniem
Ik heb een keer ruzie gehad met een oudere vrouw die ik hielp met haar computer (op haar dringende verzoek).

Ik was zo stom geweest om alle cookies te wissen uit de browser, omdat ze een keurig lijstje had met wachtwoorden (die ik verder niet bekeken heb, anders was het waarschijnlijk nog goed gegaan tussen ons).

Ze kon na mijn bezoek niet meer inloggen bij de ING bank. Wat was nu het geval, omdat ze reuma had drukte ze soms op de toetsencombinatie om de toetsenbordindeling te veranderen tussen VS Internationaal een Nederlands.

Ze had dus een wachtwoord bij ING aangemaakt met de ene toetsenbordindeling, en ik had die weer goedgezet voor haar op VS Internationaal (ik heb geloof ik nog nooit een Nederlands toetsenbord gezien). Waardoor haar wachtwoord bij ING niet meer werkte.

Omdat ik het op dat moment niet kon verklaren en ze beweerde 'geen vreemde tekens' in haar wachtwoord te gebruiken, heb ik haar de bank laten bellen en een brief met een nieuw wachtwoord laten sturen naar haar adres. Ze was zeer ontevreden over mij. Het is nooit meer goed gekomen.
09-09-2022, 15:25 door Anoniem
Door Anoniem: Ik heb een keer ruzie gehad met een oudere vrouw die ik hielp met haar computer (op haar dringende verzoek).

Ik was zo stom geweest om alle cookies te wissen uit de browser, omdat ze een keurig lijstje had met wachtwoorden (die ik verder niet bekeken heb, anders was het waarschijnlijk nog goed gegaan tussen ons).

Ze kon na mijn bezoek niet meer inloggen bij de ING bank. Wat was nu het geval, omdat ze reuma had drukte ze soms op de toetsencombinatie om de toetsenbordindeling te veranderen tussen VS Internationaal een Nederlands.

Ze had dus een wachtwoord bij ING aangemaakt met de ene toetsenbordindeling, en ik had die weer goedgezet voor haar op VS Internationaal (ik heb geloof ik nog nooit een Nederlands toetsenbord gezien). Waardoor haar wachtwoord bij ING niet meer werkte.

Omdat ik het op dat moment niet kon verklaren en ze beweerde 'geen vreemde tekens' in haar wachtwoord te gebruiken, heb ik haar de bank laten bellen en een brief met een nieuw wachtwoord laten sturen naar haar adres. Ze was zeer ontevreden over mij. Het is nooit meer goed gekomen.

Het leuke wat wij hebben in ons vak, en wat een dokter niet kan: ga je enge dingen doen, eerst een backup maken. Voor als er per ongeluk achteraf iets dood blijkt. Je chirurg is daar bloedjaloers op, vooral omdat die vele jonge jaren heeft moeten opgeven met leren en poortarts spelen. Een schijfje of USB stickie moet eigenlijk altijd in je Louis Voitton zitten. Als je echt moet dielieten, eerst altijd toestemming van je klant vragen en uitleggen wat de consequenties kunnen zijn.

Daarnaast is het feit dat alle klanten dom zijn zo ongeveer de kern van ons vak. Dat hebben wij dan weer tegen vergeleken met een psycholoog. Bij ons begint de klant vaak al geirriteerd te klagen waarom ze het niet zelf kunnen, en dan is het jouw schuld al voordat je nog maar ergens naar gekeken hebt. Als de psycholoog zegt dat de klant knetter is dan accepteert men dat juist weer veel beter. Want dan is het wel een dokter die het gezegd heeft. Ook de politiek heeft steeds meer die Jantje van Leiden luxe door mensen weg te zetten als verward. Maar wij.... helaas niet.

Voor verschillen tussen NL en US toetsenborden moet je gewoon even de keymaps naast mekaar houden. Dan weet je het zeker. En je kunt het zelfs laten zien.

Ik heb zelf trouwens wisselende ervaringen met dat het nooit meer goed kwam. De klant blijft immers met twee linkerhanden zitten. Mijn eigen houding (niet altijd de gemakkelijkste!) speelt een belangrijke rol daarbij. En als ik per ongeluk op dieliet gedrukt heb, gewoon toegeven. Dat kan juist vertrouwen herwinnen omdat je zelf wel eens niet helemaal perfect bent.

