image

Onderzoek: gebruikers kennen risico hergebruikte wachtwoorden

maandag 3 oktober 2016, 08:47 door Redactie, 17 reacties

Beveiligingsexperts waarschuwen regelmatig dat eindgebruikers niet voor alle websites hetzelfde wachtwoord moeten gebruiken, maar uit nieuw onderzoek blijkt dat veel gebruikers ondanks dat ze risico's kennen dit toch doen. Het onderzoek over het wachtwoordgedrag van internetgebruikers werd in opdracht van LastPass onder 2.000 volwassenen in de Verenigde Staten, Duitsland, Frankrijk, Nieuw-Zeeland, Australië en Groot-Brittannië uitgevoerd (pdf).

Zo is 91% van de ondervraagde internetgebruikers bekend met het risico om wachtwoorden te hergebruiken, maar zegt 61% dit toch te blijven doen. Verder blijkt dat mensen hun wachtwoord voornamelijk resetten als ze die vergeten zijn. 29% doet dit vanwege veiligheidsredenen. Ook blijkt een groot deel van de ondervraagde gebruikers niet bekend te zijn met de eigenschappen van een sterk wachtwoord.

82% geeft namelijk aan dat een sterk wachtwoord uit een combinatie van cijfers, letters en symbolen bestaat, terwijl 69% hoofdletters en kleine letters noemt. Experts stellen echter dat een lang wachtwoord, zoals een passphrase bestaande uit meerdere woorden, veel meer bescherming biedt omdat het vanwege de lengte lastiger is te kraken. 67% zegt echter dat een wachtwoord minimaal 12 karakters lang moet zijn.

Ook bij het kiezen van een wachtwoord maken gebruikers de verkeerde keuze. Zo gebruikt 47% initialen of namen van vrienden en familie, terwijl 42% belangrijke data en getallen kiest. Meer dan een kwart (26%) laat zich nog altijd door de naam van het huisdier inspireren en ook geboortedata zijn met 21% populair. Verder gebruikt 13% de schoolnaam of een mascotte. Het onderzoek laat verder zien dat gebruikers meer moeite doen om bepaalde accounts te beschermen dan andere accounts. "Hoewel het misschien tegenstrijdig lijkt om je Facebookprofiel net zo goed als je bankaccount te beschermen, laat onderzoek zien dat dit wel zo zou moeten zijn", aldus de onderzoekers.

Reacties (17)
03-10-2016, 09:52 door Anoniem
Voor dit probleem is maar een oplossing verplichte "multi-factor" authenticatie. Het wachtwoord principe is gewoon hopeloos verouderd.
03-10-2016, 10:06 door Anoniem
"Experts stellen echter dat een lang wachtwoord, zoals een passphrase bestaande uit meerdere woorden, veel meer bescherming biedt omdat het vanwege de lengte lastiger is te kraken."

Dat is echter onzin. Dat is hier pas nog behandeld.
Het probleem met passwords is dat wat je ook verzint, er altijd wel een expert is die het slecht vindt.
Zelfs het opslaan van je wachtwoorden in lastpass.
03-10-2016, 10:21 door Anoniem
Toch logisch? Men wil niet 35 verschillende wachtwoorden weten. Daar zit men niet op te wachten.
Wachtwoord managers zijn te moeilijk of te complex in gebruik.

Dus de gemiddelde gebruiker hergebruikt zijn wachtwoorden. Dat is lekker gemakkelijk.
03-10-2016, 12:15 door SomeDuder
Tja, tenzij het OS/browser betere (geïntergreerde) wachtwoordmanagers krijgen, zullen normale gebruikers altijd wachtwoorden in de trant van "Welkom123" of "Piet3" blijven gebruiken.

Zelf gebruik ik al jaren met plezier KeePass 2, met synchronisatie naar m'n Drive. Plugin voor Chrome en hij spuugt zelf al het nodige wachtwoord erin. Intergratie met KeePass2Android en hetzelfde voor de diverse apps. En natuurlijk alleen maar unieke wachtwoorden van minimaal 14 tekens.

Dus het kan wél, maar je moet er moeite voor doen.
03-10-2016, 12:16 door Anoniem
Door Anoniem: Voor dit probleem is maar een oplossing verplichte "multi-factor" authenticatie. Het wachtwoord principe is gewoon hopeloos verouderd.

Niet helemaal, de oplossing is een uniforme multi-factor. Bijvoorbeeld die van google. Immers men zit niet te wachten of 6 verschillende multi factor authenticaties.
03-10-2016, 12:26 door Briolet
Door Anoniem: Toch logisch? Men wil niet 35 verschillende wachtwoorden weten.
Nog logischer: dit onderzoek is in opdracht van LastPass, dus willen ze dit ook als conclusie om mensen te bewegen een wachtwoord manager te gaan gebruiken.

Door Anoniem: Wachtwoord managers zijn te moeilijk of te complex in gebruik.

Dat ligt aan het product. De wachtwoord manager van Apple is zo simpel in gebruik dat veel gebruikers misschien niet eens door hebben dat ze die gebruiken. Hun browser doet tegenwoordig bij het verzinnen van een wachtwoord al een voorstel. Die wordt vervolgens vanzelf opgeslagen en bij een volgende inlog weer vanzelf ingevuld. De standaard sleutelhanger (De container met wachtwoorden) kun je vervolgens via hun iCloud synchroniseren tussen al je mac's en iPhones.

