Selecteer een pagina

91 procent van mensen weet dat hergebruik van wachtwoorden onveilig is, maar doet het toch

91 procent van de mensen weet dat het hergebruik van wachtwoorden onveilig is, maar tweederde doet het toch. LogMeIn’s LastPass heeft de resultaten gepubliceerd van zijn derde wereldwijde onderzoek, “The Psychology of Passwords”.

Mensen blijken zich nog altijd niet te beschermen tegen cyberveiligheidsrisico’s, ook al weten ze dat ze dat wel moeten doen.

Veilige logins zijn belangrijker dan ooit in het thuiskantoor. Het wachtwoordgedrag van de gebruikers is de afgelopen jaren echter niet verbeterd. Integendeel, het is eerder slechter geworden.

Het derde globale onderzoek “Psychology of Passwords” toont dat cognitieve dissonantie overheerst: veiligheidsbewust denken blijkt niet te worden vertaald in actie door gebruikers.

Ongewijzigd gedrag creëert nieuwe online beveiligingsproblemen

Het bewustzijn van hackeraanvallen en privacyschendingen neemt jaar na jaar toe, maar het consumentengedrag met betrekking tot wachtwoorden blijft grotendeels ongewijzigd.

91 procent van de ondervraagden weet dat het gebruik van hetzelfde wachtwoord voor meerdere accounts een veiligheidsrisico is. Echter, 66 procent gebruikt nog steeds hetzelfde wachtwoord.

Naarmate mensen meer tijd online doorbrengen, is de evolutie van cyberveiligheidsbedreigingen en ongewijzigde wachtwoordhygiëne een zorg voor de accountbeveiliging.

Het derde wereldwijde rapport, “The Psychology of Passwords”, werd gepubliceerd voor de World Password Day op 7 mei 2020.

LastPass heeft voor het onderzoek in maart 2020 wereldwijd 3.250 volwassenen van 18 tot 60 jaar met meerdere online accounts ondervraagd.

De belangrijkste resultaten in detail:

  • Wereldwijde cyberdreigingen blijven omhoogschieten, maar het wachtwoordgedrag blijft onveranderd
  • Wachtwoordgedrag is grotendeels ongewijzigd gebleven ten opzichte van dezelfde studie uit 2018 – wat tot uiting komt in enig risicovol gedrag.
  • 53 procent van de respondenten heeft de afgelopen 12 maanden hun wachtwoord niet gewijzigd, ook al zijn de gegevensinbreuken openbaar gemaakt.
  • De meerderheid van de mensen is zich er ook van bewust dat het gebruik van hetzelfde wachtwoord voor meerdere accounts een veiligheidsrisico. Toch gebruikt 66 procent van de mensen meestal of zelfs altijd hetzelfde wachtwoord op verschillende platforms.

Veiligheidsbewust denken kan niet worden vertaald in actie

De resultaten laten ook tegenstrijdigheden zien, waarbij de respondenten één ding zeggen en er iets anders voor terugdoen.

  • 77 procent voelt zich geïnformeerd over de beste wachtwoordpraktijken, maar toch probeert meer dan de helft (54 procent) de wachtwoorden te onthouden.
  • Bijna een op de drie (27 procent) schrijft ze zelfs ergens op.
  • Evenzo is 80 procent bezorgd dat hun wachtwoorden kunnen worden gecompromitteerd, maar 48 procent verandert nooit hun wachtwoord tenzij het wordt opgevraagd.

Angst voor vergetelheid is de belangrijkste reden voor het hergebruik van wachtwoorden

De meeste respondenten (66 procent) gebruiken hetzelfde wachtwoord voor meerdere accounts, een stijging van 8 procent ten opzichte van de resultaten van 2018. Waarom?

De angst om inloggegevens te vergeten blijft de belangrijkste reden voor het hergebruik van wachtwoorden (60 procent), gevolgd door de wens om alle wachtwoorden te kennen en te controleren (52 procent).

Een echte paradox: gebruikers willen het overzicht houden over hun wachtwoorden, maar met het herhaalde gebruik van hetzelfde wachtwoord ontlopen accounts hun controle op het gebied van beveiliging tegen hackers.

Bewustwording en gebruik van Multifactor Authenticatie (MFA) neemt toe

Het goede nieuws is dat Multifactor Authenticatie (MFA) alom bekend is en gebruikt wordt. Gelukkig zegt 54 procent dat ze MFA gebruiken voor hun persoonlijke accounts. Slechts 19 procent van de respondenten wist niet wat MFB was. Een belangrijke stap in de richting van goede wachtwoordbeveiliging.

