Het Wachtwoorden als ‘beveiliging’

Gepubliceerd op 8 juni 2022 om 15:00

Een op de vijf Nederlanders gebruikt de naam van hun huisdier, kind of favoriete voetbalclub in hun wachtwoorden. Dit blijkt uit een onderzoek van Beyond Identity. Voor dit onderzoek werden duizend Nederlanders ondervraagd naar de manier waarop ze wachtwoorden inzetten. Hun antwoorden brengen veel voorkomende valkuilen rond het gebruik van wachtwoorden aan het licht.

Wachtwoorden als beveiliging

Wachtwoorden zijn bedoeld als beveiliging, maar dit blijkt vaak niet te werken. Misbruik van wachtwoorden behoort tot de populairste methoden van cybercriminelen om toegang te krijgen tot bedrijfsnetwerken en gebruikersaccounts van consumenten. Volgens het Verizon Data Breach Investigations Report was 80% van alle beveiligingsincidenten te wijten aan misbruik van zwakke en gestolen wachtwoorden. 15% van de deelnemers aan het onderzoek van Beyond Identity zei dat hun wachtwoord meer dan 5 keer was gestolen.

De onderzoeksresultaten lijken er ook op te wijzen dat veel gebruikers er nog altijd verouderde wachtwoord procedures op nahouden of voorbijgaan aan ‘best practices’ voor veilig toegangsbeheer.

Dat blijkt wel uit het feit dat exact de helft van de respondenten toegaf steeds opnieuw hetzelfde wachtwoord te gebruiken voor meerdere applicaties. 16% deelde wachtwoorden met hun collega’s. Nog eens 25% van alle respondenten gaf toe dat ze geen gebruikmaakten van sterke en unieke wachtwoorden voor de uiteenlopende applicaties die zij voor hun werk gebruikten. Erger nog: 13% wijzigt hun werkgerelateerde wachtwoorden nooit. Bij persoonlijke wachtwoorden zijn de antwoorden nog verontrustender, hier zegt 27% van de ondervraagden hun wachtwoorden nooit te veranderen.

Wachtwoorden vertegenwoordigen een groot beveiligingsrisico

Tom Jermoluk, de CEO van Beyond Identity: “Beveiliging op basis van wachtwoorden is uit de tijd, maar gebruikers blijven eraan vasthouden. Voor bedrijven is het eenvoudig om de schuld bij eindgebruikers neer te leggen, maar dat is niet eerlijk. Wachtwoorden bieden nu eenmaal geen betrouwbare bescherming tegen cyberaanvallen, en het is tijd dat men de noodzaak inziet om hiervan af te stappen. Wachtwoorden vertegenwoordigen een groot beveiligingsrisico, ze maken gebruikers vatbaar voor cyberaanvallen. En dat is niet nodig, want er zijn goede en veilige alternatieven om applicaties te beveiligen.”

Voor het onderzoek werd ook gekeken naar de manier waarop gebruikers hun wachtwoorden opslaan. 21% van de respondenten noteert die ergens. 10% slaat ze op in Word-bestanden op hun computer en 7% e-mailt ze naar zichzelf. Dit is enorm riskant gezien alle onzekerheden die gepaard gaan met de opslag van wachtwoorden, zeker in een tijd waarin er zoveel alternatieve oplossingen voor cybersecurity en toegangsbeveiliging beschikbaar zijn. De respondenten werden gevraagd of de lengte en complexiteit van een wachtwoord volgens hen een teken waren van de veiligheid daarvan. 85% van de respondenten gaf een bevestigend antwoord. 81% was het eens met de stelling dat het regelmatig wijzigen van hun wachtwoorden hun applicaties veiliger maakte. 67% van alle respondenten was het eens met de stelling dat zij in hun wachtwoorden gebruikmaakten van willekeurige woorden in plaats van persoonlijke informatie. 8% was het daar “zeer oneens” mee. 22% was het niet eens met de stelling dat zij willekeurige woorden gebruikten, ondanks het feit dat dit als beveiligingsmaatregel wordt aanbevolen.

“Wachtwoorden zijn intrinsiek onveilig. Het maakt niet uit of gebruikers regelmatig hun wachtwoorden wijzigen of langere wachtwoorden gebruiken. Ook als hun wachtwoord 10 of 1000 tekens lang is of allerhande speciale tekens bevat, kunnen cybercriminelen gebruikers nog altijd met phishing-trucs overhalen om hun wachtwoord prijs te geven. De complexiteit van je wachtwoord is dus irrelevant. Zolang wachtwoorden worden gebruikt zullen ze worden gestolen en gekraakt”, aldus Jermoluk.