Zelf synchroniseer ik die sleutelhangers via mijn eigen server binnen mijn LAN. (De inhoud gaat apple niets aan, ook al is hij goed versleuteld). Alleen kan ik dit niet synchroniseren met mijn Android telefoon. Jammer dan, maar dij gebruik ik toch niet om op te werken.
03-10-2016, 13:26 door karma4
Eenvoudigere oplossing: geen user password opgave afdwingen waar dat niet nodig is.
03-10-2016, 14:55 door Anoniem
Voor dit probleem is maar een oplossing verplichte "multi-factor" authenticatie.

Op bedrijfssystemen ? Of op websites, waar mensen veelal gratis toegang toe hebben ? Moet Security.NL bijvoorbeeld Vasco tokens gaan uitdeling ? Zal flink wat gaan kosten ;)
03-10-2016, 14:58 door Anoniem
Beveiligingsexperts waarschuwen regelmatig dat eindgebruikers niet voor alle websites hetzelfde wachtwoord moeten gebruiken

Waar de beveiligings ''experts'' - zoals zo vaak - volledig aan voorbij gaan is enige risico analyse. Boeit het indien je steeds hetzelfde wachtwoord gebruikt op websites waar gevoelige persoonlijke informatie wordt opgeslagen ? Natuurlijk. Maar boeite het ook of je je wachtwoord hergebruikt op websites als Security.NL, NuJij, Tweakers, en andere forums ? Niet echt.

Al is dergelijke nuance natuurlijk niet besteeds aan deze ''experts''. Of aan het marketing van LastPass, dat hiermee naar buiten is gekomen. Op de ene website is hergebruik van wachtwoorden vele malen riskanter dan op de andere website.
03-10-2016, 15:47 door Anoniem
Door karma4: Eenvoudigere oplossing: geen user password opgave afdwingen waar dat niet nodig is.

Zoals op alle nieuwssites, waar je reactie nog gemodereerd wordt voor plaatsing maar je wel perse een login (met password) voor moet hebben.
03-10-2016, 16:01 door Anoniem
Ik gebruik ook één basis wachtwoord, maar voeg daar de eerste 4 characters van de url aan toe. Allemaal uniek en toch eenvoudig.
03-10-2016, 17:37 door Anoniem
Door Anoniem: Ik gebruik ook één basis wachtwoord, maar voeg daar de eerste 4 characters van de url aan toe. Allemaal uniek en toch eenvoudig.

Slim, maar als je wachtwoord dan ergens uitlekt, zeg bij wehkamp, en je wachtwoord is wehkRuben13. Dan zal een bot niet snel de link leggen, maar ieder ander zou bij andere services dropRuben13, gmaiRuben13, bolcRuben13 proberen.
04-10-2016, 10:31 door [Account Verwijderd]
[Verwijderd]
04-10-2016, 12:42 door Anoniem
Door Anoniem:
Door Anoniem: Ik gebruik ook één basis wachtwoord, maar voeg daar de eerste 4 characters van de url aan toe. Allemaal uniek en toch eenvoudig.

Slim, maar als je wachtwoord dan ergens uitlekt, zeg bij wehkamp, en je wachtwoord is wehkRuben13. Dan zal een bot niet snel de link leggen, maar ieder ander zou bij andere services dropRuben13, gmaiRuben13, bolcRuben13 proberen.
Maar dat kan je alleen als je weet welk patroon wordt gebruikt. Zonder de werkwijze zou je dit nooit proberen. En mocht je toch zo slim zijn om dit patroon te herkennen, gebruik dan bv de eerste 3 chars en tel er iets bij op/af.
04-10-2016, 17:01 door Anoniem
Door Anoniem: "Experts stellen echter dat een lang wachtwoord, zoals een passphrase bestaande uit meerdere woorden, veel meer bescherming biedt omdat het vanwege de lengte lastiger is te kraken."

Dat is echter onzin. Dat is hier pas nog behandeld.

Ik zou het met je eens kunnen zijn als de website wachtzinnen verplicht zou stellen.
Zolang hacker/bot niet weet of ik een 'gewoon' wachtwoord gebruik of een wachtzin, lijkt mij dat
1 behoorlijk lange wachtzin! een stuk lastiger te kraken is dan iets als 1Be@kl8d#

b.
06-10-2016, 20:58 door Anoniem
Door Anoniem:
Door Anoniem: Voor dit probleem is maar een oplossing verplichte "multi-factor" authenticatie. Het wachtwoord principe is gewoon hopeloos verouderd.

Niet helemaal, de oplossing is een uniforme multi-factor. Bijvoorbeeld die van google. Immers men zit niet te wachten of 6 verschillende multi factor authenticaties.

En ik zit niet te wachten op Google in al mijn online activiteiten. Er is weinig mis met het gebruik van TOTP voor de meeste toepassingen.
10-10-2016, 13:46 door Anoniem
Ik heb er zo'n 70. Zitten wel zelfde woorden in maar dan in andere volgordes en met leestekens door cijfers vervangen en andere gekke dingen ertussen. Ik sla ze niet op in een of andere daarvoor bedoelde applicatie maar in een door mijzelf versleuteld document op een usb stick die in de kluis ligt. Die usb stick heeft ook weer een pincode nodig om 'm te activeren. Meer kan ik er ook niet aan doen. Blijft een lastig punt. Maar ik heb ook geen zin om m'n biometrische data in te lezen op een apparaat dat aan internet hangt. Daarvoor vertrouw ik de aivd/nsa en aanverwante onzin niet genoeg.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.