Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 112 reacties, 16.372 views •

Een op de drie Nederlanders wisselt nooit van wachtwoord; een minderheid wisselt eens per kwartaal al zijn wachtwoorden. Dat blijkt uit onderzoek dat is uitgevoerd in opdracht van ECP, als onderdeel van de bewustwordingscampagne Digibewust.

Uit het onderzoek dat onder circa 750 respondenten werd gehouden, blijkt dat een minderheid regelmatig al zijn wachtwoorden wisselt: een op de drie doet dat zelfs helemaal nooit. Slechts 7 procent zegt eens per kwartaal al zijn wachtwoorden te wijzigen. Tien procent doet dat 'wel eens', terwijl een gelijk aantal respondenten aangeeft eens per kwartaal de meest belangrijke wachtwoorden te wijzigen. Een op de drie wisselt 'wel eens' zijn belangrijkste wachtwoorden.

Ook op de kwaliteit van de wachtwoorden valt het een en ander af te dingen, hoewel een op de vijf aangeeft een moeilijk woord als wachtwoord te gebruiken. Een op de tien Nederlanders gebruikt zijn eigen naam als wachtwoord en evenveel mensen gebruiken die van hun partner of kinderen. Ook namen van huisdieren of data van huwelijken en verjaardagen zijn populair. Dat terwijl meer dan de helft van de respondenten ervan overtuigd is dat ze een sterk wachtwoord hebben. Een op de tien respondenten gebruikt bijna altijd hetzelfde wachtwoord. Doorgaans onthouden mensen wachtwoorden in hun hoofd: ruim de helft van de Nederlanders doet dat. Een op de tien slaat ze op op zijn pc.

Ondanks het twijfelachtige wachtwoordbeleid van de meeste Nederlanders, is het merendeel nog nooit gehackt: 87 procent heeft dat nog nooit hoeven meemaken. Het merendeel van de respondenten, 57 procent, acht de kans dat ze worden gehackt dan ook 'zeer klein'. Slechts 13 procent acht die kans groot tot zeer groot. Zes op de tien mensen zijn bij een hack vooral bang dat aanvallers toegang kunnen krijgen tot hun internetbankieren-account. Vier op de tien zijn bang dat hackers op hun naam goederen kunnen stelen of hun identiteit kunnen aannemen. Een derde is bang voor privacyschending.

Reacties (112)

Reactiefilter:-11120112+177+214+30
Moderatie-faq Wijzig weergave
1 2 3 ... 7
Tip: Gebruik een zin als 'wachtwoord' en niet slechts een woord. Voeg een uniek woord toe en vervang een klein gedeelte afhankelijk van de toepassing. Makkelijk te onthouden maar moeilijk te berekenen door een computer.

e.g
"Dit is mijn wachtwoord voor tweakers.net, simkin!123"
"Dit is mijn wachtwoord voor mijn thuisnetwerk, simkin!123"
Dat is ook mijn favoriete manier. Het liefst zonder leestekens en andere wat lastiger in te typen tekens zodat de invoer snel en zonder na te denken gaat maar toch vrijwel niet te kraken is.

Echter wordt volledig ondermijnt door sites met resticties als:
  • Wachtwoord mag geen spaties bevatten
  • Het wachtwoord moet tussen 8 en 12 tekens zijn
  • Het wachtwoord moet numeriek zijn (je echt, die sites bestaan nog!)
  • Gebruik van #.,$% en ! is niet toegestaan
  • Wachtwoord moet minstens een hoofdletter, kleine letter, cijfer en leesteken bevatten (wat de entropie alleen maar kleinder maakt)
  • Wachtwoord is niet sterk genoeg ("correct horse battery staple" bevat namelijk geen leestekens...)
Voor al dat soort sites moet je dan weer uitzonderingen maken.

Het paradigma is nog steeds het maken van wachtwoorden die moeilijkt te onthouden zijn voor mensen en geen enkel probleem vormen voor een computer in plaats van andersom.

