'Nederlander maakt vaak geen gebruik van lange wachtwoorden en vpn-verbinding'
Nederlanders maken vaak geen gebruik van lange wachtwoorden en een vpn-verbinding om hun accounts of systemen te beveiligen, zo stelt het Centraal Bureau voor de Statistiek (CBS) in een vandaag verschenen publicatie op basis van onderzoek waar ruim 33.000 mensen aan deelnamen. Deelnemers aan het onderzoek werd gevraagd welke maatregelen ze nemen om hun apparatuur en persoonlijke informatie op internet te beveiligen tegen misbruik door anderen.
Het gebruik van een code, wachtwoord of biometrie om toegang tot een systeem te krijgen was de meestgenoemde beveiligingsmaatregel. 81 procent van de deelnemers zegt dit voor alle accounts en apparaten te doen. Het controleren van e-mailbijlagen is ook een vaak toegepaste beveiligingsmaatregel. Bijna 59 procent zegt beveiligingsupdates meteen door te voeren zodra die beschikbaar zijn. Een iets kleiner percentage zegt wachtwoorden veilig te bewaren. Daarbij geeft het CBS als voorbeeld het opschrijven van wachtwoorden of het gebruik van een wachtwoordmanager.
Deelnemers aan het onderzoek werd ook gevraagd of ze voor elk account een ander wachtwoord gebruiken. Slechts 38 procent zegt dit te doen. Het gebruik van tweefactorauthenticatie voor alle accounts wordt door een kleine 27 procent gedaan. De minst gebruikte beveiligingsmaatregelen waar deelnemers uit konden kiezen zijn het gebruik van een vpn-verbinding en lange wachtwoorden.
61 procent van de deelnemers aan het onderzoek zegt nooit gebruik te maken van een vpn-verbinding. 21 procent doet dit soms en een kleine 18 procent zegt altijd via een vpn met internet verbonden te zijn. Op de vraag of men wachtwoorden van minimaal zestien karakters gebruikt geeft bijna 40 procent aan dit nooit te doen. 44 procent heeft voor sommige accounts een wachtwoord van minimaal zestien karakters en bijna 17 procent heeft dit voor alle accounts.
Vpn's en lange wachtwoorden
"Mannen geven ook vaker dan vrouwen aan een vpn-verbinding onnodig te vinden (32 tegenover 18 procent). 15- tot 45-jarigen zeggen dit met ongeveer 33 procent vaker dan 45-plussers. En hbo- en universitair geschoolden zijn met 29 procent deze mening eerder toegedaan dan mensen met een ander onderwijsniveau", aldus het CBS. "Daarnaast geven jongeren met 28 procent relatief vaak aan een vpn-verbinding te duur te vinden."Volgens het CBS zijn er minder verschillen tussen de bevolkingsgroepen als het gaat om het gebruik van wachtwoorden van minimaal 16 karakters voor alle accounts. "Als reden om dit niet te doen geven mannen vaker aan dat ze het niet nodig vinden (25 tegenover 16 procent) of omdat ze er geen zin in hebben (18 tegenover 13 procent). Vrouwen vinden het iets vaker moeilijk om te onthouden dan mannen", zo laat het statistiekenbureau weten.
Vergeet wachtwoorden, maak wachtzinnen!
https://www.youtube.com/watch?v=6n-ZoFW-d_I
Maar wat is nu veiliger? Een lang wachtwoord als voorbeeld 1 of een wachtzin als voorbeeld 2?
Voorbeeld 1: X56u~97?4t]Uw8d%s2[f#Gi+3JcEAm&{xTW=*.vQ)-Bhjge!rkKV(.
Voorbeeld 2: mijn houten auto heeft een dak van 500 meter met 1 tomaat erin?
Maar laten we niet doen alsof een VPN zo zaligmakend is. HTTPS wordt inmiddels bijna overal afgedwongen, dus voor versleuteling hoef je het veelal niet te doen. Sterker, je plaatst een extra component in de keten die je moet vertrouwen, in dit geval de VPN provider en softwareleverancier. En gegeven o.a. https://www.security.nl/posting/917515/%27Vpn-extensies+onderscheppen+AI-gesprekken+van+miljoenen+gebruikers%27 is dat ook niet zonder gevaren.
Je wisselt je eigen internet provider veelal in voor een andere partij die jouw informatie krijgt.
Je zit eigenlijk met 2 risico's het lokale netwerk en de internet provider. Lokaal moet dan al in een netwerk zitten wat onveilig is en waar een aanvaller in aanwezig is. Daarnaast zijn meeste internet protocollen die doorgaans gebruikt worden standaard met encryptie voorzien zoals HTTPS wat het risico zo goed als compleet weghaalt. Als het lokale netwerk goed zit, dan verplaats je in principe de vertrouwen van je internet provider naar de VPN provider. Het gebruik van een sketchy VPN brengt naar mijn mening meer privacy en security risico's met zich mee dan de doorgaanse internet provider in Nederland.
