65-plussers gebruiken tweestapsverificatie minder vaak dan gemiddeld
Nederlanders maken vooral gebruik van tweestapsverificatie (2FA) bij online overheidsdiensten (77%), medische diensten (64%) en financiële diensten (59%). Het gebruik verschilt echter per leeftijdsgroep: 65-plussers passen 2FA bij vrijwel alle online diensten minder vaak toe. Zo gebruikt 66% van hen 2FA bij overheidsdiensten (tegen 77% gemiddeld) en 49% bij financiële diensten (tegen 59% gemiddeld).
Dit blijkt uit onderzoek van Motivaction, uitgevoerd in opdracht van Dienst Publiek en Communicatie (DPC) en het ministerie van Justitie en Veiligheid. In het onderzoek is extra aandacht besteed aan het gebruik van 2FA onder 65-plussers.
Belang van online beveiliging
Nederlanders vinden de beveiliging van online diensten over het algemeen belangrijk, vooral bij overheidsdiensten (94%), financiële instellingen (94%), medische diensten (92%) en hun privémail (92%). 65-plussers hechten hier gemiddeld iets minder waarde aan. Zo vindt 79% van hen 2FA belangrijk voor werkmail (tegen 89% gemiddeld), 79% voor berichtendiensten (tegen 85% gemiddeld) en 75% voor online winkels (tegen 80% gemiddeld).
Wie géén 2FA instelt voor zijn privémailaccount, noemt vooral dat het te veel gedoe is (34%) of geeft aan er nooit over te hebben nagedacht (25%). Nederlanders die wél 2FA gebruiken, doen dat meestal omdat het verplicht is (53%) of omdat het hen een veiliger gevoel geeft (44%). Onder 65-plussers liggen deze percentages op respectievelijk 44% en 47%.
Risicoperceptie en zorgen
Ongewenste toegang tot overheids- (96%) en financiële diensten (95%) wordt als het meest ernstig ervaren. Toegang tot privémail wordt als minder ernstig gezien: gemiddeld vindt 61% dit zorgwekkend, tegenover 48% bij 65-plussers. Veel Nederlanders denken dat hun e-mail weinig gevoelige informatie bevat en daarom niet interessant is voor cybercriminelen.
Online criminaliteit bij financiële (50%) en overheidsdiensten (48%) baart ongeveer de helft van de Nederlanders zorgen. Onder 65-plussers liggen deze percentages hoger, met respectievelijk 56% en 55%. Een kwart van de Nederlanders maakt zich zorgen over criminaliteit via berichtendiensten (25%), sociale media (24%) en webwinkels (23%).
Privémail en risico’s
Privémailadressen van Nederlanders zijn het vaakst gekoppeld aan accounts van webwinkels (64%) en overheidsdiensten (54%). 73% van de Nederlanders beseft beseft dat iemand met toegang tot hun privémail zich als hen kan voordoen. Iets meer dan de helft (55%) weet dat hiermee ook persoonlijke documenten en foto’s kunnen worden ingezien. Een minderheid (39%) realiseert zich dat kwaadwillenden via privémail ook toegang tot andere accounts kunnen krijgen, of zelfs bankgegevens kunnen inzien (30%). 65-plussers geven bovengemiddeld vaak aan niet goed te weten wat de mogelijke gevolgen zijn van ongeautoriseerde toegang tot hun e-mail.
Voorlichtingscampagne
Eind november start de overheid een voorlichtingscampagne waarin 65-plussers worden opgeroepen tweestapsverificatie in te schakelen voor hun online accounts. De campagne heeft als doel het bewustzijn te vergroten over de risico’s van het níet gebruiken van 2FA en de voordelen van het wél instellen ervan.
Word hiermee bedoelt dat dit het geval is indien je daadwerkelijk "bankstukken" in je mail hebt staan? Met alleen mijn mailadres kan je je ING wachtwoord niet resetten, daar is het mobiele nummer voor nodig om een SMS code te ontvangen.
Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt.
79% van de 65+ vind 2FA belangrijk voor werkmail?
Dat percentage gaat vanzelf wel omhoog als de AOW leeftijd weer 'ns naar boven gesteld word.
Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt.
Het advies van een technicus. Een groot deel van de Nederlanders begrijpt wel hoe je een SMS-code moet invoeren. Een groot deel van de Nederlanders begrijpt niets van installatie van software, domeinnamen, het bijhouden van patches voor deze nieuwe software, de afhankelijkheid van de overheid voor IT-adviezen (die niet gelezen worden, niet opgevolgd worden, niet gevonden kunnen worden wanneer de adviezen worden aangepast etc.) en ga zo maar verder.