Overigens denk ik dat de toekomst federated login zal zijn zoals nu al bij Google en Windows Live waarbij het account wordt gebruikt voor allerlei diensten. Net als onze overheid met Digid doet voor alle overheidsdiensten. En uiteraard heb je daar nog steeds risico's zoals de Diginotar affaire, maar je maakt mij niet wijs dat dit onveliger is dan Miep met haar webshop. Bovendien is de kans daar ook veel groter dat als het mis gaat het ook bekend en hersteld wordt.

Het gaat er om om vast te stellen dat jij bent wie je zegt te zijn. De autenticatie gebeurt op 1 plaats die vele malen beter te beveiligen is en ook beveiligd wordt dan al die soms prutserige websites overal. Alleen op die centrale plaats wordt de verificatie gedaan, de sites die het gebruiken krijgen alleen een token waarbij de centrale site garant staat dat jij bent wie je zegt te zijn. De website hoeft dus alleen een beveiligde verbinding te hebben (met bijvoorbeeld OpenID) met die centrale site en er op vertrouwen dat als die site zegt dat jij bent wie je zegt te zijn dat voldoende is.

Je wachtwoord slingert dus niet meer overal rond. Het uitlekken van een wachtwoord bij een baby dump zaak die dan ook gelijk blijkt aan een KPN wachtwoord kan dan niet meer want geen van beide heeft dat wachtwoord dan nog zelf.
En als die ene site of dat ene wachtwoord dan gehacked wordt, is meteen alles gehacked. Handig, ja.
Het idee is leuk, maar door restricties die websites/apps hebben vaak niet te realiseren.
Spaties worden inderdaad vaak niet toegelaten, maar die kun je ook gewoon weglaten. Sommige websites hebben ook problemen met b.v. backslash-n ( \n ), omdat dit als een enkel teken gesaved wordt. quotes, puntkomma e.d. geven soms ook problemen. De invoer wordt niet goed ge-escaped (controleren op speciale tekens), waarbij \n wordt vervangen door \\n. Dit soort sites zijn volgens mij ook gevoelig voor sql injection (zeker als ; niet wordt afgevangen).

Nadeel van het systeem van Simkin is natuurlijk dat als een password bekend raakt, anderen te raden zijn:
"Dit is mijn wachtwoord voor ING, simkin!123"
750 man, lekker representatief.

Wel apart dat veel mensen graag 1 login zien voor meerdere producten, maar aan de andere kant neemt dat de kans op 'volledig' gehacked te worden enorm toe. Als ik 7 verschillende accounts heb met 7 verschillende wachtwoorden, zal het niet makkelijk zijn ze alle 7 ook meteen te kraken, andere kant, met 1 account is het snel gedaan.

Veel mensen beseffen dan niet dat toegang tot email meestal de key is om dan ook meteen toegang te krijgen tot bijna alles. Wachtwoord reset via de email, email box doorspitten op registratie-bevestigingen, mijn email wijzig ik bijna elke maand.
Aantallen maken bij goede onderzoeken tot op zekere hoogte niet uit, als je mensen goed selecteert kan het best representatief zijn.
Een goed onderzoek bevat ook controle vragen die de gekkies er uit filteren.
Als de telegraaf een online onderzoek houdt waar duizenden mensen op af komen zal de uitslag waarschijnlijk heel anders zijn en waarschijnlijk minder representatief.

[Reactie gewijzigd door Soldaatje op 20 november 2012 12:40]

Wat een neuroot moet je zijn om "al je wachtwoorden" eens per kwartaal aan te passen?! Dat kan een normaal mens toch alleen als hij een zeer beperkt aantal accounts heeft of overal hetzelfde wachtwoord gebruikt? Je hebt wachtwoorden op werk, voor je e-mail, voor het inloggen op je computer, voor bankzaken / Paypal, bij webshops, bij overheidswebsites, bij diverse websites, fora en nieuwssites, voor accounts van games, enzovoorts enzovoorts. Ik denk dat ik zonder overdrijven 100 accounts heb met wachtwoorden.

