image

"Vertel mensen niet dat ze een slecht wachtwoord hebben"

maandag 27 november 2017, 15:40 door Redactie, 21 reacties

Als het om internetveiligheid gaat worden mensen vaak bang gemaakt en verweten dat ze het verkeerd doen, maar dit zorgt er alleen maar voor dat mensen zwakke wachtwoorden blijven gebruiken en ongevraagde bijlagen zullen openen, zo stelt doctor Jessica Barker, gespecialiseerd in de menselijke kant van cybersecurity. Barker sprak vorige week tijdens IRISSCON 2017 in Dublin.

Regelmatig krijgen mensen het advies om bijvoorbeeld sterke wachtwoorden te kiezen of geen ongevraagde links of bijlagen te openen. Toch blijven mensen dit doen. Volgens Barker komt dit doordat mensen op hun oude denkpatronen terugvallen. Mensen kijken vaak naar anderen voor wat ze moeten doen, ook wel social proof genaamd. Als voorbeeld gaf Barker het gebruik van TripAdvisor om te bepalen waar men moet gaan eten. Ze wees ook naar een onderzoek onder hotelgasten over het hergebruik van handdoeken. Een kaartje met daarop de tekst dat de vorige hotelgast zijn handdoek had hergebruikt had veel meer succes dan een kaartje met daarop de tekst dat het hergebruik goed voor het milieu is.

"Als je wilt dat mensen iets gaan doen, vertel dan dat de meeste mensen het doen", aldus Barker. Wanneer het om cybersecurity gaat is er volgens haar sprake van het tegenovergestelde. "We schreeuwen juist dat mensen het allemaal verkeerd doen. Kijk naar alle koppen over het gebruik van slechte wachtwoorden, dat mensen op kwaadaardige links klikken en dat de gebruiker het probleem is." Dit zorgt op een onbewust niveau ervoor dat mensen denken dat het prima is dat ze dit onveilige gedrag vertonen, aangezien iedereen het doet.

"We denken dat we mensen bang maken dat het gedrag verkeerd is, maar we bemoedigen ze alleen maar." Barker stelt dan ook dat security anders 'geframed' moet worden. Bedrijven die een phishingtest onder het personeel uitvoeren moeten niet zeggen dat 40 procent van de medewerkers de link heeft geopend wat heel slecht is, maar dat 60 procent dit niet heeft gedaan en dat dit fantastisch is. Op deze manier kunnen de medewerkers die de link wel openden via social proof worden aangespoord om net als hun collega's te zijn die het gewenste gedrag vertoonden.

Een ander punt waar organisaties rekening mee moeten houden is de "optimism bias". Mensen denken dat positieve dingen vaker zullen plaatsvinden dan negatieve zaken. Volgens Barker blijkt uit onderzoek dat dit gedrag zelfs blijft bestaan als het met feiten wordt geconfronteerd. "Mensen zijn overweldigend positief en dat is een probleem voor onze industrie." Barker merkte op dat it-experts dat optimisme onder familie, vrienden en kennissen er met feiten proberen uit te slaan, maar dat werkt niet. Er moet juist van dat optimisme gebruik worden gemaakt om mensen te laten zien dat ze zich wel op internet kunnen beveiligen. Mensen moeten dan ook niet bang worden gemaakt, maar advies krijgen wat ze zelf eenvoudig kunnen doen, aldus Barker.

Image

Video - IRISSCON 2017 The human nature of cyber security by Jessica Barker. Bron: YouTube

Reacties (21)
27-11-2017, 16:09 door Anoniem
Ik denk dat het beter is om wachtwoorden uit te faseren en iets beters te gebruiken voor authenticatie.
Anders blijf je toch in dat welles/nietes spelletje hangen.
27-11-2017, 16:28 door Anoniem
Het is net als met kinderen, die doen niet wat je zegt maar doen wat jij doet. Als een paar slecht gedrag vertonen zullen anderen dat gedrag kopiëren, slechts een enkeling zal het niet doen. Zet maar eens een achterdeur open van een bioscoop met een bordje verboden toegang maar geen beveiliging. Zodra er iemand naar binnen gaat zonder dat deze wordt aangesproken of verwijderd volgt de rest vanzelf. Kun je je horloge op gelijk zetten. Menselijk gedrag is redelijk voorspelbaar.
27-11-2017, 16:45 door Anoniem
Ja, mensen kijken absoluut vaak naar anderen hoe die het doen.
Behalve naar de security specialist.

