Wachtwoorden veilig bewaren, zoveel mensen? Dat verbaasde mij. En ja, dat snap ik nu wel gezien dit de vraag is:

Bewaart u uw wachtwoorden op een veilige manier, bijv. thuis op papier of door gebruik te maken van een
wachtwoordmanager?

Nou, ik kom in de buurt met gemiddeld 12 tot 14 willekeurige karakters.
Nee, ik heb er geen 1 van 16 karakters.

Nogal wiedes dat lange wachtwoorden niet gebruikt worden. Ik ben al meerdere keren tegengekomen dat een wachtwoord niet langer dan 16 karakters mocht zijn.

De 24 karakters die door mijn pw manager gegenereerd werden heb ik ook maar op max 16 karakters gezet.

Als passkeys van de grond komen zijn we straks hopelijk af van die klote wachtwoorden. Liever zoiets dan dat we in de toekomst wachtwoorden van 30 tekens moeten hebben omdat quantum computers wachtwoorden met gemak kunnen kraken.

Er zijn een hoop websites waar ik lange wachtwoorden heb.
Twee uitdagingen:
- Slechte ondersteuning van websites voor lange wachtwoorden (30+ karakters) met complexe tekens.
- Web site ontwikkeld een app en je moet met dezelfde username/password inloggen. Dan is 30 karakterseen echt feest. :-(
Als niet met een google/Facebook account will loggen blijft het extra werk.

Te moeilijk vinden? Ik moet kennelijk mijn verwachtingspatroon voor Nederlanders naar beneden bijstellen.

Waarom zijn 30 tekens een probleem, mij wachtwoorden zijn allemaal meer dan 20 tekens en bij sommige
website's 30, mits dat deze lengte wordt toe gelaten ik doe dit al zolang dat het gewoon normaal is.

"Een veilig OS gebruiken" staat niet eens in de lijst, dus dat zullen dan wel helemaal weinig mensen doen...

Bitwarden op je mobiel is een optie. QR-code scanner is er ook een die wel handig is.

En toch is thuis op papier best veilig, wellicht veiliger dan in een ww kluis...

Blijkbaar ben je jong en heb je weinig om je heen gekeken in het leven ?
Of wil je alleen maar een tikje subtiel roepen dat je zelf zo slim bent ?

Tip (serieus) : *kijk* om je heen in de wereld, tussen gewone mensen en niet alleen hoog opgeleide nerdvriendjes.

Als je ooit op een plek (wilt) komen waarin je echt beslissingen neemt over (security) beleid en maatregelen dan helpt het enorm als je een realistisch beeld hebt van de werkelijkheid en van wat je wel (en niet) kunt verwachten van je constituency .

Vanaf de zij-lijn roepen dat de hele wereld te dom is om het goed te doen geeft je misschien een warm gevoel, maar je blijft dan echt aan die zij-lijn staan.

Een hele zin met wat random karakters erin.
En 2 FA.

En toch als je provider het erbij laat zitten en je twee weken geen mail kan versturen eer je je wachtwoord mag wijzigen.

Kijk eens hier: https://haveibeenpwned.com/

Sommigen checken en anderen liever toch niet. Je komt logisch gesproken allemaal een keer aan de beurt.

Veiligheid online, een heel relatief begrip. Ik trek mijn anonymous (collectief)- shirtje maar weer aan

Dat krijg je wanneer een suf onderzoek meent dat de willekeurige grens van 16 karakters het verschil is tussen een veilig en onveilig wachtwoord.
En dan komt er in de (virtuele) krant te staan: "Slechts 14% van de Nederlanders gebruikt een veilig wachtwoord" ....
Terwijl notabene 41% een wachtwoord met minimaal 16 tekens voor sommige apparaten of accounts gebruikt.

Als je een website eens op een smartphone gaat bezoeken, dan begrijp je waarom die wachtwoorden van 20+ willekeurige tekens opeens zwaar irritant zijn.