Nu is het al ondoenlijk om voor al die 100 accounts unieke, sterke wachtwoorden te bedenken, maar iedere 3 maanden 100 nieuwe bedenken is al helemaal onmogelijk, zeker als je daarvoor al die websites af moet om een nieuw wachtwoord in te voeren :X Daarom heb ik voor webshops bijna altijd 1 wachtwoord (een bepaald aantal random tekens) en een wat sterker wachtwoord dat ik gebruik al dat wachtwoord niet voldoet aan de regels. Alleen als ik ergens echt vaak kom (t.net, Paypal, GMail) heb ik daar een specifiek wachtwoord voor.

@DeMoIT: Nog beter is het mijns inziens om die woorden gewoon te behouden. Misschien geen zinnetje uit een liedje gebruiken, maar gewoon een zin als "De 1L fles is vol". Een eerder nieuwsbericht op T.net onthulde (in de reacties?) al dat wachtwoorden niet werken en zinnen beter werken, vooral tegen woordenboek attacks. En ze onthouden ook nog eens helemaal prima :)

[Reactie gewijzigd door Grrrrrene op 20 november 2012 12:24]

Nu is het al ondoenlijk om voor al die 100 accounts unieke, sterke wachtwoorden te bedenken
Die moet je ook niet bedenken, maar laten genereren.
...en 100 random wachtwoorden kun je wel onthouden?

@kumquat: Ik gebruik de PW-manager van Mozilla en dat werkt op een vergelijkbare manier, maar ik zie het wel als een single point of failure. Als ik hierboven zie dat mensen hun eigen naam (!) gebruiken als wachtwoord, wat voor veiligheid dwing je als bedrijf dan nog af met je sterke wachtwoorden en iedere zoveel tijd wisselen als de gebruiker thuis een programma als KeePass gebruikt met een zwak master password (want zo lekker snel in te voeren)?

[Reactie gewijzigd door Grrrrrene op 20 november 2012 12:22]

...en 100 random wachtwoorden kun je wel onthouden?
En daar zijn password managers voor uitgevonden..
Dus in plaats van 100 passwords te moeten kraken, kraak je er 1 en klaar ben je ;)
Een aantal (de enige goede in mijn ogen) password managers hebben de mogelijkheid om 2 factor authentication te gebruiken, waardoor die een redelijke hoge veiligheid bieden.
Daarnaast, als je 100 wachtwoorden hebt die je uit je hoofd kent ben je of een genius, of ze zijn gewoon te makkelijk.
Dat hoeft niet per definitie, zorg gewoon dat er een logica achter zit

Wat verwachten de meeste website van je wachtwoord:

- Tenminste 1 leesteken
- Tenminste 1 cijfer
- Tenminste 1 hoofdletter
- Tenminste 8 tekens
- maximaal 16 tekens

Dus bedenk een wachtwoord van bijv. 15 tekens

ik noem maar: Cee1b22bd1ce!b2 deze gebruik je voor mail (zorg dat je deze goed onthoud)
vervang voor zaken die gevoelige informatie kunnen bevatten bijv. DigiD alle letters met het opvolgende letter, alle cijfers met het opvolgende letter cijfer en het leesteken met het teken ernaast (gezien vanaf het toetsenbord).

dat geeft Dff2c33ce2df@c3, zo heb je twee bijzonder moelijke wachtwoorden die met een brute force een dag of twee kan duren (ligt er natuurlijk aan waar deze begint en hoe deze is opgesteld) en vrij simpel te onthouden zijn.

en voor fora zoals tweakers gebruik je je eigen naam of iets dergelijks (nee het wachtwoord van mijn tweakers is niet mijn naam) en voor andere dingen die je misschien 1 of 2 keer gebruikt je achternaam doe is gek.

Wat ik wil zeggen is, maak voor jezelf duidelijk wat belangrijk is en wat niet. verdeel dit zoals hierboven al is wordt gezegd in catagorien, zo doe ik dat ook. Bedenk een logica voor een wachtwoord en voila klaar is kees.