Mensen realiseren zich niet dat een onveilig wachtwoord 1000x goed kan gaan, maar op een dag gaat het fout.
Het grote probleem is dat onveilige wachtwoorden en handelingen meestal niet direct worden afgestraft met een hack.
27-11-2017, 17:46 door karma4
Door Anoniem: .....
Het grote probleem is dat onveilige wachtwoorden en handelingen meestal niet direct worden afgestraft met een hack.
De uitspraak is eenvoudig uit te breiden naar slechte configuraties en slechte opzet ofwel architectuur van wat uit de doos komt. Wees blij dat niet alles afgestraft wordt met een hack.
27-11-2017, 18:37 door Anoniem
Door karma4:
Door Anoniem: .....
Het grote probleem is dat onveilige wachtwoorden en handelingen meestal niet direct worden afgestraft met een hack.
De uitspraak is eenvoudig uit te breiden naar slechte configuraties en slechte opzet ofwel architectuur van wat uit de doos komt. Wees blij dat niet alles afgestraft wordt met een hack.
Het zonder licht rijden op de fiets wordt ook niet direct afgestraft met een ongeluk.
27-11-2017, 19:59 door Anoniem
Door Anoniem: Ik denk dat het beter is om wachtwoorden uit te faseren en iets beters te gebruiken voor authenticatie.
Anders blijf je toch in dat welles/nietes spelletje hangen.

En wat is er voor beters dan, biometrisch? Laat me niet lachen
27-11-2017, 21:04 door Anoniem
Door Anoniem: Ja, mensen kijken absoluut vaak naar anderen hoe die het doen.
Behalve naar de security specialist.

En daarom slaat de hele security wereld over het algemeen de plank mis omdat ze niet vanuit de belevingswereld van een gewone gebruiker denken. Neem nu wachtwoorden, beveiligers en ook IT'ers willen zo ingewikkeld mogelijke wachtwoorden die ook nog eens iedere 3 maanden moeten worden gewijzigd en die ook nog eens niet mogen lijken op de vorige tien wachtwoorden. Wat gaat de gebruiker vervolgens doen wanneer deze dergelijke wachtwoorden voor iedere applicatie moet onthouden? Iets wat de nachtmerrie van iedere beveiliger is en dat is de wachtwoorden op een geeltje in de portemonnee of onder het toetsenbord. En die beveiligers maar denken waarom de mensen dat toch doen, gek hé als je niet wilt luisteren naar gebruikers of ze niet bij keuzen betrekt. Hoe serieus wil je genomen worden als beveiliger? Ik durf te stellen dat de grootste risico factor in veel bedrijven de beveiligers en de IT'ers zelf zijn omdat ze wel kijken en horen maar niet zien en luisteren.
27-11-2017, 22:35 door Anoniem
Barker merkte op dat it-experts
..
"We denken dat we mensen bang maken dat het gedrag verkeerd is, maar we bemoedigen ze alleen maar." Barker stelt dan ook dat security anders 'geframed'
..
Een ander punt waar organisaties rekening mee moeten houden is de "optimism bias"
..
Er moet juist van dat optimisme gebruik worden gemaakt om mensen te laten zien dat ze zich wel op internet kunnen beveiligen. Mensen moeten dan ook niet bang worden gemaakt, maar advies krijgen wat ze zelf eenvoudig kunnen doen, aldus Barker.
Helaas houdt ze geen rekening met een op deze site permanent geïllustreerde andere 'social proof' uitkomst.

(zelfbenoemde) it-experts zijn in meerderheid pessimisten!

Tenminste, als je uitgaat van de reacties op deze site en de gemiddelde reacties van veelposters.
Belangrijk want dat zijn de opiniebepalers,
vinden ze in ieder geval zelf!

