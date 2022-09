Nederlanders gaan onveilig om met wachtwoorden en het delen van persoonsgegevens op internet, zo stelt het Kenniscentrum voor Psychologie en Economisch Gedrag dat in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum van het ministerie van Justitie en Veiligheid hier onderzoek naar uitvoerde.

De onderzoekers keken naar welke psychologische factoren een rol spelen bij het aanmaken van veilige wachtwoorden en of mensen hun persoonsgegevens online alleen delen wanneer dit veilig of noodzakelijk is. "We richten ons op veilig wachtwoordgedrag, omdat het wachtwoord de meest gebruikte authenticatiemethode is om systemen en online informatie van gebruikers te beschermen", aldus de onderzoekers.

Ondanks het belang van wachtwoorden blijkt dat mensen hier in de praktijk niet altijd veilig mee omgaan. "Mensen maken vaak zwakke wachtwoorden aan, hergebruiken wachtwoorden en delen hun wachtwoorden regelmatig met anderen. Het delen en hergebruiken van wachtwoorden vergroot het risico op cybercriminaliteit. Door zwakke wachtwoorden, hergebruik en het delen van wachtwoorden zijn gebruikers de ‘zwakste schakel’ in wachtwoordbeheer. Daarom is het belangrijk om te onderzoeken welke psychologische factoren veilig wachtwoordgedrag kunnen bevorderen en belemmeren."

Wachtwoord aanmaken

Voor het onderzoek werd deelnemers gevraagd een wachtwoord aan te maken. Het merendeel van de deelnemers maakte volgens de onderzoekers zwakke tot zeer zwakke wachtwoorden aan (84 procent). Het merendeel van de deelnemers (74 procent) had een wachtwoord dat bestond uit minder dan twaalf tekens. Ook gebruikte 32 procent van de deelnemers geen hoofdletters, twintig geen cijfers, en 62 procent geen speciale tekens.

"Een criterium voor sterke wachtwoorden is dat wachtwoorden bestaan uit minstens 12 tekens, minstens 1 kleine letter, 1 hoofdletter, 1 speciaal teken en 1 cijfer. Bij slechts 13.5% procent van de deelnemers voldeed het aangemaakte wachtwoord aan deze voorwaarden", zo claimen de onderzoekers van het KCPEG. Instanties zoals het Amerikaanse NIST en tal van beveiligingsexperts adviseren echter passphrases, een wachtwoord dat uit meerdere woorden bestaat. De kracht van een passphrase bestaat uit zijn lengte, niet uit het gebruik van hoofdletters of speciale karakters. Het concept van de passphrase (wachtzin) wordt echter nergens in het onderzoek genoemd.

Verder kregen deelnemers de vraag of ze het aangemaakte wachtwoord ook voor andere accounts gebruikten. 22 procent bevestigde deze vraag. 67 procent antwoordde met nee en zo'n 11 procent wilde dit niet zeggen. "Dit betekent dat bij een deel van de deelnemers sprake was van niet-unieke wachtwoorden", aldus de onderzoekers.

Winactie

Verder werd gekeken naar het veilig online delen van gegevens. Dit werd beoordeeld op basis van drie criteria: een check van de veiligheid van de website of applicatie, niet méér delen dan noodzakelijk en het maken van onderscheid tussen verschillende typen persoonsgegevens. Voor dit deel van het onderzoek werd er onder andere een "winactie" georganiseerd.

Bijna 81 procent van de deelnemers aan het onderzoek nam deel aan de winactie. Met deze deelname stemden deelnemers in het met online delen van hun persoonsgegevens. Meer dan zeventig procent van de deelnemers die deelnamen aan de winactie deelde hierbij alle persoonsgegevens, waaronder ook de laatste drie cijfers van hun bankrekening, terwijl het niet verplicht was om al deze gegevens te delen.

De onderzoekers keken ook naar beleidsimplicaties en interventies om het gedrag te veranderen, zoals het uitleggen van de risico's van onveilige wachtwoorden. Zo wordt er gewezen naar wetgeving die apps en websites verplicht om alleen noodzakelijke persoonsgegevens te vragen. "Samenvattend blijkt uit het huidige onderzoek dat Nederlandse burgers onveilig wachtwoordgedrag vertonen en online onveilig persoonsgegevens delen", zo concluderen de onderzoekers.

Ze merken op dat het benoemen van de risico's van onveilig gedrag voor veiligere wachtwoorden en veiliger online delen van persoonsgegevens zorgde. "Maar er is nog steeds veel winst te behalen. Deze winst is mogelijk te behalen door in te zetten op techniek en aanpassingen van de gebruikersomgeving en aanpassingen in wetgeving." Minister Yesilgöz van Justitie en Veiligheid komt later dit jaar met een beleidsreactie op het rapport.