Mooie woorden allemaal. Maar ik kijk er met gefronste wenkbrauwen naar. Of er zoveel ten goede is gekeerd de afgelopen vier jaar kan ik niet beoordelen. Ik weet alleen dat ik de zeurpiet werd op mijn werk omdat ik nogal eens collega's met de neus op de feiten drukte dat ze het het maar - nou, nou - namen m.b.t. de meest basale vormen van IT beveiliging, zoals weglopen zonder hun computer te vergrendelen.

Deelname aan dit onderzoek: 1.336 Nederlanders. In mijn ogen niet erg representatief.

Excuse me?
Ik snap niet eens wat men hiermee wil suggereren?

Dat openbare wifi met wachtwoord beveiliging wel vertrouwd wordt?
Of dat openbare wifi niet te vertrouwen is?

Roept u maar.


"Lies, damned lies, and statistics"

91% van respondenten gebruikt 2FA? Maak dat de kat wijs... Betwijfel ten zeerste of dit accuraat is. De omschrijving van de onderzoeksmethode doet vermoeden dat deze positieve getallen in werkelijkheid een stuk lager zijn.

Het rapport impliceert dat respondenten een vraag gesteld kregen met daarop een lijst aan antwoorden waaruit ze konden kiezen. "Stel dat u een email krijgt. Op welke aspecten let u om te bepalen of de mail te vertrouwen is of niet?", met dan daaronder een lijst aan opties zoals "het emailadres", "het taalgebruik", "de afzender", etc., waar je kan aanvinken wat voor jou van toepassing is. Uiteraard vinkt men dan opties aan die voor hen "Juist lijken".

Klopt natuurlijk geen reet van de getallen idd.
Wel een adblocker 53% maar 46% heeft extensies (Zeer knap mensen)
Voor elk account ander wachtwoord 76% maar 51% een digitale kluis. (Heel geloofwaardig)
Passkeys door 34% echter 76% zegt andere wachtwoorden te gebruiken (hoe kun je wachtwoorden bij passkeys gebruiken)

De enige statistiek waar ik geintereseerd in ben hoeveel heeft deze nonsense weer gekost.

Databundels zijn dan ook zo goedkoop dat je eigenlijk nergens meer wifi nodig hebt.
Password kluizen worden tegenwoordig door Apple en Google aangeboden en voor de meeste mensen geeft dat voldoende eenvoud om meerdere wachtwoorden te gebruiken ipv 1 voor alles.

Ik denk dat voor de meeste mensen geldt dat ze die kant op gedwongen worden ipv dat ze er over nadenken.

"Bijna alle Nederlanders (94 procent) maakt gebruik van automatische updates"
Nooit doen, altijd een week of twee wachten. Met een beetje geluk zijn dan de nodige bugs opgelost.

Nou zoiets als de suggestie dat de meerderheid van de Nederlanders controleert of ze op veilige website zitten omdat ze 'meestal wel / altijd' hebben aangevinkt bij de stelling:
"Ik let op of er een slotje en/of https bij het webadres staat". (pag. 36 van het algemene onderzoeksrapport)
Deze suggestie/ interpretatie is ook afkomstig van het onderzoeksbureau...

Dit kàn in principe representatief zijn, maar dan moet de steekproef (degenen die antwoorden leveren op de gestelde vragen) héél zuiver getrokken worden uit de Nederlandse bevolking zodat je weet wat voor mensen je mist, bijvoorbeeld mensen die alle enquetes wantrouwen en er daarom nooit aan meedoen of mensen die zich online zo onzeker voelen dat ze nooit meedoen aan online enquetes.
Deze zuiverheid van de steekproef is een probleem met online onderzoek en ook met online panels. Onzuiverheid van de steekproef wordt veroorzaakt doordat er bijvoorbeeld vooral mensen in komen die overal een mening over hebben en die ook graag bekend maken, mensen die het leuk vinden om online enquetes in te vullen (en daar tijd voor hebben), mensen die (veel) vertrouwen hebben in wat er met hun antwoorden gebeurt, etc. Dergelijke vertekeningen kun je niet rechttrekken met het achteraf wegen op gangbare achtergrondkenmerken, zoals geslacht, leeftijd, woonplaats, opleidingsniveau en inkomensklasse.
Doordat dit onderzoeksbureau gebruik maakt van een online panel, wat klaarstaat en dat ze gebruikt om allerlei soorten vragen aan te stellen, waarvan in dit concrete onderzoek 40 procent de enquete heeft ingevuld, kan ze alleen achteraf wegen op de (reeds bekende) achtergrondkenmerken van de 60 procent die niet heeft gereageerd op de uitnodiging om mee te doen.
Het is heel goed mogelijk dat deze 60 procent bovenproportioneel veel mensen bevat die geen zin hebben om zich met vragen over cyberveilig gedrag bezig te houden. Dan zou de reagerende 40 procent al een vertekening opleveren (voor de representativiteit van de Nederlandse bevolking); deze vertekening kan onmogelijk geschat (en dus ingecalculeerd) worden, net zo min als de eerder genoemde vertekening - hoe komt iemand in een online panel terecht.
Dat maakt dit soort onderzoek m.i. dubieus.
De genoemde vertekening in de 40 procent die wèl gereageerd heeft zou wel eens de hoge uitkomsten annex het rooskleurige beeld kunnen veroorzaken.
Het enige waarvoor je dergelijk onderzoek kunt gebruiken is om trends (relatief) te ontdekken door de uitkomsten te vergelijken met die van voorgaande jaren.
En dan heb ik het nog niet over de inhoudelijke vragen die gesteld zijn om e.e.a. te meten. Dat is nog een heel ander verhaal ...