[Reactie gewijzigd door ReDnAx1991 op 20 november 2012 15:29]

Dat hoeft niet per definitie, zorg gewoon dat er een logica achter zit
En als er iets is waar computers goed in zijn is het logica. Hoe systematischer je het aanpakt, hoe makkelijker het te kraken is.
...en 100 random wachtwoorden kun je wel onthouden?
Uiteraard niet, dat doet KeePass voor me. Ik onthoud 1 master password, en dat staat nergens opgeslagen.
@kumquat: Ik gebruik de PW-manager van Mozilla en dat werkt op een vergelijkbare manier, maar ik zie het wel als een single point of failure.
Hoe bedoel je, dat dat gekraakt wordt of kwijt raakt? PW manager van je browser lijkt me te volatiel, ik vertrouw liever op een stand alone oplossing zoals KeePass. En die password database kun je natuurlijk op meerdere plekken backuppen (dropbox, ftp, webmail, etc - de passwords zijn encrypted dus daar kan alsnog niemand bij als je die online bewaart).
wat voor veiligheid dwing je als bedrijf dan nog af met je sterke wachtwoorden en iedere zoveel tijd wisselen als de gebruiker thuis een programma als KeePass gebruikt met een zwak master password (want zo lekker snel in te voeren)?
Met zwakke wachtwoorden op allerlei accounts en websites ben je natuurlijk veel kwetsbaarder dan met supersterke wachtwoorden, die alleen lokaal zijn versleuteld met 1 zwak wachtwoord. Dan moet je al zijn ge´nfecteerd met allerlei malware en keyloggers, wil je dan nog de pineut zijn. En daar kun je nog wel wat tegen doen met fatsoenlijke antivirus, firewall, een portable installatie (zodat malware niet zomaar je password database kan vinden via standaard registry keys) en eventueel KeePass runnen vanuit een truecrypt container.
Nu is het al ondoenlijk om voor al die 100 accounts unieke, sterke wachtwoorden te bedenken,
KeePass.
100? I wish. :P

Ik heb even gekeken, maar ik heb hier 553 wachtwoorden staan in mijn lastpass database. Het lijkt me inderdaad totaal ondoenlijk om elke 3 maanden mijn wachtwoorden aan te passen. Een snelle rekensom levert op dat ik elke dag 1,5 wachtwoord moet aanpassen. Ik heb echt wel wat anders te doen dan elke dag wachtwoorden staan aan te passen.

Het lijkt mij dan ook inderdaad zinvol om gebruik te maken van 2 factor authentication icm met een password database zoals lastpass. Als er dan een gehacked wordt is het tenminste maar 1 random wachtwoord dat nergens anders gebruikt wordt. Veel plezier ermee :P
Ik gebruik inderdaad beide methodes, ook zinnen, maar daarbij is het volgens mij nog wel enigszins "makkelijk" te raden met een dictoniary attack; maar dat kan ook tussen m'n oren zitten :P
De gevaren van het niet periodiek wijzigen van een wachtwoord vallen in het niets bij de gevaren van een zwak wachtwoord of onveilige opslag. Immers, buitgemaakte wachtwoorden worden vaak direct misbruikt, dus periodiek wijzingen is dan als mosterd na de maaltijd.

Daarbij, elke maand je wachtwoord wijzigen leidt alleen maar tot zwakke wachtwoorden of wachtwoorden met een volgnummer of maand/jaar nummer. Het draagt daarmee dus niet bij aan de beveiliging van het account.

Mijn advies: stop met verplicht periodiek wijzigen, maar maak mensen bewust van de noodzaak van een sterk wachtwoord en geef hen advies over hoe ze zo'n sterk wachtwoord kunnen kiezen. Controleer daarnaast of je applicaties de wachtwoorden wel veilig (gehashed met salt) opslaan. Zo niet, neem dan contact op met de ontwikkelaar.

[Reactie gewijzigd door Faeron op 20 november 2012 12:18]

Ben het volledig met je eens, maar "Controleer daarnaast of je applicaties de wachtwoorden wel veilig (gehashed met salt) opslaan. Zo niet, neem dan contact op met de ontwikkelaar." is vaak moeilijk te controleren/laat staan voor een 'standaard' gebruiker.