Gaat dus niet werken, adviseren positief te doen en denken.
Niet onbelangrijk, je verdient er ook minder geld mee!
Altijd donker kijken, grote problemen schetsen en bang maken; dat verkoopt, brrood op de plank!
28-11-2017, 09:29 door Anoniem
Zorg met de juiste security controls dat :

1) Zwakke wachtwoorden niet mogelijk zijn
2) Gestolen credentials lastig bruikbaar zijn (2 factor authenticatie)
3) Accounts lockout krijgen bij brute force pogingen

Toestaan dat mensen zwakke wachtwoorden kiezen, en dat met awareness proberen bij te schaven. Dat is zoooo 20e eeuws. Ik zou zeggen, shame on you, richting de architecten van systemen die zwakke wachtwoorden accepteren.
28-11-2017, 09:31 door Anoniem
(zelfbenoemde) it-experts zijn in meerderheid pessimisten!

IT-beveiligers snappen dat je met enkel awareness niet ver komt, en dat het grootste deel van de verantwoording niet ligt bij de gebruiker, maar bij de architecten. En de beveiligers, die een security control framework moeten leveren, met de juiste controls, om zwakke wachtwoorden te voorkomen, en risico's van gestolen wachtwoorden te mitigeren.

Gaat dus niet werken, adviseren positief te doen en denken.

Enkel dat advies ? Nee, dat is gebaseert op luiheid, en afschuiven van verantwoordelijjkheid.

Altijd donker kijken, grote problemen schetsen en bang maken; dat verkoopt, brrood op de plank!

Jij hebt zeker geen slot op je auto, of op je voordeur, omdat je niets hebt met pessimisten die je erop wijzen dat je zonder zo'n slot kans loopt op inbraak ? ;)
28-11-2017, 09:33 door Anoniem
Wat gaat de gebruiker vervolgens doen wanneer deze dergelijke wachtwoorden voor iedere applicatie moet onthouden?

Een password manager installeren, met encrypted storage. Zodat ze nog maar 1 wachtwoord hoeven te onthouden ?

En daarom slaat de hele security wereld over het algemeen de plank mis omdat ze niet vanuit de belevingswereld van een gewone gebruiker denken. Neem nu wachtwoorden, beveiligers en ook IT'ers willen zo ingewikkeld mogelijke wachtwoorden die ook nog eens iedere 3 maanden moeten worden gewijzigd en die ook nog eens niet mogen lijken op de vorige tien wachtwoorden.

Vrij logisch vanuit het oogpunt van een goede beveiliging. Tenzij je de voorkeur geeft aan schijnveiligheid.
28-11-2017, 09:35 door Anoniem
Ik durf te stellen dat de grootste risico factor in veel bedrijven de beveiligers en de IT'ers zelf zijn omdat ze wel kijken en horen maar niet zien en luisteren.

Door beveiligers en beveiliging af te kraken, nemen risico's inderdaad behoorlijk af (kuch). Of iemand ziet, en luistert, dat ligt verder geheel aan de persoon. Een IT beveiliger die *niet* meedenkt met de gebruikers/organisatie is overigens mijns inziens ongeschikt voor het vak. Je bent geen ''Dr No'' die alleen maar nee verkoopt zonder te denken in oplossingen en alternatieven.
28-11-2017, 09:37 door Anoniem
En wat is er voor beters dan, biometrisch? Laat me niet lachen

2-factor authenticatie, met een one time password (of biometrie), als aanvulling ? IP restricties erbij op het account ? Natuurlijk is er van alles wat beter is dan alleen een password. Zodat gestolen credentials bijvoorbeeld waardeloos worden voor aanvallers.

Ik moet wel lachen wanneer mensen menen dat enkel een password de juiste oplossing is ?
28-11-2017, 09:39 door Anoniem
Het grote probleem is dat onveilige wachtwoorden en handelingen meestal niet direct worden afgestraft met een hack.

Je slaat volkomen de plank mis. Het grote probleem is dat onveilige wachtwoorden worden toegestaan. Indirekt is daarbij het probleem incompetentie bij beheerders/architecten, die hierbij steken laten vallen. Waarom zou een gebruiker een zwak wachtwoord moeten kunnen kiezen ?

Overigens heeft een sterk wachtwoord ook geen meerwaarde, wanneer credentials bijvoorbeeld worden gestolen m.b.t. phishing of een keylogger i.p.v. een brute force/dictionary attack. Dus naast sterke wachtwoorden zijn aanvullende maatregelen nodig om te voorkomen dat accounts worden misbruikt.
28-11-2017, 09:40 door Anoniem
Mensen realiseren zich niet dat een onveilig wachtwoord 1000x goed kan gaan, maar op een dag gaat het fout.