Overschatting

Desondanks denkt 70% van alle respondenten dat de wachtwoorden die ze voor werk en privé gebruiken uiterst veilig zijn. Slechts 1% zegt dat ze “absoluut niet veilig” zijn. De grootste bedrijven die aan het onderzoek deelnamen hadden meer dan 5.000 mensen in dienst. Daarmee bestaat de kans dat 50 van hun werknemers gebruikmaken van onveilige wachtwoorden. Dat is meer dan genoeg om de hele organisatie in gevaar te brengen. Een positieve kant van het verhaal is dat de onderzoeksresultaten ook wezen op veranderende houdingen ten opzichte van authenticatietechnologie. 44% van de respondenten zei dat ze zich veiliger zouden voelen bij het gebruik van biometrie of andere vormen van authenticatie dan wachtwoorden. Het feit dat consumenten en bedrijven beginnen te beseffen dat ze andere oplossingen dan wachtwoordbeveiliging nodig hebben is een belangrijke stap in de goede richting.

“Organisaties moeten serieus aan de bak om hun authenticatieprocessen veiliger te maken. De beste oplossing voor problemen met wachtwoorden is om daar volledig van af te stappen. Gartner voorspelt dat 60% van alle multinationals en 90% van alle middelgrote ondernemingen in 2022 gebruik zullen maken van wachtwoordloze beveiliging. Meer dan de helft zal hiervoor een beroep doen op MFA en andere beveiligingsoplossingen. Wachtwoordloze, tegen phishing bestendige multi-factorauthenticatie maakt een einde aan het risico van cyberaanvallen die misbruik maken van wachtwoorden”, zegt Jermoluk.

Over het onderzoek

Het onderzoek werd gehouden onder 4027 werknemers van organisaties met meer dan 250 werknemers in vier regio's: Verenigd Koningrijk, België & Nederland, DACH (Duitsland), en de Nordics (Zweden & Noorwegen). De interviews werden online uitgevoerd door Sapio Research met behulp van een e-mailuitnodiging en een online enquête.

Bron: gartner.com, verizon.com, beyondidentity.com, baaz.nl

Meer info over wachtwoorden

Bekijk alle vormen en begrippen

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.

Meer actueel nieuws

Overzicht cyberaanvallen week 51-2021

Internationale it-dienstverlener Inetum getroffen door ransomware, ransomware aanvallen op onderwijs mogen niet lonen en AvosLocker ransomware herstart in veilige modus om beveiligingstools te omzeilen. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.

Lees meer »

Cybercrime nieuwsbrief 189 week 51-2021

Cybercriminelen weer super actief en creatief tijdens de Omikron lockdown, 21 jarige deed “voor de fun” een DDoS aanval op mijnoverheid en Nederlandse drugs export via het darkweb. Dit en meer lees je in nieuwsbrief 189.

Lees meer »

Phishing, nepshop en fraude meldingen week 51-2021

Het melden van 'digitale oplichting' pogingen is belangrijk, door het melden kunnen we andere potentiële slachtoffers behoeden voor het te laat is. Heb je een phishing mail, smishing bericht of werd je gebeld en vertrouw je het niet? Laat het ons, of onze collega's van Opgelicht?!, Radar, Kassa, of Fraudehelpdesk dan weten, want Samen bestrijden we cybercrime / digitale fraude. Ben je slachtoffer geworden van oplichting doe dan 'altijd' aangifte bij de politie.

Lees meer »

Nederlandse drugs export via het darkweb

Het darkweb, het versleutelde gedeelte van het internet, staat vooral bekend als toegangspoort voor online drugshandel. Sinds de komst van Silk Road in 2011, een soort webwinkel voor onder andere drugs, hebben tientallen vergelijkbare marktplaatsen de revue gepasseerd. De belofte was telkens weer hetzelfde: de mogelijkheid tot anonieme handel in illegale goederen en diensten zoals drugs, illegale medicijnen en computervirussen. Die vlieger gaat alleen niet altijd op, want politie en justitie weten toch vaak in te grijpen. Maar er is nog een wereld te winnen, want er zijn ook een aantal blinde vlekken.

Lees meer »

Cybercriminelen weer super actief en creatief tijdens de Omikron lockdown

Cybercriminelen versturen op grote schaal phishingmails om een slaatje te slaan uit de huidige lockdown. In een e-mail, die zogenaamd van de Rijksoverheid afkomstig is, worden ondernemers, culturele instellingen en gezinnen gevraagd om een ‘steunpakket’ aan te vragen. In werkelijkheid is het een list om bankrekeningnummers en andere persoonlijke gegevens buit te maken.

Lees meer »

Belgisch ministerie van Defensie getroffen door zware cyberaanval

Het Belgisch ministerie van Defensie is slachtoffer geworden van een aanval waarbij er gebruik is gemaakt van de recent ontdekte kwetsbaarheid in loggingsoftware Log4j, ook bekend als Log4Shell. Door de aanval is een deel van het defensienetwerk voorlopig niet bruikbaar, zo laat een woordvoerder tegenover VRT NWS weten. Zo is het mailsysteem al enkele dagen offline.

Lees meer »