Er zou eigenlijk een bepaalde instantie of keurmerk moeten komen die bedrijven controleert op hashes/salt/encryptie, etc.
Mee eens.

En als een site zo onveilig is, zodat je eens in de 3 maanden je wachtwoord moet veranderen, is die ook onveilig na 1 seconde.
Sterke wachtwoorden (en sterkte afhankelijk doelsie). En als voor elke site ander ww hebt, kan ie wat mij betreft eeuwig blijven staan.
Maar dan moeten ze wel bij een kraak dat direct wereldwijd melden.
Ik vindt het onzinnig om voor elke site een ander wachtwoord te onthouden, dat is niet te doen.
Elke forum of webwinkel heeft zijn eigen login! Waarom geen gebruik van oAuth of andere Single Sign-on provider? Hoef je minder wachtwoorden te onthouden en kun je die makkelijker veranderen.
Helemaal vervelend zijn de websites die een andere limitatie hebben, zoals een max aantal tekens, juist geen speciale tekens, etc. :(

Op mijn werk heb ik ook al tig verschillende wachtwoorden. En dat zelfs nadat ik op de servers heb ingesteld dat ik met public/private key inlog, anders was het nog meer. 8)7

En dat de kwaliteit van de wachtwoorden slecht was, wist tweakers al: Analyse zwakke wachtwoorden op tweakers :)
Voor echt elke website is wellicht teveel van het goede. Wat wel verstandig is, is om het per 'vertrouwelijkheidsniveau' te doen. Zo heb ik een wachtwoord voor mijn thuis PC en VPS, mijn bankwebsite, een voor overheidswebsite zoals DigiD, een voor werkzaken, een voor persoonlijke websites (CMS-toegang), een voor fora zoals Tweakers en een voor overige interweb bullshit. Daarmee ben ik dus met 'slechts' 7 wachtwoorden klaar.

[Reactie gewijzigd door Faeron op 20 november 2012 12:41]

Daar heb je dus tools voor, zoals al eerder genoemd: LastPass, 1Password, etc. Daarmee maak je inderdaad voor elke service een unieke, sterke login.
Ik snap ook dat hele verander je wachtwoord elke x dagen niet. Enige wat er gebeurd is dat mensen

QWERT1
QWERT2
QWERT3

gaan doen, en alsof dat zoveel veiliger is!

Nee, ik zou veel meer de focus leggen op het niet hergebruiken van wachtwoorden, wat mijn inziens een veel groter probleem is.
Op je werk kan dat meestal niet eens bij een grote organisatie..

daar heb je ook nog regels als "vergelijkbare ww mag pas weer na 5x ww wijzigen", "het nieuwe wachtwoord mag maar max 3 of 5 tekens van het vorige wachtwoord bevatten" e.d.
Klopt... en dan gaan mensen gewoon de maand naam maar gebruiken... Want anders vergeten ze het.
Ik wijzig eens per jaar mijn wachtwoorden, vaak heb ik ook 3 verschillende wachtwoorden voor verschillende gradaties van importance.

De meeste wachtwoorden hebben dan ook nog subwachtwoorden met verschillende cijfer combinaties.

Voor het maken van een veilig wachtwoord maak ik gebruik van de volgende methode:
- Neem een zin die je gemakkelijk kunt onthouden, bijv: Hoor wie klopt daar kinderen?
- Neem alle eerste letters van deze zin en gebruik op de juiste plaatsen leestekens en hoofdletters:
Hwkdk?

Deze methode is vrij eenvoudig te onthouden en toch ook veiliger dan sinterklaas, uiteraard is het gebruik van langere zinnen (en dus wachtwoorden) aan te raden; dit was slechts een voorbeeld.
En dan kun je nog zo'n goed wachtwoord hebben, er zijn soms nog mensen zo stom om netjes de beveiligingsvraag in te vullen. Dan is misschien het wachtwoord niet te raden, maar de naam van je moeder is soms snel genoeg op te zoeken (Facebook o.i.d.)