Dat onderzoek boven had denk ik gemakkelijker gekund en indrukwekkender. Er zijn voor een habbekrats bakken wachtwoorden te koop van heel de wereld. En met een beetje SQL-en of anders dan maar Excellen hadden we gelijk kunnen weten of we ook dommer zijn dan andere landen en culturen. Dat weten we heel graag. Prikkelt ook om het beter te doen dan de Belgen of de Venezulanen. Dan maak je er een wedstrijdje van en dan wordt er sneller wat mee gedaan.

Wat klanten betreft, een klant wil altijd zèlf op het idee gekomen zijn. Ook dat ze zelf wat stoms hebben gedaan. Dus dat moet je ze nooit zeggen. Maar zelf op het idee laten komen. Dan blijven ze. En je krijgt je geld ook nog. Met een gebakje erbij.

Uit mijn klantenballenbak: wachtwoorden als Amsterdam2022! zijn het populairst. Want daar geven de meeste schermen van aan dat het veilig is omdat het met hoofd- en kleine letters is, cijfers en een vreemd teken. Het gaat er dan vooral om wàt er beveiligd wordt. Anders ga ik er geen hele preken over afsteken. Veel klanten voelen zich al klungels, dus dan is inpeperen ook niet alijd handig voor de verkoop.
09-09-2022, 15:49 door Anoniem
Onderzoek ter bevordering van het ontmoedigen
van het gebruik van wachtwoorden.

Zo simpel is het,leuker kunnen we het niet maken,wel makkelijker

EU2022
09-09-2022, 16:57 door _Martin_
"Samenvattend blijkt uit het huidige onderzoek dat Nederlandse burgers onveilig wachtwoordgedrag vertonen en online onveilig persoonsgegevens delen", zo concluderen de onderzoekers.
Ergens kun je het mensen niet kwalijk nemen. Ze zijn niet thuis in de materie en zijn al blij als ze succesvol een formuliertje op een website kunnen invullen ;-) Daarnaast kickt iedereen op "gratis" en "winnen" en geeft daarvoor allerhande persoonlijke info op. Zolang een grote meute de houding heeft "ze mogen alles van me weten, ik heb niets te verbergen", zal hier niets aan veranderen.

Af en toe geef ik het wel eens aan bij mensen (hopeloze missie, ik weet het): als iets gratis is, betaal je het met je privacy.
09-09-2022, 17:12 door Anoniem
Helaas zijn sommige van deze Nederlanders ook systeembeheerder op school, bij ons hebben we er1 die serieus meent dan een geboortedatum een goed wachtwoord is, en dat maar even voor de hele school tegelijk heeft ingesteld. Datalek tot gevolg. (wat ze niet willen toegeven, dus ook niet aan AP willen melden) En dan nog steeds het probleem niet willen snappen :(
09-09-2022, 17:51 door Anoniem
Naast dat het hele onderzoeks conclussie in praktijk nergens op slaat vind ik het knap dat ze dachten dit te mogen uitvoeren.
Als men de onderzoeks PDF leest komt met volgende tegen bij selectie procedure.


Dubbele personen werden gevonden
door te kijken naar gebruik van hetzelfde e-mailadres, dezelfde gebruikersnaam of wachtwoord en
dezelfde achtergrondkenmerken.

Gefeliciteerd onderzoeks bureau u heeft zojuist toegegeven de wet te hebben overtreden door onveilige verwerking van gegevens zij het plain text of enkel een hash.
09-09-2022, 22:31 door Anoniem
Door Anoniem: Onderzoek ter bevordering van het ontmoedigen
van het gebruik van wachtwoorden.

Zo simpel is het,leuker kunnen we het niet maken,wel makkelijker

EU2022

Dat is hem inderdaad! Dus op naar verdere (verplichte) implementatie van biometrie en iets wat je hebt terwijl als je een goed wachtwoord hebt en weet ('zij' dus niet) en de beveiliging aan de backend goed is geregeld er niets mis is.