Respondenten zijn ook zeer tevreden over de biometrische authenticatie met behulp van vingerafdrukken of gezichtsherkenning om in te loggen op apparaten of accounts. 65 procent zegt meer vertrouwen te hebben in vingerafdrukken of gezichtsherkenning dan in traditionele tekstpassages. Deze kunnen immers slechts in beperkte mate worden nagebootst en de toegang tot het individu echt op maat maken. Een op tekst gebaseerd wachtwoord kan daarentegen snel worden ontcijferd.

“In een tijd waarin de COVID 19-pandemie ervoor zorgt dat een groot deel van de wereldwijde beroepsbevolking thuis werkt en mensen meer tijd online doorbrengen, zijn de cyberdreigingen waarmee consumenten te maken krijgen op een historisch hoog niveau. Individuen lijken niet te reageren op de bedreigingen die uitgaan van zwakke wachtwoorden en blijven gedrag vertonen dat hun informatie in gevaar brengt”, zegt John Bennett van LogMeIn, het bedrijf dat eigenaar is van LastPass. “Met een paar eenvoudige stappen kunt u het wachtwoordgedrag verbeteren en de veiligheid van online accounts verhogen, of het nu gaat om persoonlijke of professionele accounts. Maak van World Password Day 2020 het keerpunt voor het veranderen van uw wachtwoordgedrag.”

Enquêtemethodologie:

Het onderzoek naar “Password Psychology” werd door het onafhankelijke panelonderzoeksbureau L#ab42 in opdracht van LastPass uitgevoerd tussen 5 en 15 maart 2020.

In totaal zijn er wereldwijd 3.250 volwassenen in de leeftijd van 18 tot 60 jaar met meerdere online accounts ondervraagd.

De deelnemers kwamen uit de Verenigde Staten, Duitsland, Brazilië, Australië, Singapore en het Verenigd Koninkrijk. De resultaten werden, voor zover mogelijk, vergeleken met de in 2018 in opdracht van LastPass uitgevoerde enquête “Psychology of Passwords”.

Wereld Wachtwoord Dag 2020: 8 tips om wachtwoorden sterk en hackers weg te houden

Het is 7 mei 2020 World Password Day. Uit diverse onderzoeken blijkt dat deze dag belangrijk is. Veel mensen beseffen dat ze verkeerd bezig zijn, maar weten niet hoe ze hun wachtwoord gedrag kunnen verbeteren. We hebben 9 tips voor u. Het toverwoord is ‘Layer Up’.

Wat betekent ‘Layer Up’? De term betekent in principe het toevoegen van een andere beveiligingslaag aan je wachtwoorden.

Je kunt een 2FA-laag of een dynamische IP-laag toevoegen aan je wachtwoord om het veel veiliger te maken.

Het eerste wat je echter moet doen is een sterk wachtwoord maken. Sommige mensen hebben de neiging om hun naam, de naam van hun vriendje, de naam van hun ouders, in feite de naam van hun huisdier, een paar keer als wachtwoord te hebben. Dat is duidelijk niet de manier waarop een wachtwoord moet worden gegeven hoe makkelijk ze te raden zijn.

Een wachtwoord moet bijvoorbeeld een mix zijn van heel veel speciale tekens: Bp}H;eF:{*@y(D2I8?2d|G~yf8`8.

Een sterk wachtwoord zou een combinatie moeten zijn van tekens zoals komma’s, procenttekens, haakjes, hoofdletters, kleine letters en cijfers.

8 tips voor een veilig wachtwoord

  1. Een sterk wachtwoord zou een combinatie moeten zijn van tekens zoals komma’s, procenttekens, haakjes, hoofdletters, kleine letters en cijfers.
  2. Maak uw wachtwoord zo lang mogelijk, om het extreem vervelend te maken voor een brute kracht aanvaller om uw wachtwoord te kraken. (Let op, wachtwoorden van ongeveer drie letters kunnen in minder dan een seconde worden gekraakt.)
  3. Gebruik geen woord dat in het woordenboek staat of letters die opeenvolgend op een toetsenbord staan.
  4. Schrijf eerst een willekeurige zin op en voeg dan letter voor letter een hoofdletter, een cijfer of een symbool toe.
  5. Gebruik geen voor de hand liggende gegevens zoals uw naam, geboortedatum, plaats waar u woont in het wachtwoord. Dat alles kan gemakkelijk online worden ontdekt.
  6. Om uw online identiteit veilig te bewaren, moet u uw wachtwoorden regelmatig wijzigen. En gebruik nooit meer hetzelfde wachtwoord.
  7. Enable two-factor authenticatie. Dit zal u helpen, zelfs als uw wachtwoord wordt gecompromitteerd. De hacker heeft namelijk de OTP nodig die u op uw smartphone ontvangt.
  8. Bewaar niet één wachtwoord voor al uw accounts, want dat wordt de hoofdsleutel van uw leven, die bij verlies ernstige gevolgen zal hebben.