Evenals Shadowsocks, DNS versleuteling, DNS blocker tegen ads, malware en meer en gebruik meerdere IP-adressen alvorens mijn verkeer aankomt bij de desbtreffende webdiensten.
En anders zou ik TOR met onionservices gebruiken.
Mijn URL's en wachtwoorden voer ik in via een offline wachtwoordmanager waardoor ik idioot lange en ingewikkelde wachtwoorden kan gebruiken.
Mijn telefoon bevat GrapheneOS zonder SIM en 2FA biometrie en duress, alle exploitvescherming aan, waaronder MTE, en autoreboot op 4 uur, en mijn computer bevat Secureblue OS met full disk encryption.
Ook heb ik mijn persoonlijke bestanden (versleuteld onafhankelijk van mijn telefoon) in een container in een apart offline gebruikersprofiel voor het geval iemand alsnog onverhoopt inbreekt.
Ik telefoneer en SMS niet. (GSM torens zijn onveilig en tracken je locatie)
Als ik mijn telefoon buiten gebruik, gebruik ik een buitenprofiel zodat wanneer mijn telefoon uit mijn handen wordt gerukt als ik de telefoon in gebruik heb de dieven geen toegang hebben tot persoonlijke data. (Dat zit in een apart versleuteld profiel)
Mijn thuisnetwerk bevat een PiHole.
Mijn chatdienst is Briar, en mijn selfhosted server is Briar Mailbox en ik deel mijn bestanden via Onionshare.
Ik doneer geld aan veel van deze software non-profits.
Is het overdreven? -Niet in de huidige tijd waar overheden opzettelijk privacy aanvallen via drogredenering.
De overheid heeft maar met haar g@#e klauwen uit mijn leven te blijven, zijn ze nou van de pot gerukt!?
Ja, ik wordt er zeer nijdig van en ik pik het gewoon niet, het zijn verdorie mijn grondrechten!
Twee voorbeelden:
1) 16 tekens willekeurig uit 95
16 * (log 95 / log 2) == 16 * (6,57) == 105 bits entropie per wachtwoord
2) 16 tekens willekeurig uit [a..z][A..Z][0..9]
16 * (log 62 / log 2) == 16 * (5,95) == 95 bits entropie per wachtwoord
10 bits is ongeveer een factor 1000.
Een uur is 3600 seconden. Een dag is 24 uur. Een jaar is 365 dagen
Computers werken in Gigahertz (1000 * 1000 * 1000)
GPU's hebben duizenden cores
Ik kom niet uit op 16 tekens per wachtwoord hiermee. 8 tekens is te kort en 12 tekens komt meer in de buurt van wat ik gebruik. Verder kunnen goede hashfuncties het proberen van wachtwoorden flink vertragen. Dus dat is alleen maar in het voordeel van de gebruiker van dat wachtwoord. Als er een limiet is aan het aantal wachtwoorden dat je per seconde kan invoeren dan helpt dat ook gigantisch.
'PasswordPassword' is natuurlijk ook 16 tekens, dus YMMV.
Vergeet wachtwoorden, maak wachtzinnen!
https://www.youtube.com/watch?v=6n-ZoFW-d_I
Maar wat is nu veiliger? Een lang wachtwoord als voorbeeld 1 of een wachtzin als voorbeeld 2?
Voorbeeld 1: X56u~97?4t]Uw8d%s2[f#Gi+3JcEAm&{xTW=*.vQ)-Bhjge!rkKV(.
Voorbeeld 2: mijn houten auto heeft een dak van 500 meter met 1 tomaat erin?
Voorbeeld 1 heeft een hogere 'entropie' en is dus moeilijker te raden. Factor veel t.o.v. nr. 2. Maar let op: voor het goede moet je ze dan ook niet even lang, maar even 'random' moeten laten zijn om ze te vergelijken.
Kernvraag: welke van de twee is voor jou bruikbaarder? Succes met het foutloos onthouden en meerdere keren per dag invoeren van nr.1. Dat is waar de wachtwoordzin vandaan komt. Langer, maar makkelijker te onthouden.
Sommige aanbieders gellijkstellen aan alle aanbieders is vooral rhetorische luiheid. Niemand schiet er wat mee op. Er zijn er genoeg die wel betrouwbaar zijn. En het argument dat je niet weet wat ze intern doen, tsja, welkom in de grote mensen wereld. Of ben jij die ene wereldburger die van alle leveranciers 100% inzicht heeft in werkwijze, middelen en idem onderleveranciers?
Risico's zijn onderdeel van het bestaan, je doet je best, vertrouwt niet op één enkele laag, stapelt middelen en zo spreidt je risico's. VPNs kunnen daarin zeer waardevol zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?