Dat is wel degelijk mogelijk als de passkey als 2e factor wordt gebruikt. Of je dat moet willen is een heel andere discussie.

Ook zo'n leuke. Iemand wel eens de Privacy statements en/of machtigingen gelezen van zulke partijen?
If it's free, you're the product.

Zeg er even bij voor welke software je dit aanbeveelt.

Ik gebruik bijvoorbeeld privé al 24 jaar lang Debian Linux. Bij een normale upgrade (waarbij je niet naar een nieuwere versie van Debian overstapt) krijg je alleen security fixes binnen en geen functionele wijzigingen. En dan is het beeld heel simpel: daar heb ik nog nooit een probleem mee gehad, alles blijft gewoon werken.

De gedachte die bij me opkomt is dat software die het soort voorzorgen vereist die jij noemt misschien niet de meest stabiele is die je zou kunnen kiezen.

Want gebombadeerd worden door (gepersonificeerde) reclame is een betere oplossing?
Dan weet je 100% zeker dat je tegewoordig geprofileerd wordt en het risico loopt dat je machine besmet raakt met ongewenste infecties.
Alles kost uiteindelijk iets. Ook rust en een schoon apparaat.

Mocht je al geprofileerd wordt (bij het gebruik van een ad-blocker), wat dan...
Je ziet geen reclame. Je klikt nergens op.
Dus wie is er dan de echte verliezer: Juist, de bedrijven die die reclame financieren.
Ze betalen voor hits (als die er al zijn), maar verkopen er niets extra's mee.

Het probleem met dit soort enquetes, is dat je er de thuis- of werk-situatie van de persoon die antwoord niet uit kunt opmaken.
Ja ze gebruiken een ad-blocker. Maar alleen dat, of ook nog andere dingen.
Bv een gefilterde DNS-server, PI-hole, VPN, etc, etc

Maar als een ad-blocker volgens jou niet de oplossing is, wat dan wel?
Graag een (simpel) scenario waarmee mensen niet meer geprofileerd worden.
Iets wat iedereen kan toepassen.

Moet je beter opletten bij Wiskunde A , havo/vwo 4 ongeveer.
Als de deelnemers netjes aselect gekozen zijn kun je met dit aantal een foutmarge van ~3 % doen.


De uitkomsten doen me wel een beetje twijfelen hoe representatief het is (niet aselecte respons), maar het aantal is (al) genoeg .

Ligt eraan want er bestaan genoeg mensen die zo'n hekel hebben aan ads dat ze dit vrijwillig doen.

Zelf gebruik ik al heel wat jaren de Yoyo list om advertenties te blokkeren. Deze lijst wordt nog steeds goed bijgehouden en periodiek door mijn DNS server opgehaald. Dit werkt direct voor al mijn devices en ook voor bezoek dat met de telefoon op mijn netwerk zit.

https://pgl.yoyo.org/adservers/

Het is net zo iets als "https sites zijn veilig".
Er is ooit gesuggereerd dat een WiFi zonder wachtwoord onveilig is "omdat anderen dan kunnen meekijken met je verkeer", echter ditzelfde geldt voor een WPA-PSK en WPA2-PSK WiFi als je het wachtwoord weet!
En als het een publieke WiFi is dan is de kans dat anderen het wachtwoord (net als jij) weten natuurlijk heel groot.
Je zou denken dat het wachtwoord alleen gebruikt wordt om te verbinden met het netwerk en dat er daarna een onderhandelde key gebruikt wordt (zoals bij https), maar dat is dus NIET zo, dat gebeurt pas vanaf WPA3-PSK!
Dat weten veel mensen niet, en dan geven ze dat soort rare adviezen als "gebruik WiFi alleen als er een wachtwoord op zit".

