Mensen kiezen veiliger wachtwoord als ze kraaktijd weten
Mensen kiezen veiligere wachtwoorden als ze weten hoe lang het duurt om een wachtwoord te kraken, zo blijkt uit onderzoek van de Universiteit van Plymouth. De onderzoekers keken naar twee verschillende manieren waarop gebruikers bij het kiezen van een wachtwoord geholpen kunnen worden.
Wanneer gebruikers standaardadvies ontvangen, zoals een wachtwoordmeter die de sterkte van het wachtwoord laat zien, is er 40 procent meer kans dat ze een veilig wachtwoord kiezen. Krijgen gebruikers echter te zien hoe lang het duurt voordat hun wachtwoord kan worden geraden of gekraakt, dan is de kans dat ze een veiliger wachtwoord kiezen tien keer zo groot.
Het onderzoek bestond uit twee experimenten. Bij het eerste experiment kregen 300 gebruikers bij het aanmaken van een online account verschillende wachtwoordmeters, emoji's, feedbackberichten of helemaal niets te zien. Wanneer gebruikers wel feedback ontvingen daalde het aantal zwakke wachtwoordkeuzes met 30 procent. Afhankelijk van de gebruikte wachtwoordmeters kan dit nog met eens 10 procent toenemen.
Bij het tweede experiment kregen 500 gebruikers naast de wachtwoordmeter ook feedback over hoe lang het duurt om een wachtwoord te kraken, hoe het wachtwoord zich verhoudt ten opzichte van andere wachtwoorden en de kans dat het gekraakt wordt. Deze gebruikers hadden meer inzicht in de risico's en kozen daardoor wachtwoorden die langer en zodoende tot wel tien keer sterker waren, aldus de onderzoekers.
"Deze resultaten bieden niet alleen een les voor wachtwoorden, maar voor de veiligheid van eindgebruikers in het algemeen, aangezien de combinatie van effectief advies en handhaving gebruikers de kans geeft om security vanaf het begin te begrijpen", zegt Steve Furnell, professor informatiebeveiliging.
kunnen onthouden". Als ze die opschrijven en onder hun toetsenbord plakken is dat in bepaalde situaties wellicht
ernstiger dan wanneer ze een makkelijk te kraken wachtwoord kiezen wat ze wel kunnen onthouden.
Immers, dat "makkelijk te kraken" is alleen relevant in het specifieke scenario dat de partij waar ingelogd wordt de
security van de wachtwoordhashes niet goed voor elkaar heeft. En dat is lang niet altijd zo.
Dit was een ware eye-opener voor mij en heb daarop meteen actie ondernomen.
Wachtwoorden zijn nog steeds het enige bewijs dat diegene die inlogt ook daadwerkelijk jij bent en daar valt of staat je security online mee.
wat is er makklijker te onthouden AN#Sas10f-fd of MijnKatLooptDoorDeStraat
of iets dergelijks....
Dit was een ware eye-opener voor mij en heb daarop meteen actie ondernomen.
Wachtwoorden zijn nog steeds het enige bewijs dat diegene die inlogt ook daadwerkelijk jij bent en daar valt of staat je security online mee.
Lol'd @ laatste zin. In b4 iemand je een mail stuurt met een malafide bestand dat een keylogger en een permanente backdoor op je systeem pleurt.
Wachtwoorden zijn helemaal geen bewijs dat degene die inlogt daadwerkelijk jij bent, en ondanks dat ze een belangrijk component van overall security vormen, zijn ze verre van hetgeen waarmee je security online valt of staat.
Blindelings geloven dat je nu opeens safe zit op het gebied van security omdat je simpelweg een passwordmanager gebruikt met een complex genoeg hoofdwachtwoord gaat je security op de lange termijn helemaal niet ten goede komen.
'Defense in depth' en 'continuing education' zijn de sleutelwoorden hier ;)
:0
123456
:)
+1
Misschien moeten we daarnaast de mensen eerst maar eens leren wat HTTPS is en waarom "add exception" niet altijd zo'n strak plan is ;-)
"Ja maar dan werkt de site toch gewoon als je die uitzondering toevoegt?" Is helaas de reflex die de meeste mensen (zelfs ICT'ers) hebben.
kunnen onthouden". Als ze die opschrijven en onder hun toetsenbord plakken is dat in bepaalde situaties wellicht
ernstiger dan wanneer ze een makkelijk te kraken wachtwoord kiezen wat ze wel kunnen onthouden.
Immers, dat "makkelijk te kraken" is alleen relevant in het specifieke scenario dat de partij waar ingelogd wordt de
security van de wachtwoordhashes niet goed voor elkaar heeft. En dat is lang niet altijd zo.
Onder het toetsenbord?
Altijd nog beter dan op de computer in een file onder wordpad bewaren, wat sommigen wel kunnen bedenken.
Een password manager zou ik ook nog niet vertrouwen.
Ik hanteer gewoon mijn eigen manier, een hele goede, maar ik zal zeker niet de enigste zijn met mijn wijze van handelen.
Maar onder het toetsenbord, u denkt toch niet dat de hacker even fysiek langs komt?
kunnen onthouden". Als ze die opschrijven en onder hun toetsenbord plakken is dat in bepaalde situaties wellicht
ernstiger dan wanneer ze een makkelijk te kraken wachtwoord kiezen wat ze wel kunnen onthouden.
Immers, dat "makkelijk te kraken" is alleen relevant in het specifieke scenario dat de partij waar ingelogd wordt de
security van de wachtwoordhashes niet goed voor elkaar heeft. En dat is lang
Onder het toetsenbord?
Altijd nog beter dan op de computer in een file onder wordpad bewaren, wat sommigen wel kunnen bedenken.
Een password manager zou ik ook nog niet vertrouwen.
Ik hanteer gewoon mijn eigen manier, een hele goede, maar ik zal zeker niet de enigste zijn met mijn wijze van handelen.
Maar onder het toetsenbord, u denkt toch niet dat de hacker even fysiek langs komt?
Het aantal zwakke wachtwoorden vermindert met 30% maar als er een andere wachtwoordmeter wordt gebruikt dan kan dit nog met 10% toenemen. Dus een vermindering van 33%? Of van 40%?
En wat zijn de absolute getallen eigenlijk? Zijn de resultaten significant?
Eh - dit is zoiets als "ik ben niet wantrouwig maar je weet maar nooit".
Om te weten of je een goede passwordmanager hebt, zul je toch niet moeten starten bij blind vertrouwen maar moet je er eerst vanuit gaan dat ze niet allemaal goed zijn. En dan heb je nog wat criteria nodig waarop je kan onderscheiden wat een goede en wat een slechte passwordmanager is. En er een kiezen, en die ga je dan vertrouwen tot iemand meldt dat dat niet (meer) gegrond is.
Voorlopig houd ik het maar op een papiertje in mijn broekzak. Wie mijn broekzak genaderd is, is zo dichtbij dat andere beveiligingsopties ook niet meer werken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
