Een op de vijf Nederlanders gebruikt de naam van hun huisdier, kind of favoriete voetbalclub in hun wachtwoorden. Dit blijkt uit een onderzoek van Beyond Identity. Voor dit onderzoek werden duizend Nederlanders ondervraagd naar de manier waarop ze wachtwoorden inzetten. Hun antwoorden brengen veel voorkomende valkuilen rond het gebruik van wachtwoorden aan het licht.
Wachtwoorden als beveiliging
Wachtwoorden zijn bedoeld als beveiliging, maar dit blijkt vaak niet te werken. Misbruik van wachtwoorden behoort tot de populairste methoden van cybercriminelen om toegang te krijgen tot bedrijfsnetwerken en gebruikersaccounts van consumenten. Volgens het Verizon Data Breach Investigations Report was 80% van alle beveiligingsincidenten te wijten aan misbruik van zwakke en gestolen wachtwoorden. 15% van de deelnemers aan het onderzoek van Beyond Identity zei dat hun wachtwoord meer dan 5 keer was gestolen.
De onderzoeksresultaten lijken er ook op te wijzen dat veel gebruikers er nog altijd verouderde wachtwoord procedures op nahouden of voorbijgaan aan ‘best practices’ voor veilig toegangsbeheer.
Dat blijkt wel uit het feit dat exact de helft van de respondenten toegaf steeds opnieuw hetzelfde wachtwoord te gebruiken voor meerdere applicaties. 16% deelde wachtwoorden met hun collega’s. Nog eens 25% van alle respondenten gaf toe dat ze geen gebruikmaakten van sterke en unieke wachtwoorden voor de uiteenlopende applicaties die zij voor hun werk gebruikten. Erger nog: 13% wijzigt hun werkgerelateerde wachtwoorden nooit. Bij persoonlijke wachtwoorden zijn de antwoorden nog verontrustender, hier zegt 27% van de ondervraagden hun wachtwoorden nooit te veranderen.
Wachtwoorden vertegenwoordigen een groot beveiligingsrisico
Tom Jermoluk, de CEO van Beyond Identity: “Beveiliging op basis van wachtwoorden is uit de tijd, maar gebruikers blijven eraan vasthouden. Voor bedrijven is het eenvoudig om de schuld bij eindgebruikers neer te leggen, maar dat is niet eerlijk. Wachtwoorden bieden nu eenmaal geen betrouwbare bescherming tegen cyberaanvallen, en het is tijd dat men de noodzaak inziet om hiervan af te stappen. Wachtwoorden vertegenwoordigen een groot beveiligingsrisico, ze maken gebruikers vatbaar voor cyberaanvallen. En dat is niet nodig, want er zijn goede en veilige alternatieven om applicaties te beveiligen.”
Voor het onderzoek werd ook gekeken naar de manier waarop gebruikers hun wachtwoorden opslaan. 21% van de respondenten noteert die ergens. 10% slaat ze op in Word-bestanden op hun computer en 7% e-mailt ze naar zichzelf. Dit is enorm riskant gezien alle onzekerheden die gepaard gaan met de opslag van wachtwoorden, zeker in een tijd waarin er zoveel alternatieve oplossingen voor cybersecurity en toegangsbeveiliging beschikbaar zijn. De respondenten werden gevraagd of de lengte en complexiteit van een wachtwoord volgens hen een teken waren van de veiligheid daarvan. 85% van de respondenten gaf een bevestigend antwoord. 81% was het eens met de stelling dat het regelmatig wijzigen van hun wachtwoorden hun applicaties veiliger maakte. 67% van alle respondenten was het eens met de stelling dat zij in hun wachtwoorden gebruikmaakten van willekeurige woorden in plaats van persoonlijke informatie. 8% was het daar “zeer oneens” mee. 22% was het niet eens met de stelling dat zij willekeurige woorden gebruikten, ondanks het feit dat dit als beveiligingsmaatregel wordt aanbevolen.