En op de telefoon zonder wifi?

14% heeft een specialist aan huis? Haha, zijn ze zelfs specialist? Huren ze iemand in?
Ik wil me best verhuren als specialist aan huis, iemand interesse?

Ooit geleerd van een zeer welgestelde vriendin van me. Minimaal al 30 keer uit elkaar destijds. Die zei toen al, je moet altijd het probleem bij het probleem laten. Wijze woorden. Leave the problem with the problem.

Nou, dat wordt je vaak opgedrongen: Google 'vraagt' dat als je vanaf een andere locatie inlogt dan vanaf je 'gebruikelijke' locatie. En je kan die 'feature' niet uitschakelen. Mijn eerste gedachte altijd: "Wat moeten ze WEER met mijn telefoonnnummer?" En het opgegeven 'nood'e-mailadres is in deze overbodig.
Nou noemde ik een voorbeeld die m.i. geen 2FA waard is. De Google nag wil slechts je locatie en nummer...

Die 91% respondenten is veelal 2FA opgedrongen, wou ik maar zeggen.

Extensies zijn niet de enige manier om advertenties te blokkeren. Pi-hole en AdGuard Home draaien bijvoorbeeld in het netwerk als DNS-server, en bijvoorbeeld Blokada kan op een Android apparaat door een lokale VPN verbinding op te zetten óók advertenties en trackers blokkeren.
Geen extensies nodig; en toch een adblocker.

En gezien lang niet iedere dienst passkeys ondersteund, is het prima mogelijk dat mensen zowel passkeys gebruiken als wisselende wachtwoorden hebben.

Weten die 1336 respondenten wel wat ze invullen…, of was het een soort multiple choice… met een verrassend resultaat…

Waarom niet? Stel je een container voor met even veel pingpongballen als de 18+-bevolking van Nederland, vele miljoenen dus. Stel dat (ik roep maar wat) 38% van die ballen geel zijn en 62% rood. Als die ballen goed door elkaar gehusseld zijn en je ze willekeurig eruit pakt, dan heb je na 1336 ballen willekeurig getrokken te hebben die verhouding heel behoorlijk te pakken.

Het is natuurlijk cruciaal dat ze inderdaad een willekeurige selectie van Nederlanders te pakken hebben, en ik weet niet hoe goed ze dat nou werkelijk voor elkaar hebben. Maar stel dat het klopt, dan zijn er online massa's steekproefcalculators te vinden (laat maar een zoekmachine los op dat woord) waarmee je kan uitrekenen hoe groot je steekproef moet zijn om een bepaalde nauwkeurigheid te halen, en bij sommige kan je ook uit je steekproefgrootte berekenen welke foutmarge die oplevert.

Ga eens met zo'n calculator spelen, zou ik zeggen. Zoek op wat de variabelen die je op moet geven (zoals betrouwbaarheidsinterval en foutmarge) betekenen, en speel ermee, kijk wat de effecten zijn. Zie bijvoorbeeld hoe als de onderzochte populatie klein is de steekproefgrootte nog sterk beïnvloed wordt door de populatiegrootte, maar dat als je met miljoenen mensen te maken hebt een miljoentje meer of minder geen donder meer uitmaakt voor het aantal mensen dat je moet ondervragen om de opgegeven nauwkeurigheid te bereiken.

Het lastige met statistiek is dat het niet intuïtief is. Hoe je uit jezelf denkt dat het zit is typisch niet hoe het werkelijk blijkt te zitten. De evolutie waaruit we voort zijn gekomen heeft niet op statistisch inzicht geselecteerd, het is een van de dingen waar we niet vanzelf intuïtief goed in zijn maar waarin we juist de plank grondig misslaan. Dat spelen met zo'n calculator dat ik je net aanraadde kan helpen een paar muntjes te doen vallen die je niet vanzelf aan boord hebt.

Nooit van VPN gehoord? Ook dan zit ik Virtueel op mijn Private Netwerk.

Ik gebruik nog een prepay sim.
Zodat ik uitsluitend werk met openbare WiFi
Geen vpn geen virus scanner en geen adblocker op mijn smartphone.
Met automatische updates.
En ik controleer soms de lee out van de website als hij er vreemd uit ziet.

