Een op de vijf Nederlanders gebruikt de naam van hun huisdier, kind of favoriete voetbalclub in hun wachtwoorden. Dit blijkt uit een onderzoek van Beyond Identity. Voor dit onderzoek werden duizend Nederlanders ondervraagd naar de manier waarop ze wachtwoorden inzetten. Hun antwoorden brengen veel voorkomende valkuilen rond het gebruik van wachtwoorden aan het licht.
Wachtwoorden als beveiliging
Wachtwoorden zijn bedoeld als beveiliging, maar dit blijkt vaak niet te werken. Misbruik van wachtwoorden behoort tot de populairste methoden van cybercriminelen om toegang te krijgen tot bedrijfsnetwerken en gebruikersaccounts van consumenten. Volgens het Verizon Data Breach Investigations Report was 80% van alle beveiligingsincidenten te wijten aan misbruik van zwakke en gestolen wachtwoorden. 15% van de deelnemers aan het onderzoek van Beyond Identity zei dat hun wachtwoord meer dan 5 keer was gestolen.
De onderzoeksresultaten lijken er ook op te wijzen dat veel gebruikers er nog altijd verouderde wachtwoord procedures op nahouden of voorbijgaan aan ‘best practices’ voor veilig toegangsbeheer.
Dat blijkt wel uit het feit dat exact de helft van de respondenten toegaf steeds opnieuw hetzelfde wachtwoord te gebruiken voor meerdere applicaties. 16% deelde wachtwoorden met hun collega’s. Nog eens 25% van alle respondenten gaf toe dat ze geen gebruikmaakten van sterke en unieke wachtwoorden voor de uiteenlopende applicaties die zij voor hun werk gebruikten. Erger nog: 13% wijzigt hun werkgerelateerde wachtwoorden nooit. Bij persoonlijke wachtwoorden zijn de antwoorden nog verontrustender, hier zegt 27% van de ondervraagden hun wachtwoorden nooit te veranderen.
Wachtwoorden vertegenwoordigen een groot beveiligingsrisico
Tom Jermoluk, de CEO van Beyond Identity: “Beveiliging op basis van wachtwoorden is uit de tijd, maar gebruikers blijven eraan vasthouden. Voor bedrijven is het eenvoudig om de schuld bij eindgebruikers neer te leggen, maar dat is niet eerlijk. Wachtwoorden bieden nu eenmaal geen betrouwbare bescherming tegen cyberaanvallen, en het is tijd dat men de noodzaak inziet om hiervan af te stappen. Wachtwoorden vertegenwoordigen een groot beveiligingsrisico, ze maken gebruikers vatbaar voor cyberaanvallen. En dat is niet nodig, want er zijn goede en veilige alternatieven om applicaties te beveiligen.”
Voor het onderzoek werd ook gekeken naar de manier waarop gebruikers hun wachtwoorden opslaan. 21% van de respondenten noteert die ergens. 10% slaat ze op in Word-bestanden op hun computer en 7% e-mailt ze naar zichzelf. Dit is enorm riskant gezien alle onzekerheden die gepaard gaan met de opslag van wachtwoorden, zeker in een tijd waarin er zoveel alternatieve oplossingen voor cybersecurity en toegangsbeveiliging beschikbaar zijn. De respondenten werden gevraagd of de lengte en complexiteit van een wachtwoord volgens hen een teken waren van de veiligheid daarvan. 85% van de respondenten gaf een bevestigend antwoord. 81% was het eens met de stelling dat het regelmatig wijzigen van hun wachtwoorden hun applicaties veiliger maakte. 67% van alle respondenten was het eens met de stelling dat zij in hun wachtwoorden gebruikmaakten van willekeurige woorden in plaats van persoonlijke informatie. 8% was het daar “zeer oneens” mee. 22% was het niet eens met de stelling dat zij willekeurige woorden gebruikten, ondanks het feit dat dit als beveiligingsmaatregel wordt aanbevolen.
“Wachtwoorden zijn intrinsiek onveilig. Het maakt niet uit of gebruikers regelmatig hun wachtwoorden wijzigen of langere wachtwoorden gebruiken. Ook als hun wachtwoord 10 of 1000 tekens lang is of allerhande speciale tekens bevat, kunnen cybercriminelen gebruikers nog altijd met phishing-trucs overhalen om hun wachtwoord prijs te geven. De complexiteit van je wachtwoord is dus irrelevant. Zolang wachtwoorden worden gebruikt zullen ze worden gestolen en gekraakt”, aldus Jermoluk.
Overschatting
Desondanks denkt 70% van alle respondenten dat de wachtwoorden die ze voor werk en privé gebruiken uiterst veilig zijn. Slechts 1% zegt dat ze “absoluut niet veilig” zijn. De grootste bedrijven die aan het onderzoek deelnamen hadden meer dan 5.000 mensen in dienst. Daarmee bestaat de kans dat 50 van hun werknemers gebruikmaken van onveilige wachtwoorden. Dat is meer dan genoeg om de hele organisatie in gevaar te brengen. Een positieve kant van het verhaal is dat de onderzoeksresultaten ook wezen op veranderende houdingen ten opzichte van authenticatietechnologie. 44% van de respondenten zei dat ze zich veiliger zouden voelen bij het gebruik van biometrie of andere vormen van authenticatie dan wachtwoorden. Het feit dat consumenten en bedrijven beginnen te beseffen dat ze andere oplossingen dan wachtwoordbeveiliging nodig hebben is een belangrijke stap in de goede richting.