Het advies luidt immers dat je een wachtwoordmanager op je desktop bewaart, en niet op je smartphone zet. Een smartphone is een populairder doel voor hackers en criminelen en bevat een groter attack surface dan een desktop.

Nogal wiedes! Er is geen veilig OS.

Je geeft advies dat jezelf beter eerst kunt gebruiken als je er uberhaubt in gelooft. Ik iedergeval niet.

Over realisme gesproken.
Ik ben in de 20+ jaar vaker tegen beveiliging risicos aangelopen bij de hoger opgeleiden en tech savy mensen dan bij een niet tech savy. Als je erover nadenkt ook niet zo verwonderlijk gezien een gebruiker die geen beep geeft om techniek ook niet zo snel gaat sleutelen aan dingen waar ze eigenlijk vanaf moeten blijven.

Je kent ze vast wel de mensen die denken dat ze er verstandig aan doen om hun registers op te schonen zodat hun systeem sneller wordt. Of het verstandig vinden een apparaat te jailbreaken zonder er echt verstand te hebben van de gebruikte exploit en de gevolgen voor de apparatuur veiligheid. De gene die denken dat het verstandig is om een third party plugin te koppelen aan hun site zonder de inhoud van genoemde plugin te snappen of uberhaubt na te gaan of de ontwikelaar wel netjes werkt.

En dat ten overstaande van bijvoorbeeld een gepensioneerde leraar frans die niet verder komt dan op een verkeede link te klikken of te trappen in social engineering. Wie denk je dat er meer meewerkt met disaster recovery en wie IT professionals de minste tijd en geld kost om schade van in te perken dagelijks?

En er zitten echt wel ook goede tussen maar de hoeveelheid mensen die denken verstand ergens van te hebben versus er verstand van hebben daar zit een enorm verschil in. Geef mij maar elk moment van de dag digitbeten dan mensen die slim genoeg zijn om een gevaar voor zichzelf en andere te vormen maar niet slim genoeg om dat te erkennen en te voorkomen.


En er is werkelijk niks mis mee te roepen dat je ergens meer expertise in hebt of zoals je het zegt slim bent. Je moet alleen weten waneer het te zeggen tegen kritiek kunnen openstaan voor andere denkwijzes mits er logica in zit en goede argumenten worden gepresenteerd. Ik heb gewerkt in grote internatonale projectgroepen van onder andere IETF en als ik een ding kan meegeven is dat als je je niet assertief opstelt je nergens komt als je werkt met beleidsmakers. Die geven echt nul om subtiliteit enkel cold hard data en hele goede argumenten waarom jou data echt klopt. Want hun tijd is kostbaar heel kostbaar.

Leeftijd noemen echt als argument dat iemand niet genoeg ervaring heeft om een eigen mening te vormen zonder enige verdere kennis over die gene is ronduit kortzichtig. Noem maar een goed argument waaruit blijkt dat leeftijd de beslissende factor is om serieus genomen te worden qua mening conclussie of data.

Zal je een voorbeeldje van het tegendeel geven Chernobyl. Daar dachten ze ook dat leeftijd en rang de doorslaggevende factor was als het ging om goede beslissingen maken. Terwijl als er geluisterd zou zijn naar de jongere en lagere rangen we waarschijnlijk nooit die ramp hadden gehad.

Maar die werden of niet serieus genomen of de mond gesnoerd. Ongeveer hetzelfde als jij nu doet maar dan iemand met significant minder potentie schade te veroorzaken gelukkig. Misschien de volgende keer vragen waarom de poster zijn verwachtingpatroon denkt naar beneden te stellen als je serieus advies wilt geven in plaats van aan de andere kant van de zij-lijn te gaan roepen.


Nu maar eens hebben over wat CBS heeft gepubliceerd van onder andere mijn belastingcenten.