Wachtwoordmanagers Keeper, Dashlane, LastPass en 1Password onveilig op Android smartphones. Hackers kunnen de apps eenvoudig manipuleren

De wachtwoordmanagers Keeper, Dashlane, LastPass en 1Password blijken op Android smartphones gemakkelijk te kunnen worden misleid door hackers. De wachtwoordmanagers blijken het moeilijk te vinden om onderscheid te maken tussen legitieme en nep apps.

Dit blijkt uit een onderzoek van onderzoekers van de Universiteit van Genua en het Franse beveiligingsbedrijf Eurecom, getiteld “Phishing attacks on modern Android“.

Wachtwoordmanagers wel veilig op desktopcomputer, niet op Android smartphone

De onderzoekers ontdekten dat de wachtwoordmanagers, die oorspronkelijk werden ontwikkeld voor desktopbrowsers, niet zo veilig zijn op Android smarphones als op desktopcomputers.

De reden hiervoor is dat ze mogelijk logingegevens die voor een website op het mobiele apparaat zijn opgeslagen aan een verkeerde app toewijzen.

Veel wachtwoordmanagers gebruikten alleen de naam van het installatiepakket van de app voor de opdracht.

De namen van de pakketten zijn niet betrouwbaar en kunnen gemakkelijk vervalst worden door fraudeurs.

Kwaadaardige app kan wachtwoordmanager misleiden

Dit leidt tot situaties waarin een kwaadaardige app een mobiele wachtwoordmanager kan misleiden om hem te associëren met een legitieme website.

Screenshots zouden moeten bewijzen dat in tests valse Facebook-apps van verschillende wachtwoordbeheerders in staat waren om de inloggegevens voor het sociale netwerk op te halen.

In de praktijk zouden de getoonde nep-apps blootgelegd worden, maar de onderzoekers benadrukken dat voor echte aanvallen de nep-apps zo ontworpen zouden zijn dat ze niet te onderscheiden zouden zijn van de echte versies.

Keeper, Dashlane, LastPass en 1Password, vroegen hun gebruikers tijdens de tests om hun referenties in te voeren in valse apps

De onderzoekers onderzochten in totaal vijf wachtwoordmanagers. Vier van hen, Keeper, Dashlane, LastPass en 1Password, vroegen hun gebruikers tijdens de tests om hun referenties in te voeren in valse apps.

In Google’s smart lock app bleek de truc met nep-pakket niet te werken. Google smart lock app maakt gebruik van het systeem Digital Asset Links waarmee de authenticiteit van de apps geverifiëerd wordt voor een verbinding tot stand te gebracht wordt.

Wachtwoordmanagers negeren typische phishingsignalen

De onderzoekers bekritiseren in hun onderzoek dat wachtwoordmanagers bepaalde verdachte app-gedragingen die typisch zijn voor phishing lijken te negeren.

Zij voeren de inloggegevens in formulieren in met een transparantie-instelling van 0,01, waardoor de formulieren bijna onzichtbaar zijn.

Formulieren die dezelfde kleur gebruiken voor voorgrond en achtergrond en daardoor bijna onzichtbaar zijn, worden ook bediend. Dit geldt ook voor formulieren die slechts 1 x 1 pixel groot zijn.

Daarnaast werkten de wachtwoordmanagers met instant apps, die eigenlijk alleen voor korte tijd en voor testdoeleinden worden geïnstalleerd.

Volgens de onderzoekers moeten instant apps echter niet worden ondersteund of geclassificeerd als onbetrouwbaar, omdat ze alleen bedoeld zijn voor tijdelijk gebruik.

Voorstellen om veiligheid van wachtwoordmanagers te verbeteren

Om de veiligheid van wachtwoordmanagers te verbeteren, stellen onderzoekers voor dat app-ontwikkelaars in hun apps links naar digitale activa opnemen, die vervolgens door wachtwoordmanagers kunnen worden gebruikt.

Ze hebben Google ook voorzien van een programmeerinterface (API) waarmee leveranciers van wachtwoordmanagementsystemen Digital Asset-links kunnen opvragen om de authenticiteit van apps in hun producten te verifiëren.

Of Google de API zal integreren in Android OS is nog niet bekend.