“Wachtwoorden zijn intrinsiek onveilig. Het maakt niet uit of gebruikers regelmatig hun wachtwoorden wijzigen of langere wachtwoorden gebruiken. Ook als hun wachtwoord 10 of 1000 tekens lang is of allerhande speciale tekens bevat, kunnen cybercriminelen gebruikers nog altijd met phishing-trucs overhalen om hun wachtwoord prijs te geven. De complexiteit van je wachtwoord is dus irrelevant. Zolang wachtwoorden worden gebruikt zullen ze worden gestolen en gekraakt”, aldus Jermoluk.
Overschatting
Desondanks denkt 70% van alle respondenten dat de wachtwoorden die ze voor werk en privé gebruiken uiterst veilig zijn. Slechts 1% zegt dat ze “absoluut niet veilig” zijn. De grootste bedrijven die aan het onderzoek deelnamen hadden meer dan 5.000 mensen in dienst. Daarmee bestaat de kans dat 50 van hun werknemers gebruikmaken van onveilige wachtwoorden. Dat is meer dan genoeg om de hele organisatie in gevaar te brengen. Een positieve kant van het verhaal is dat de onderzoeksresultaten ook wezen op veranderende houdingen ten opzichte van authenticatietechnologie. 44% van de respondenten zei dat ze zich veiliger zouden voelen bij het gebruik van biometrie of andere vormen van authenticatie dan wachtwoorden. Het feit dat consumenten en bedrijven beginnen te beseffen dat ze andere oplossingen dan wachtwoordbeveiliging nodig hebben is een belangrijke stap in de goede richting.
“Organisaties moeten serieus aan de bak om hun authenticatieprocessen veiliger te maken. De beste oplossing voor problemen met wachtwoorden is om daar volledig van af te stappen. Gartner voorspelt dat 60% van alle multinationals en 90% van alle middelgrote ondernemingen in 2022 gebruik zullen maken van wachtwoordloze beveiliging. Meer dan de helft zal hiervoor een beroep doen op MFA en andere beveiligingsoplossingen. Wachtwoordloze, tegen phishing bestendige multi-factorauthenticatie maakt een einde aan het risico van cyberaanvallen die misbruik maken van wachtwoorden”, zegt Jermoluk.
Over het onderzoek
Het onderzoek werd gehouden onder 4027 werknemers van organisaties met meer dan 250 werknemers in vier regio's: Verenigd Koningrijk, België & Nederland, DACH (Duitsland), en de Nordics (Zweden & Noorwegen). De interviews werden online uitgevoerd door Sapio Research met behulp van een e-mailuitnodiging en een online enquête.
Bron: gartner.com, verizon.com, beyondidentity.com, baaz.nl
Bekijk alle vormen en begrippen
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer actueel nieuws
'Downtime' kosten met betrekking tot ransomware zijn nu bijna 50 keer hoger dan het geldbedrag
Ransomware is opnieuw de meest voorkomende cyber dreiging voor het MKB (Midden en KleinBedrijf). 60% van de MSP’s meldt dat hun MKB-klanten vanaf het derde kwartaal van 2020 zijn getroffen door een ransomware-aanval. De impact van dergelijke aanvallen blijft daarnaast ook groeien, de gemiddelde kosten van de ontstane downtime zijn nu bijna zes keer hoger dan in 2018 en 94% hoger dan in 2019. De kosten zijn daarmee gestegen van ruim €39.000,- naar meer dan €230.000,-.
Ransomware losgeld betaling Nederlandse bedrijven het hoogste
Nederland scoort wereldwijd hoog wat betreft de bedragen die worden neergelegd bij ransomware aanvallen. Bedrijven in ons land betalen gemiddeld 1,45 miljoen euro losgeld en hebben daarmee de hoogste dwangsom, meldt security leverancier 'CrowdStrike' nu.
Rusland en China voeren een offensief cyber programma tegen Nederland
Nederland spreek Rusland en China achter gesloten deuren aan op onverantwoord cyber gedrag, zo heeft minister Blok van Buitenlandse Zaken aan de Tweede Kamer laten weten. De minister schreef een brief aan de Kamer over internationale rechtsorde in het digitale domein.