Ik kan een wachtwoord maken van 16 keer de zelfde letter en dan nog val ik in de categorie langwachtwoord terwijl het werkelijk niks oplevert qua veiligheid onderzoek maar ik tel wel mee met de telling. Hoera voor correct afbakenen van onderzoeksvragen.

Complexiteit van wachtwoorden of gebruik van wachtwoordzinnen is niet meegenomen in de onderzoeken.
Dat is wel een van de meest belangrijke vragen die je kan stellen als we het hebben over basale account veiligheid.

Tweestaps verificatie (2SV/2SA) en twee factor authenticatie (2FV/2FA) zijn zoals zo vaak weer eens op een hoop gegooid terwijl het beveiliging niveau tussen die twee zeer verschilt. Beide onder de umbrella MFA maar als ik er ook maar 1 schermpje na het wachtwoord en gebruikersveld zou hangen met are you sure? dan heb ik een 2SV/2SA gecreeert en ben ik nog steeds niet veiliger dan zonder dat tussenscherm. Terwijl bij 2FV/2FA je er niet zo makkelijk mee wegkomt.

Daarnaast meeste MFA kan nog steeds vanaf het zelfde apparaat en dan schiet je er ook bar weinig mee op of het wordt gestuurd via een eigenljk onveilig medium zoals SMS of email. We hebben het over werkelijke veiligheid hier niet schijnveiligheid.

En het gebruik van de termen alleen al kloppen in de praktijk vaak niet eens voor wat ze gebruikt voor worden en dan heb ik het over de grote tech jongens die constant authenticatie en verificatie met elkaar verwarren.

Het CBS echter gaat nog een stap (of trap) verder door de grafiek twee staps verificatie te noemen maar de conclusie tweetraps verificatie. Niemand gebruikt tweetraps verificatie als term niemand. Welke redactie heeft deze publicatie bij het CBS goedgekeurd? Hoe kun je een term uit je duim zuigen die niemand in de praktijk gebruikt. Het lijks wel een sales marketing afdeling.

Backup maken op een andere computer in plaats van vragen backup bewaren op een ander systeem of medium.
Twee heel verschillende dingen en het eerste heeft zeer weinig van doen met veiligheid.

Antivirus of virusscan in plaats van gewoon antimalware. We hebben het hier niet over gebrukers die een scan only deeppackage analysis draaien wegens kritieke infrastructuur. Als ik aan de gemiddelde gebruiker zou vragen of ze wel eens een virusscan draaien en vervolgens vraag of ze antivirus gebruiken krijg ik waarschijnlijk het antwoord ja dat zei ik toch net i? Die kennen echt het verschil niet en waarom zouden ze.

Bijna niemand draait meer antivirus. De software dat antivirus wordt genoemd tegenwoordig bevat ook anti trojan anti rootkit anti ransomware vaak. Again tenzij je een heel specifieke audit doet zul je nooit van je leven meer in deze tijd enkel antivirus signstures gebruiken. En dat je het onder een umbrella term gooit naar je vraagstellers prima maar leg dan iedergeval uit dat het eigenlijk een andere benaming heeft en zeker zet nooit de verkeerde term in je onderzoeks resultaten. Maar gezien de staps vs traps ben ik niet verbaasd dat CBS ook hier weer de plank compleet mis slaat.

Wachtwoorden veilig bewaren nog zo domme nietszeggende onderzoeksvraag. Want iemand die geen jota verstand heeft van digitale beveiliging zal in de meeste gevallen ook denken dat hun methode wel veilig is. Voor de een is het opschrijven van een wachtwoord en vervolgens bewaren onder hun toetsenbord ook veilig.. Maar helaas er is weer niet nagedacht over de vraag en nu is de data nutteloos.

Updates uitvoeren wanneer? meteen ? week of misschien wel maand later?
Weer zo iets zonder afbakeningen is de data niet nuttig. Als er een 0day is en een leverancier komt met en patch en ik voer deze niet direct uit na het controleren van de patch werking ben ik veilig bezig?