“Organisaties moeten serieus aan de bak om hun authenticatieprocessen veiliger te maken. De beste oplossing voor problemen met wachtwoorden is om daar volledig van af te stappen. Gartner voorspelt dat 60% van alle multinationals en 90% van alle middelgrote ondernemingen in 2022 gebruik zullen maken van wachtwoordloze beveiliging. Meer dan de helft zal hiervoor een beroep doen op MFA en andere beveiligingsoplossingen. Wachtwoordloze, tegen phishing bestendige multi-factorauthenticatie maakt een einde aan het risico van cyberaanvallen die misbruik maken van wachtwoorden”, zegt Jermoluk.
Over het onderzoek
Het onderzoek werd gehouden onder 4027 werknemers van organisaties met meer dan 250 werknemers in vier regio's: Verenigd Koningrijk, België & Nederland, DACH (Duitsland), en de Nordics (Zweden & Noorwegen). De interviews werden online uitgevoerd door Sapio Research met behulp van een e-mailuitnodiging en een online enquête.
Bron: gartner.com, verizon.com, beyondidentity.com, baaz.nl
Bekijk alle vormen en begrippen
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer actueel nieuws
Oplichting / Cybercrime overzicht week 25-2020
Wat is phishing »
De duistere kant van het internet, sexting, grooming, catfishing en sextortion
Help, mijn borsten staan online laat de donkerste kant van het internet zien waar je pikante selfie plots niet meer privé is, waar de lieve jongen die met je dochter aan het chatten is ineens een man van 57 jaar blijkt te zijn en waar die ene gênante foto het perfecte middel blijkt te zijn om je een paar honderd of duizend euro af te persen. Het lijkt allemaal waarschijnlijk de 'ver weg van je bed show' totdat het je zelf een keer overkomt. Een online horror scenario wat helaas bestaat.
Grenzen waren dicht, als compensatie is er meer gezocht op zowel het normaal internet als op het darkweb
De coronapandemie heeft ertoe geleid dat online seksueel misbruik en uitbuiting van kinderen fors is toegenomen, concludeert Europol in een nieuw rapport. Dat gebeurde in maart en april, de maanden dat veel landen in lockdown waren.
Open bronnen onderzoek als middel
Het ministerie van Justitie en Veiligheid, politie, Openbaar Ministerie (OM), CJIB en Justid hebben de laatste jaren een groot aantal voortvluchtige veroordeelden opgespoord.
Slachtoffers bestolen voor duizende euro's door het scannen van een QR code
Verschillende mensen in Tilburg zijn via QR code fraude voor duizenden euro's bestolen. De daders sloegen onder andere toe bij het station van Tilburg en wisten een taxichauffeur op te lichten.
Australië doelwit van grote cyberaanval
Australië wordt momenteel getroffen door een grote, goed opgezette cyberaanval. Het land is al een aantal maanden het doelwit van hackers. Dat heeft premier Scott Morrison bekendgemaakt tijdens een persconferentie.
Onderzoekers onthullen de werkwijze van de ongrijpbare InvisiMole-groep
Tijdens het onderzoek naar een nieuwe campagne van 'InvisiMole', een aanvallersgroepering waar onderzoekers voor het eerst verslag van deed in 2018, hebben onderzoekers de bijgewerkte toolset van de groep en de tot dan toe onbekende details over de werking ervan aan het licht gebracht.
Aanvallen via LinkedIn profielen op Europese defensiebedrijven
Nepprofielen op LinkedIn zijn gebruikt om Europese defensie- en lucht- en ruimtevaartbedrijven aan te vallen, zo stelt antivirusbedrijf ESET, dat samen met twee getroffen bedrijven een onderzoek uitvoerde. De aanvallers maakten LinkedIn-profielen aan waarmee ze zich voordeden als HR-managers van Collins Aerospace en General Dynamics, twee Amerikaanse bedrijven die defensie- en luchtvaartproducten leveren.
Spoofen en afluisteren e-mail Nederlandse overheden?
Een aanzienlijk deel van de Nederlandse overheden heeft de e-mailbeveiliging nog altijd niet goed op orde en heeft daarmee de derde streef beeld afspraak die eind 2019 afliep niet gehaald. E-mail van ongeveer de helft van de 548 onderzochte overheidsdomeinen is kwetsbaar voor spoofing en/of afluisteren.
“De scholen waren dicht. Er was geen meester of juf om mee te praten”
Het aantal kinderen en jongeren dat hulp zocht bij seksueel misbruik en vragen over seksualiteit is tijdens de intelligente lockdown sterk toegenomen. ‘Er was geen meester of juf om mee te praten.’
Ongewenst geldezel en mogelijk slachtoffer van identiteitsfraude?
Door de coronacrisis zijn veel mensen van hun werkzaamheden beroofd. Thuiswerken is dan een interessante optie om extra inkomsten te genereren. Helaas maken cybercriminelen daar slim gebruik van. Ze proberen met mooie advertenties en websites nietsvermoedende burgers te misleiden.
Universiteit Maastricht was niet goed voorbereid, maar wel adequaat in handelen op Cyberaanval
De Universiteit Maastricht was niet goed voorbereid op de aanval met ransomware, eind vorig jaar. Wel is er adequaat gehandeld bij het afhandelen van de aanval, zo stelt de Inspectie van het Onderwijs na een onderzoek naar de toedracht.