Ik gebruik ook per website een ander emailadres (alias) en op "junk" websites een disposable emailadres, beide op een eigen domain, uit de disposable email is niet te herleiden wat mijn naam is. Zo wordt het moeilijker om mij te traceren op basis van een specifieke identifier. Nadeel is dat ik domains lange tijd moet vastleggen, immers als ik overlijd dan komen die domeinen weer vrij, als ik ze maar voor een jaar verleng. Ook gebruik ik een postbus voor pakket en brieven. En ik gebruik niet standaard stock os, dus geen Windows, iOS of Android. Ook gebruik ik een VOIP telefoonnummer ter communicatie aan webshops en ook een "proxy" prepaid telefoonnummer die alle smsjes aan mijn eigen nummer doorstuurt (hoe vaak gebeurt een sim swap niet?)... ik wacht nog op het moment dat SMS serieus ondersteund gaat worden door VOIP. En een VPN met PiHole voor adblocking, interne DNS, op elke apparaat een client, en op m'n netwerk router een l2tp VPN (dus 2 VPN's als een soort chain, wat m'n ISP van mij ziet als IP ziet is niet wat de website van mij ziet). Ook creditcard gegevens kun je tegenwoordig via diverse diensten als "disposable" aanmaken, zodat ze maar 1x te gebruiken zijn. Ach ja, je moet wat om jezelf enigssinds te beschermen bij data lekken en tegen trackers/ hackers/ spam. Tegen de overheid ben je uiteindelijk niet beschermd, maar ik acht mezelf geen crimineel, maar slechts een om privacy bezorgde brave burger.

Ja, ja, die uitspraak kennen we nu langzamerhand wel. Misschien moet je er eens bij stilstaan dat het voor het gros van de 'normale' computergebruiker geen haalbare zaak is om met hostfiles te werken waarmee IP adressen van ad(servers) kunnen worden geblokkeerd. Juist daarom zijn er adblockers ontwikkeld. Het is dus maar wat goed dat zoiets als een 'plug and play' adblocker voor deze zeer grote groep mensen bestaat.

Stel, je gebruikt gratis Adblock Plus. Wat verandert er als je gaat betalen?
Ben je dan niet langer "het product" ?

Adblockers en advertenties vind ik ook zo'n mysterieus concept. Niemand wilt irritante advertenties zien en installeren daarom een adblocker. De meeste mensen kopen zelfs niets meer van de merken die met irritante popups hun favoriete websites vervuilen of hun youtube filmpjes onderbreken. Waarom die bagger dan nog steeds gepushed wordt is me echt een raadsel want het doel wat men kennelijk beoogd wordt er niet mee behaald.

Je gelooft dat "de meeste mensen" precies hetzelfde doen als "ik en mijn twee nerd vriendjes". ?

Dan heb je nogal een bord voor je kop - "de meeste mensen" accepteren reclame gewoon . Tip - help eens wat 'gewone' mensen met hun computer problemen.
Dan zie je dat - schermen vol meuk en het boeit ze niet .

De reclame makers - en bedrijven die het kopen - kennen hun vak beter dan jij. Het werkt. Die paar haters (zoals jij en ik) missen ze niet .

Pro tip voor alle tech-nerds : stop NU met je eigen voorkeuren, kijk-gewoontes, interesses en hobbies als "representatief" inschatten voor 'de meeste mensen' . Daarna snap je veel beter hoe de wereld werkt.

Als je nou je hele leven 'verbaasd' geweest bent over dingen die massaal gekocht worden, massaal bekeken worden , massaal gedaan worden, massaal NIET gedaan worden(Linux op de desktop?) - ergens mag dat kwartje wel gaan vallen dat je eigen voorkeuren blijkbaar een minderheid zijn . En dat je die niet moet gebruiken om te voorspellen wat wel of niet gedaan zal worden.

Kijk maar eens wat een toer het is om AdNauseam in een chromium browsertje geinstaleerd te krijgen.

Of NuTensor development-2 extensie, de opvolger voor de verlaten voorganger.

Het frustreren van ad-blockers is door Google etc. tot "kunst" verheven.

Als de tijden van surrogaat-koffie weer terugkeren, wordt het helemaal leuk.

1336 mensen hebben meegedaan, en dan NIEMAND die denk, goh ik doe er 1 bij zodat ik 1337 heb?

Dan kan ik het onderzoek niet serieus nemen :)

1336 mensen is een heel redelijke sample size voor zoiets. Mits goed gekozen. Vergelijk: een 'spannender' onderzoek als https://www.europeansocialsurvey.org/about/country-information/netherlands/dutch noemt 1500+ als representatief.

Als alleen geinteresseerden in infosecurity reageren: sja... In een onderzoek naar of men wel eens enquetes invult, zal blijken dat 99% wel eens enquetes invult.