We zijn helaas zover gekomen dat alles en iedereen via internet diensten moet afnemen, maar dat veruit het grootste deel geen kennis van IT noch affiniteit heeft met IT. Zie het als het autorijd voorbeeld dat i, standaard gebruik: als 30% van de mensen voldoende kennis heeft om auto te rijden, maar we jagen iedereen de snelweg op, dan is het een kwestie van wachten totdat de pl**%# uitbreekt. We zien dat nu ook in IT-land. Makkelijk voor de bedrijven, maar de gevolgen kunnen we iedere dag lezen op dit forum. Infrastructuren die met geen mogelijkheid meer veilig zijn te krijgen, maar waar ieder jaar maar extra miljarden tegenaan worden gegooid om te redden wat er te redden valt. Een extra wachtwoordmanager gaat daar echt niet tegen helpen.
Twee weken terug wilde ik Office 2019 bij mijn ouders deïnstalleren en vervangen door Office 2024, maar de refurbished telefoon van mijn vader bleek onverwacht in een bootloop te zitten. Ik kon dus geen SMS ontvangen voor de installatie van Office 2024.
Vanwege ESU had ik niet eerder tijd gehad en ik vrees ook dat mijn vader de overstap naar Office 2024 helemaal niet leuk gaat vinden. Ik gunde hem nog een extra productief maandje met de oude Office 2019. Bovendien was ESU wel spannend tot op het laatste moment dus ik wilde dat eerst voor elkaar hebben omdat je Office 2024 maar eens in de 90 dagen opnieuw mag installeren van Microsoft.
2FA is niet altijd veiliger. Soms kan je erdoor gehackt worden omdat je updates niet in orde zijn.
Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt.
Dan is mijn kaartenbak met gecodeerde wachtwoorden toch nog wel wat veiliger, zeker in combinatie met SMS 2FA.
En als dat niet veilig genoeg is, dan is Internet gewoon niet geschikt om belangrijke zaken als financien te regelen.
DAT zou de overheid dan ook moeten adviseren, net als bij beleggen:
met internetbankieren kunt u uw geld kwijtraken...
Word hiermee bedoelt dat dit het geval is indien je daadwerkelijk "bankstukken" in je mail hebt staan? Met alleen mijn mailadres kan je je ING wachtwoord niet resetten, daar is het mobiele nummer voor nodig om een SMS code te ontvangen.
Er zullen vast wel banken zijn die het minder goed voor elkaar hebben en waarbij email wel hetzij direct de gegevens, hetzij een password reset medium is.
Je moet bedenken dat zo'n publieksstatement nooit op alle situaties van toepassing is.
Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt.
Niet dat ik dat voor internetbankieren of hogere DigiD-niveaus vind volstaan. Wat ik zou zien zitten is de combinatie van het gebruik van de domeinnaam en wat de Rabo- en ING-scanners hebben: een display voor what you see is what you sign en een numerieke keypad voor de pincode van het apparaat. Maak daar à la FIDO een open standaard van, test wel implementaties van verschillende leveranciers grondig, en maak het mogelijk dat je dat op het gemeentehuis, bankkantoren en waar het nog meer handig is aan je gecontroleerde identiteit koppelt, of als dat voldoende dicht te timmeren is via een online procedure in combinatie met een schriftelijke bevestiging. De werking van zo'n ding moet zo recht voor zijn raap zijn dat het heel grondig door te lichten en te testen is en dus heel robuust, wat de kans minimaliseert dat er ooit een lek in hersteld moet worden, wat maakt dat updates van de firmware in beginsel niet hoeven, dus ook niet hoeven te kunnen, en als ze niet kunnen dus ook voor een aanvaller onmogelijk zijn.
<effe roepen in de woestijn>
Werk dat uit, EU en Europese overheden, standaardiseer dat voor de hele EU, en laat commerciële partijen er (goedgekeurde) implementaties van maken die mensen kunnen aanschaffen en voor veel dingen kunnen gebruiken. Geef eens wat tegengas tegen dat onzalige idee af dat alles op een smartphone moet in plaats van daarin mee te gaan. Het is geen goed idee om het apparaat waarmee je al je geld kan kwijtraken overal bij je te hebben, en naast je op een terrastafeltje te hebben liggen terwijl je licht aangeschoten al je aandacht bij dat geanimeerde gesprek hebt dat je met een ander voert. Het is geen goed idee om zo'n kritische functie te combineren met een razend complex besturingssysteem dat gegarandeerd nog onontdekte fouten bevat en apps uit allerlei bronnen die die fouten kunnen proberen te misbruiken. In plaats van de grote massa's te volgen in hun ondoordachte voorkeur voor de "handige" eenvoud van één apparaat, dat eenvoudig oogt maar supercomplex is, waar als je pech hebt niet alleen jij maar ook een aanvaller alles mee kan, zou wat mij betreft gehamerd moeten worden op de veiligheid van een zelfstandig apparaatje waarvan je het display beter kan vertrouwen dan dat van je pc of smartphone, de veiligheid van een apparaatje dat alleen maar die ene functie vervult en afgeschermd is van wat anderen wel zouden willen.
