Onderzoek: Nederlanders onveilig met wifi en wachtwoorden
Nederlanders gaan niet veilig om met wifi-netwerken en wachtwoorden en ook bij het maken van back-ups is er ruimte voor verbetering. Dat blijkt uit het onderzoek 'Cybersecurity 2015' (pdf) dat in opdracht van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) werd uitgevoerd.
Voor het onderzoek werden meer dan 3.000 Nederlandse burgers, ambtenaren en medewerkers van bedrijven ondervraagd. Uit het onderzoek komt naar voren dat meer awareness niet vanzelf tot beter gedrag leidt. Rijksambtenaren en medewerkers van grote bedrijven zijn zich meer bewust van de eigen digitale veiligheid dan andere groepen. De verschillen in het feitelijke gedrag tussen de verschillende doelgroepen is echter bijzonder klein. "Dé uitdaging ligt dus in het feit om van awareness tot cybersecure gedrag te komen", aldus de onderzoekers.
Wifi en wachtwoorden
Om het gedrag te vergroten is er volgens de onderzoekers vooral nog winst te halen op het gebruik van wifi-verbindingen, zoals het automatisch verbinding maken en het gebruik van een VPN-app. Het overgrote deel van de Nederlanders gebruikt namelijk geen VPN-app bij wifi-netwerken buitenshuis. Verder maakt ruim 60% niet regelmatig een back-up en hebben de meeste Nederlanders een wachtwoorden die korter zijn dan 12 karakters en niet regelmatig worden veranderd.
Daarnaast verdient websitebezoek ook de aandacht. Ongeveer een derde geeft aan niet te controleren of de juiste URL in de internetbrowser staat bij het bezoek van websites, of dat er een groen slotje aanwezig is bij websites waar gegevens ingevoerd moeten worden. Als het gaat om phishingmails wordt beduidend minder onveilig gedrag gemeld. De overgrote meerderheid zegt verdachte mails direct te verwijderen en niet op links te klikken die men niet vertrouwt.
Als het gaat om het installeren van updates doen Nederlanders het wel beter. Zo'n 70% zegt doorgaans direct software-updates te installeren als de computer, laptop of tablet dit adviseert. Verder maakt iets meer dan 70% zoveel mogelijk gebruik van automatische software-updates. Ook controleert zo'n 70% eerst of de webwinkel waar ze iets willen kopen bij een keurmerk is aangesloten.
Kennis
Het onderzoek laat verder zien dat ransomware, cryptoware en social engineering nog maar in beperkte mate bekende begrippen zijn. Ruim de helft geeft aan hier nog nooit van gehoord te hebben. Phishingmails, virusscanners en firewalls zijn wel een stuk bekender. De verantwoordelijkheid voor de veiligheid van internetgebruik wordt vooral in de thuissituatie, maar ook in de werksituatie, door een meerderheid van de respondenten bij zichzelf gelegd. De eigen verantwoordelijkheid wordt vooral gevoeld door mannen, 50-plussers en hoogopgeleiden. En door degenen die medeverantwoordelijk zijn voor ICT in hun organisatie.
Het volgende lijkt mij een onnauwkeurigheid in het rapport (heeft niet met wiFi te maken). Zou de som van elke kolom niet <=100% moeten zijn?
12 karakters
Mijn wachtwoorden bestaan doorgaans uit tussen 82% 87% 82% 81% 84% 83%
de 8 en 12 karakters
Zou Somsom van de kolommen <=110% moeten zijn? 113% 115% 105% 109% 114% 111%
Er zijn nou eenmaal mensen met een schrikbarend kleine woordenschat en er lopen net zoveel zwakbegaafden als hoogbegaafden rond. Weet iedereen wel wat "doorgaans" betekent? Misschien heeft een deel van de mensen het als "wel eens" of "regelmatig" opgevat. Weet iedereen wel dat met "karakters" schrifttekens bedoeld worden? Als ik me goed herinner slaat de term karakterschrift op bijvoorbeeld het Chinese schrift en niet op ons alfabet. Ik weet het niet zeker, maar ik heb de indruk dat we onder invloed van het Engelse "character" in de IT het woord "karakter" voor alle schrifttekens zijn gaan gebruiken. Dan zou het kunnen dat dat IT-anglicisme nog lang niet overal is doorgedrongen en dat de vraag daardoor niet voor iedereen duidelijk was.