Bij een ''veilig'' (kuch) wachtwoord niet anders, als dat de enige check is. Het is enkel ''veilig'' tegen bepaalde soorten aanvallen.
28-11-2017, 09:41 door Anoniem
Het is net als met kinderen, die doen niet wat je zegt maar doen wat jij doet. Als een paar slecht gedrag vertonen zullen anderen dat gedrag kopiëren, slechts een enkeling zal het niet doen. Zet maar eens een achterdeur open van een bioscoop met een bordje verboden toegang maar geen beveiliging. Zodra er iemand naar binnen gaat zonder dat deze wordt aangesproken of verwijderd volgt de rest vanzelf. Kun je je horloge op gelijk zetten. Menselijk gedrag is redelijk voorspelbaar.

En daarom zet je een security control framework op, met maatregelen, om veilig gedrag technisch af te dwingen.
28-11-2017, 11:05 door Anoniem
Om te beginnen klopt er een hoop aan de boodschap van dr. Barker, de mate waarin grote aantallen mensen ongevoelig zijn voor feiten of adviezen van mensen die deskudiger zijn dan zij zelf, maar in plaats daarvan vertrouwen op totaal ondoordachte en ondeskundige meningen van van bekenden, verbaast me al sinds ik een tiener was en tegenwoordig (50+) word ik nog steeds met enige regelmaat verrast door mensen die er nog een stuk verder in gaan dan ik tot dan toe voor mogelijk hield.

Wat me opvalt aan Barker's boodschap (of misschien aan de manier waarop de redactie hem heeft verwoord) is dat ze haar trucje om niet te zeggen dat iemand het fout doet maar te doen alsof de rest het goed doet niet zelf toepast: ze zegt dat we de boodschap fout brengen en doet niet alsof de meeste securitymensen dat goed doen. Dat zou natuurlijk ook een doorzichtige leugen zijn die tegen haar zou werken. Maar het stoort me omdat er generaliserend over "mensen" wordt gepraat en hoe die zouden reageren, alsof al die securitymensen, IT'ers en automatiseerders zelf geen mensen zijn. Ik vind dat altijd licht beledigend, net zoals ik rants over ontwikkelaars die niet snappen wat gebruikers willen beledigend vind omdat ontwikkelaars zelf intensieve gebruikers van computers en software zijn. Alsof die niet zouden weten wat voor hen zelf goed werkt. De categorie "gebruikers" is breder dan "gewone" gebruikers, en de categorie "mensen" is breder dan niet technisch georiënteerde mensen.

Het probleem is dat er (ook weer generaliserend) technisch georiënteerde niet technisch georiënteerde mensen bestaan die behoorlijk verschillende belevingswerelden hebben en daardoor moeilijk met elkaar communiceren. Ik weet sinds een paar jaar van mezelf dat ik autisme heb en sinds ik daar meer van afweet kan ik met gemak met terugwerkende kracht milde tot sterke autistische trekjes aanwijzen bij heel wat van de mensen met wie ik gedurende mijn loopbaan heb samengewerkt. En niet alleen binnen de IT, dat kom je bij meer technische beroepen tegen, en ook bij wetenschappers. Mij zou het niets verbazen als dit in hoge mate gaat over het communicatieprobleem tussen autisten en niet-autisten.

Autisme-deskundigen weten dat hoogfunctionerende autisten (de groep aan wie het niet direct opvalt) hun leven lang een immense inspanning leveren om te proberen iets van al die andere mensen te snappen ('wrong planet syndrome'). Wat belangrijk is: dat lukt niet echt, autisten leren ermee omgaan maar dat je met fundamenteel verschillende belevingswerelden te maken hebt gaat niet over, en dat blijft moeilijk. Hoe reëel is het dan (als de link die ik met autisme leg klopt) om te verwachten dat ze daar wel in gaan slagen?

Een slecht inlevingsvermogen in andere mensen wordt trouwens vaak als kenmerk van autisme genoemd. Ik heb met diverse andere autisten totaal geen probleem daarmee, en niet-autisten kunnen zich minstens zo slecht inleven in autisten. Het probleem is volgens mij geen gebrek aan inlevingsvermogen bij autisten, het probleem is een gebrek aan inlevingsvermogen van alle mensen in anderen met een wezenlijk andere belevingswereld. Vanuit dat perspectief is het overbruggen van de kloof iets waar beide kanten zich voor zouden mogen inspannen.