Maar goed, het klopt...wat we allemaal tegenkomen bij bedrijven en prive personen hoe er met wachtwoorden omgegaan wordt. Foei!
10-09-2022, 08:28 door Anoniem
Door Anoniem: Helaas zijn sommige van deze Nederlanders ook systeembeheerder op school, bij ons hebben we er1 die serieus meent dan een geboortedatum een goed wachtwoord is, en dat maar even voor de hele school tegelijk heeft ingesteld. Datalek tot gevolg. (wat ze niet willen toegeven, dus ook niet aan AP willen melden) En dan nog steeds het probleem niet willen snappen :(
Als eerste wachtwoord wat je daarna direct moet veranderen, is dat een best redelijke keuze. Een groter probleem zijn organisaties waar 'Welkom123!' het eerste wachtwoord is, wat je daarna niet verplicht hoeft te veranderen. Het welkom wachtwoord is namelijk kwetsbaar voor een password spray-aanval, terwijl de geboortedatum dat niet is. Vaak is uit de naam of accountgegevens niet af te leiden wat de geboortedatum is, waardoor het lastiger is om dat automatisch te testen.
10-09-2022, 15:10 door Anoniem
Door Anoniem:
Door Anoniem: Helaas zijn sommige van deze Nederlanders ook systeembeheerder op school, bij ons hebben we er1 die serieus meent dan een geboortedatum een goed wachtwoord is, en dat maar even voor de hele school tegelijk heeft ingesteld. Datalek tot gevolg. (wat ze niet willen toegeven, dus ook niet aan AP willen melden) En dan nog steeds het probleem niet willen snappen :(
Als eerste wachtwoord wat je daarna direct moet veranderen, is dat een best redelijke keuze. Een groter probleem zijn organisaties waar 'Welkom123!' het eerste wachtwoord is, wat je daarna niet verplicht hoeft te veranderen. Het welkom wachtwoord is namelijk kwetsbaar voor een password spray-aanval, terwijl de geboortedatum dat niet is. Vaak is uit de naam of accountgegevens niet af te leiden wat de geboortedatum is, waardoor het lastiger is om dat automatisch te testen.

Het gaat om een school. Dus elk leerjaar heeft ongeveer dezelfde leeftijd. Degenen die ouder zijn zijn blijven zitten, dus die pik je na een tweede ronde brute force er ook nog eens uit. Op Facebook krijg je een melding wanneer iemand die je kent jarig is. Dat is dus ook dag waarop je diens wachtwoord weet.

FYI, een jaar bevat 365 of 366 dagen. Daar ben je met een geautomatiseerd programma zo doorheen.
11-09-2022, 19:05 door karma4
Door Wrebra:....(Nee, geen biometrie, dat is echt geen oplossing)
Biometrie zal uiteindelijk de enige oplossing zijn. De rest is maar iets tijdelijke van zwak surrogaat
12-09-2022, 11:44 door Anoniem
Chippen die hap, hoppeta.
12-09-2022, 15:11 door Anoniem
Handig als het wachtwoord a) te visualiseren is b) niet zeurt over toegepaste karakters c) lange wachtwoorden support, d) niet iedere zoveel maanden vervangen moet worden. Bovenstaande tekst zou als wachtwoord inhop voldoende veilig moeten zijn;)
12-09-2022, 16:58 door Anoniem
Door karma4:
Door Wrebra:....(Nee, geen biometrie, dat is echt geen oplossing)
Biometrie zal uiteindelijk de enige oplossing zijn. De rest is maar iets tijdelijke van zwak surrogaat
Iedereen die verstand van IT heeft weet dat biometrische oplossingen de weg naar de hel zijn omdat ze stuk voor stuk gehackt en gemanipuleerd kunnen worden.
En daar zit je dan als burger met je gehackte irisinformatie, je gehackte vinger- en teenafdrukken (20 in totaal), je gehackte hartritme-patroon, je gehackte face-ID, je gehackte stem, je gehackte lichaamshouding, je gehackte hersengolven, je gehackte en gemanipuleerde DNA-profiel en wat er in de toekomst nog meer van je lijf hack-klaar (verplicht) aangeboden wordt.
Aan de overheid bijvoorbeeld (wij moeten zeker weten wie u bent).
In vergelijking met deze ellende, die de mensheid over zichzelf afroept, is het BSN een baken van security. Dat heb ik namelijk van buiten geleerd, voor het geval ik, nog net bij bewustzijn, op de spoedeisende hulp van een ziekenhuis binnengereden wordt.
12-09-2022, 23:35 door Anoniem
Door Anoniem: Chippen die hap, hoppeta.
De meesten nemen hun chip al zelf mee. (de smartphone)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.