</effe roepen in de woestijn>
Juist de ouderen weten nog hoe het was om in vrijheid te leven en zullen daar ook zolang mogelijk aan blijven hangen.
Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt.
Goede onderbouwing!
De overheid doet dit volgens mij al met de DigID app...
Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt.
Dan is mijn kaartenbak met gecodeerde wachtwoorden toch nog wel wat veiliger, zeker in combinatie met SMS 2FA.
En als dat niet veilig genoeg is, dan is Internet gewoon niet geschikt om belangrijke zaken als financien te regelen.
DAT zou de overheid dan ook moeten adviseren, net als bij beleggen:
met internetbankieren kunt u uw geld kwijtraken...
Precies. Als persoon besteed je met zo'n virtuele "wachtwoordmanager" dan ook de controle over je eigen beveiliging weer uit aan een extern systeem waar je geen zicht op hebt. Dat is inherent juist onveilig. Juist vanwege de mogelijkheid van AitM (attacks-in-the-middle).
Wat betreft de "risicoperceptie" van senioren (65+). Zij schatten voor een deel ook terecht in dat zij minder risico's lopen, zolang zij geen gekke dingen doen. Ze zitten als persoon vaak diep verankerd in het systeem, bijvoorbeeld doordat ze al dertig jaar bij dezelfde bank bankieren en op hetzelfde adres wonen. Traditionele beveiligingsmechanismen zoals 2FA voldoen dan vaak prima.
Het probleem onstaat juist wanneer banken en andere organisaties die klanten of burgers zouden moeten bedienen, die traditionele beveiligingsmechanismen en de processen waarin die mechanismen adequate bescherming bieden, afschaffen. Het is alsof organisaties 65-plussers voor de bus gooien en dan zeggen dat ze moeten gaan trainen om hun sprint te verbeteren zodat ze op tijd voor die bus kunnen wegrennen om niet overreden te worden.
Iedereen die het haalt, wordt op enig moment 65-plusser, en wil dan simpeler en rustiger gaan leven, niet gestoord door allerlei hoepels waar IT-nerds en techno-gehypnotiseerde overheidsmanagers willen dat ze doorheen gaan springen.
Er is bij de overheid en bijvoorbeeld banken een enorm gebrek aan empathie voor mensen, en een groot gebrek aan respect voor de wens van mensen om op een goede, prettige manier te kunnen leven.
M.J.
Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt.
Leuk voor mensen die hier rondhangen maar voor de gemiddelde gepensioneerde is dat te ingewikkeld.
Je moet buiten je eigen bubbel denken en denken in de beleving van je oma.
De meeste hoeven niet mee te doen met de waan van de dag, sommige kunnen niet eens mee doen met de waan van de dag, de nieuwste innovatie verzonnen door en voor stuiterkonijnen met teveel rode kleurstof en nepcola met lange koolstofketens..
Bankzaken kun je ook prima doen bij een balie, dat hoeft niet op een telefoon, die je dan weer elke 2 jaar nieuw moet kopen om weer mee te kunnen doen. Wij van WC-Eend vinden dat er mee gepoept moet worden.. of was het meer zeiken? (pun intended)
Wachtwoordenkluis of -beheerder
https://www.maakhetzeniettemakkelijk.nl/online-veiligheid/wachtwoorden
De voorlichting geeft inderdaad nog geen vermelding of een wachtwoordmanager wel of niet domeinnamen controleert. :(
Laat de overheid een wachtwoordmanager adviseren die wél op domeinnamen checkt.
Leuk voor mensen die hier rondhangen maar voor de gemiddelde gepensioneerde is dat te ingewikkeld.
Je moet buiten je eigen bubbel denken en denken in de beleving van je oma.
2) Zijn NIET phishing-resistent;
3) Vergroten de kans op account-lockout, want die TWEEDE FACTOR kun je EENVOUDIG en ONVERWACHT kwijtraken.
4b) 2FA middels een Authenticator-app is -eveneens ruimschoots aangetoond- ruk. Van Authenticator apps wordt opzettelijk VERZWEGEN dat het om privacy-invasieve en vaak onveilige WACHTWOORDMANAGERS gaat: zie https://security.nl/posting/796707 (en de pagina's waar ik daarin naar verwijs, met name https://www.security.nl/posting/778668/TOTP+Authenticators+drama verwijzend naar wetenschappelijk onderzoek van Conor Gilsenan et al).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?