We moeten er geen wonderen van verwachten, dit blijft aanmodderen. Iedereen die met dit soort verschillen te maken krijgt zou er goed aan doen te beseffen dat mensen soms meer van elkaar verschillen dan je je nog goed kan voorstellen. Opmerkingen als "het is net als met kinderen", ergens hierboven gemaakt, zijn denigrerend, en je ontkent ermee dat die andere mensen weer talenten hebben die er ook toe doen (als dat niet zo was had de evolutie er wel korte metten mee gemaakt). En als die andere mensen kankeren dat nerds niks van de behoeftes van mensen snappen slaan ze het inzicht over dat de hele context waarin ze die opmerking plaatsen niet eens had bestaan zonder nerds, per saldo is hun bijdrage aan de mensheid fantastisch.

Om hier enigzins uit te komen moet je over en weer erkennen dat er grote verschillen zijn en van beide kanten bereid zijn om te proberen die te overbruggen. En je moet niet verwachten dat je erin slaagt om altijd iets op te leveren dat voor iedereen perfect is en genoegen nemen met het ongemak dat dat oplevert.
28-11-2017, 13:31 door Anoniem
waarom is een PIN code van 4 cijfers voldoende om je betalingen mee te doen maar is een wachtwoord van 7 tekens niet voldoende voor een website ?
28-11-2017, 13:41 door Anoniem
waarom is een PIN code van 4 cijfers voldoende om je betalingen mee te doen maar is een wachtwoord van 7 tekens niet voldoende voor een website ?

Een wachtwoord van 750 tekens is ook onvoldoende, als het wachtwoord wordt onderschept met phishing, of met keyloggers.

Overigens is je bankpas, met pincode een goed voorbeeld van multi factor authenticatie. Zonder de bankpas heb je niets aan een pincode. Met credentials voor een website (zonder 2-factor authenticatie) ligt dat toch wat anders.
28-11-2017, 13:57 door Anoniem
Inderdaad niet over slechte gekozen wachtwoorden beginnen, want het werkt toch tegen je in het algemeen.
Hielp altijd mijn familie en vrienden, maar je krijgt altijd gezeik achteraf.
Opmerkingen van vooral digibeten die je uitgelegd hebt waar de gevaren in slechte security zit (vaak achter je rug om).
Ik zou in email snuffelen.
Privacy schenden
Of gewoon je sociaal buitensluiten omdat je ze in het verleden belangeloos geholpen hebt.
Als je iemand wilt helpen dan vertel ze dat ze zelf hun wachtwoorden in moeten voeren en dat je die niet mag weten.
Vooral bij familie is dat belangrijk, en doe die instructies via de email desnoods, dan is dat bewijs voor later als ze zitten te zeiken.

Ik heb betere ervaring met het mensen helpen/ vertellen dat hun wachtwoord slecht is, wannneer het GEEN FAMILIE betreft.
Die mensen zijn eerder geneigd om jouw mening te waarderen, en ook te implementeren.
Zelfs jaren na data meestal geen gezeik.
Dus geen Familie over wachtwoorden onderwijzen, maar alleen vrienden of onbekenden is het credo.
28-11-2017, 15:23 door Anoniem
Door Anoniem: waarom is een PIN code van 4 cijfers voldoende om je betalingen mee te doen maar is een wachtwoord van 7 tekens niet voldoende voor een website ?
Een pinpas wordt na enkele foute pincodes (ik meen drie) geblokkeerd. Dat maakt de kans dat een aanvaller de pincode per ongeluk goed raadt klein. Niet nul, maar klein.

Een denial-of-service-aanval, het bewust blokkeren van een pinpas of een account op een website, lukt bij een pinpas alleen als je hem in je bezit hebt. Bij een website kan iedereen die een accountnaam kent die account blokkeren als dat net zo makkelijk gaat als bij pinpassen, en bij websites waar accountnamen makkelijk te achterhalen zijn kan een beetje scriptkiddie zelfs grootschalig accounts blokkeren. Dat wil je bij websites niet hebben, en als je dezelfde snelle blokkering niet toe kan passen dan zijn vier cijfers te weinig en heb je langere wachtwoorden nodig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.