En dan de laatste. Toegangscode, wachtwoord, vingerafdruk, face id op dezelfde stapel gooien.
Wat schiet je hier in godsnaam mee op. Als de vraag specifiek ging om OS inlog dan had ik het nog kunnen snappen maar bijna ieder die ooit werkt met internet werkt met toegangscodes wachtwoorden of andere beveiliging.

Waarom omdat je internet niet eens er zonder werkt. Op een hele speciale uitzondering na als je een WIFI only apparaat hebt dat altijd verbinding maakt met een openbaar netwerk. Goodluck om zo door het digitale leven te gaan. Hoeveel procent zal dat zijn 0,0001 van je onderzoeks demografie? Kleiner dan de groep dat zegt geen internet te gebruiken iedergeval als je snapt hoe internet en de diensten erop werken. En toch is het mogelijk volgens de CBS statistieken dat een aanzienlijke groep nooit enige vorm van beschreven beveiliging gebruikt. I call it bs eerder dat ze niet weten dat ze het gebruiken.

En waarom staat er uberhaubt een categorie geen internet als we het dan toch niet specifiek hadden over internet. Dan moet je de grafiek ook nog opdelen in internet afhankelijke verificatie/authenticatie vraag en lokale verificatie/authenticatie vraag.


De enige conclusie die ik kan trekken is dat het dramatisch gesteld is met het CBS als we het hebben over digitale veiligheid onderzoeken en effectieve vraagstelling binnen dit kader. Dit heeft belastinggeld gekost for onder andere mijne en ik begin het werkelijk zat te worden dat ze elke keer nutteloze data weten te presenteren. Een onderzoek van een eerstejaars onderzoeks journalist was waarschijnlijk nuttiger geweest en ik had daar met alle liefde voor betaald daar zit teminste nog mogelijke potentie in van groei. Maar dit niveau data presentatie van mensen die verstand moeten hebben van gedegen onderzoek op het hoogste nationale niveau is werkelijk om je kapot te schamen.

Dat verklaart dan echt ook waarom we miljoenen datalekken hebben met servers en desktops en veel lager met mobiele apparatuur.

Je weet wat een attack surface betekend right? De mogelijke manieren van ergens misbruik van te maken ook wel attack vectors genoemd. Het gaat om de manieren niet de kansen daarbij. Als ik fysiek bij het apparaat kan dan is dat een attack vector of onderdeel van de attack surface maar of ik er makkelijk fysiek bij kan of moeilijk dat verandert niet aan die score dat valt onder risk assessment. Dat verandert weer als de methode van dat ik kan inbreken groeit.

Maar gezien telefoons qua software complexiteit bijna nooit een desktop van gelijke generatie evenaren en zeker niet qua programeer fouten zie ik daar ook niet waar een telefoon populairder is voor hackers. Zijn er hackers en criminelen die zich specialiseren op mobiele apparatuur uiteraard maar het gros zit altijd nog te poken op server en desktop beveiliging.

En er is geen advies om niet een keymanager te gebruiken op een telefoon. Als dat wel zo was en het risico van inbraak op mobiel is vele malen groter dan zou juist niet het advies gegeven worden om een keymanager te gebruiken?
Je hebt vast wel een bron voor je bewering neem ik aan die je met ons wilt delen.

De National Institute of Standards and Technology NIST heeft moment van schrijven in hun Mobile Threat Catalogue 236 Common vulnerabilities and exposures CVE's ten overstaande van 214935 CVE voor de niet mobiele kant. En gezien NIST allom gebruikt en gerespecteerd wordt in de sector denk ik niet dat je bron je bewering zal staven.

Kennelijk heb ik dat advies gemist. Wie geeft dat?

22, voor de rest een ww manager, die standaard op 32 karakters staat. Niet te onthouden...