Moeilijkheid is meer dat je overal een wachtwoord voor nodig hebt en al je overal 12 of meer tekens nodig hebt moet je een scherp geheugen hebben om geen fouten te maken!
Moeilijkheid is meer dat je overal een wachtwoord voor nodig hebt en al je overal 12 of meer tekens nodig hebt moet je een scherp geheugen hebben om geen fouten te maken!
Juist - en daar zit 'm dus het probleem.... Elke website, elke app, elk device, allemaal willen ze dat je veilig en goed inlogt. Dus een lekker lang wachtwoord (>12 tekens), beetje random liefst, wat vreemde tekentjes erbij. Dan wel regelmatig wijzigen he? En vooral niet een wachtwoord hergebruiken op andere sites...
Vind je 't raar dat mensen daar geen zin meer in hebben? Dat ze denken "het werkt - het zal allemaal wel"? Weinigen zullen op een regenachtige zondag opstaan met de gedachten "even fijn een nieuw WPA2 wachtwoord in al (!!) mijn devices prutsen vandaag (terwijl ik de firmware versie van mijn router en TV meteen even upgrade - oh, en vergeet de waterkoker niet)"!
Het is niet meer bij te houden. Samsung heeft wasmachines met Wifi. Waterketels met wifi, thermostaten met wifi. En Firmware. En wachtwoorden. Er moet iets anders voor komen - een open-deur onderzoekjes helpen daar niet bij.
Moeilijkheid is meer dat je overal een wachtwoord voor nodig hebt en al je overal 12 of meer tekens nodig hebt moet je een scherp geheugen hebben om geen fouten te maken!
Ja inderdaad met een bruteforce kan dat oplopen. Nou een combinatie van rainbowtables, social engineering en/of gewoon een wachtwoord wat je gebruikt (of delen) op "die sonja bakker website die alles in plain text opslaat"
moraal:
gebruik 2 way authentication om een vorm van zekerheid in te bouwen.
De vragen gaan uit van 1 waarheid op het gebied van veiligheid en die bestaat eigenlijk niet
Volgens bovenstaand onderzoek is iemand die zijn computers NIET aan het internet hangt, internetactiviteit alleen doet op lege oude laptop, startend vanaf een custom live-cd, via versleutelde VPN, gebruik makend van webmail niet veilig bezig zijn.
Want: Geen beveiligingssoftware, geen updates, geen vrees voor klikken van links of openen bijlagen
Omdat beveiligingssoftware zelf ook actief aangevallen wordt is het beter om juist met zo min mogelijk draaiende software online te gaan. En automatische updates is ook een al risico.
Zolang je niet op een hoger detailniveau kan aangeven wat/waar applicaties wel of niet mogen updaten heb je helemaal niks meer te zeggen over je PC/Telefoon en daarmee over de veiligheid.
Windows, Android etc moeten er eens voor gaan zorgen dat een toestemming voor installatie/udaten niet meteen een blanco checque is om alles op je system te kunnen/Mogen veranderen.
Moeilijkheid is meer dat je overal een wachtwoord voor nodig hebt en al je overal 12 of meer tekens nodig hebt moet je een scherp geheugen hebben om geen fouten te maken!
Ik maak wel terdege een verschil bij het inloggen op het internet en inloggen op mijn account op mijn PC en ja wie gaat nu elke week alle wachtwoorden wisselen?
Niets is 100% veilig en alles kan gekraakt worden als je maar veel brute rekenkracht gebruikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