Niet alle 'tweestapsverificatie' methodes zijn veilig
'Tweestapsverificatie' of multifactorauthenticatie (MFA) is iets wat me moeten omarmen om onze data en privacy te waarborgen. Met gebruik ervan is niet zonder gevaren. Sommige varianten van MFA zijn veiliger dan andere. Zo is het onverstandig om sms- en gesproken berichten als authenticatie middel te gebruiken, omdat deze via social engineering onderschept kunnen worden door anderen.
Hackshield: "Kinderen hebben de toekomst en die toekomst is digitaal"
Bescherm jezelf en je omgeving tegen online gevaren!
Ransomware weekoverzicht week 46-2020
Er waren afgelopen week niet veel bekende grote ransomware-aanvallen, maar we hebben gezien dat ransomware cybercriminelen hun tactieken ontwikkelden om hun slachtoffers verder af te persen. De grootste aanval deze week was tegen de Taiwanese laptop maker 'Compal', die werd getroffen door DoppelPaymer. De cybercriminelen eisen $ 17 miljoen (14,4 miljoen euro) om een decoderingsprogramma te ontvangen en om geen gestolen bestanden te lekken (doxware).
Cybercrime nieuwsbrief 132 (week 46-2020)
Hoe criminelen miljoenen verdienen middels spoofing, hacks op ziekenhuizen en de gevaren van IoT. Dit en meer lees je in nieuwsbrief 132. Nog niet ingeschreven voor deze gratis nieuwsbrief over cybercrime en darkweb? Schrijf je dan hier in.
Datalek nieuws en overzicht week 46-2020
Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.
Fraudehelpdesk en Opgelicht?! meldingen week 46-2020
Het melden van digitale oplichting pogingen is belangrijk, door het melden kunnen we andere potentiële slachtoffers behoeden voor het te laat is. Heb je een phishing mail, smishing bericht of werd je gebeld en vertrouw je het niet? Laat het ons, of onze collega's van Opgelicht?! of Fraudehelpdesk dan weten want Samen bestrijden we cybercrime. Liever anoniem? Klik dan hier.
Naar schatting 85 miljoen euro aan Covid-gerelateerde goederen en diensten die te koop worden aangeboden op het darkweb
Na Donald Trump's snelle herstel van Covid-19 vorige maand, verschenen er advertenties op het darkweb ('de onderkant van het internet') waarin het medicijn van 'Regeneron Pharmaceuticals Inc.' werd aangeboden waarbij ze beweerden dat dit het 'wondermiddel' was wat de president snel beter maakte. Terwijl het nog niet was goedgekeurd voor openbare verkoop.
"Ze zij zijn hun gewicht in goud waard. Hierdoor konden we twee verdachten op heterdaad aanhouden”
Bank helpdesk fraude en babbeltrucs komen dagelijks voor en heeft een grote impact op de slachtoffers. Dinsdag 10 november was het helaas ook weer raak. Een 70-jarige vrouw uit Dordrecht is het slachtoffer geworden van Bank helpdesk fraude en een poging tot babbeltruc. Door adequaat optreden van de buren van het slachtoffer, konden de verdachten op heterdaad worden aangehouden. Ook in andere babbeltruc zaken in Dordrecht zijn aanhoudingen verricht. Mooie resultaten in impact volle zaken.
De gevaren van IoT zichtbaar in Rotterdam
Tot dinsdagmiddag was het voor iedereen mogelijk om de kleuren van de Erasmusbrug aan te passen via zijn tablet, smartphone of laptop. Door een gat in de beveiliging was het mogelijk om zonder gebruikersnaam en wachtwoord in te loggen op het systeem dat de lichtkleuren regelt. De gemeente Rotterdam heeft het bedieningssysteem uitgeschakeld en contact opgenomen met de leverancier van het systeem om herhaling te voorkomen.