Zoals het geval was tijdens het stemmen via e-mail in de VS
Je leest vaker in het nieuws dat er ingebroken wordt in systemen en zo je wachtwoord buit wordt gemaakt dan dat mensen je wachtwoord "raden". Denk dat het daarom ook niet zo veel zin heeft om telkens je wachtwoord te wijzigen.
Het probleem is ook het onthouden. Tooltjes als keepass zijn wel leuk, maar niet praktisch voor simpele dingen zoals forum logins. Denk maar aan publieke pc's.
Tooltjes als keepass zijn wel leuk, maar niet praktisch voor simpele dingen zoals forum logins. Denk maar aan publieke pc's.
Eh, even inloggen op Lastpass en je bent klaar? Ik heb een paar honderd (allemaal sterke) wachtwoorden, en heb nooit problemen.
Natuurlijk moet je wachtwoord voor Lastpass oersterk zijn. Ik heb een zeer lang wachtwoord daarvoor, afgeleid uit wat reeksen in mijn paspoort. (Dus niet mijn naam, denk meer aan de cijferreeksen, stempels en dat sort dingen.)
Is dat veilig? Wat als die public PC besmet is?
Dan gebruik je two-factor bij inloggen op andere computers bij Lastpass.
Daarom is het veranderen juist belangrijk.
Het buitgemaakte wachtwoord heeft dan geen nut meer.
Belangrijkst is kies sterke wachtwoorden en gebruik ze niet op meerdere sites. Denk aan Ebay/paypal. die wil je niet hetzelfde hebben.
Daarom is het veranderen juist belangrijk.
Het buitgemaakte wachtwoord heeft dan geen nut meer.
Belangrijkst is kies sterke wachtwoorden en gebruik ze niet op meerdere sites. Denk aan Ebay/paypal. die wil je niet hetzelfde hebben.
Inderdaad. Ik gebruik nooit eenzelfde username/password combo voor sites waar geld in omgaat. Ik zou het niet zo erg vinden als ze mijn tweakers account hacken bijvoorbeeld. Leuk is anders, maar liever mijn tweakers account dan mijn rekening plunderen.

Anderzijds zou ik de wachtwoorden op de belangrijke sites wat vaker moeten wijzigen.
Ja, hoewel Paypal nou toevallig van Ebay is, dus dat maakt misschien wat minder uit...
Ik verander mijn wachtwoord ook maar amper, heb wel overal een verschillend wachtwoord. Als een hacker binnen wilt komen komt hij wel binnen, dat ik de dag ervoor mijn wachtwoord heb verandert zal hem niet uitmaken.
Precies, wachtwoorden veranderen is onzinnig, verschillende random wachtwoorden gebruiken is beter.
En dan met software opslaan en met een hoofdwachtzin beveiligen.
Dat nog niet eens. Ik heb gewoon een systeem :

- Websites/Fora Wachtwoord 1
- Steam Wachtwoord 2
- Origin Wachtwoord 3
- Mail Wachtwoord 4

:)
Ja want als iemand een bruteforce doet op de database van iemand anders waar jij dat wachtwoord gebruikt komt die niet binnen.... |:(
Maar maakt het dan echt uit welk wachtwoord je gebruikt? Ben je dan niet al per definitie kansloos? Het lijkt erop dat hij (net als ik) voor een heleboel troepwebsites wel hetzelfde wachtwoord heeft, maar verder dus een hele andere die niet zo op te lossen is.

[Reactie gewijzigd door Martinspire op 20 november 2012 12:20]

Ja dat maakt uit.... een wachtwoord gebruiken is gewoon achter haalt... Databases worden her en der gehackt dus dat zegt al genoeg. Dat je er niet aan ontkomt om een wachtwoord te gebruiken is een ander verhaal maar zeggen dat een wachtwoord veilig is is natuurlijk onzin. Hoe vaak je hem dan veranderd veranderd daar niks aan en ook niet hoeveel verschillende je gebruikt.
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True