Een op de drie Nederlanders wijzigt wachtwoord nooit
Een op de drie Nederlanders wisselt nooit van wachtwoord; een minderheid wisselt eens per kwartaal al zijn wachtwoorden. Dat blijkt uit onderzoek dat is uitgevoerd in opdracht van ECP, als onderdeel van de bewustwordingscampagne Digibewust.
Uit het onderzoek dat onder circa 750 respondenten werd gehouden, blijkt dat een minderheid regelmatig al zijn wachtwoorden wisselt: een op de drie doet dat zelfs helemaal nooit. Slechts 7 procent zegt eens per kwartaal al zijn wachtwoorden te wijzigen. Tien procent doet dat 'wel eens', terwijl een gelijk aantal respondenten aangeeft eens per kwartaal de meest belangrijke wachtwoorden te wijzigen. Een op de drie wisselt 'wel eens' zijn belangrijkste wachtwoorden.
Ook op de kwaliteit van de wachtwoorden valt het een en ander af te dingen, hoewel een op de vijf aangeeft een moeilijk woord als wachtwoord te gebruiken. Een op de tien Nederlanders gebruikt zijn eigen naam als wachtwoord en evenveel mensen gebruiken die van hun partner of kinderen. Ook namen van huisdieren of data van huwelijken en verjaardagen zijn populair. Dat terwijl meer dan de helft van de respondenten ervan overtuigd is dat ze een sterk wachtwoord hebben. Een op de tien respondenten gebruikt bijna altijd hetzelfde wachtwoord. Doorgaans onthouden mensen wachtwoorden in hun hoofd: ruim de helft van de Nederlanders doet dat. Een op de tien slaat ze op op zijn pc.
Ondanks het twijfelachtige wachtwoordbeleid van de meeste Nederlanders, is het merendeel nog nooit gehackt: 87 procent heeft dat nog nooit hoeven meemaken. Het merendeel van de respondenten, 57 procent, acht de kans dat ze worden gehackt dan ook 'zeer klein'. Slechts 13 procent acht die kans groot tot zeer groot. Zes op de tien mensen zijn bij een hack vooral bang dat aanvallers toegang kunnen krijgen tot hun internetbankieren-account. Vier op de tien zijn bang dat hackers op hun naam goederen kunnen stelen of hun identiteit kunnen aannemen. Een derde is bang voor privacyschending.
Reacties (112)
Het is ondoenlijk om dit zonder hulpmiddelen bij te houden. Ik maak geruime tijd gebruik van 1Password om voor mij unieke wachtwoorden te genereren voor iedere account. Enorm handig.
lekker in een VM werken, scheelt een hoop kopzorgen. gewoon elke dag Reverten die handel 
Leg eens uit dan? Die VM wijzigt je wachtwoorden regelmatig als je dat revert ofzo? Klinkt wel als een mooie werkwijze zo!
Ja, handig! Als een hacker inbreekt zijn de dag daarna alle sporen volledig en grondig verdwenen. Lijkt me ideaal voor elke hacker die geen sporen wil achterlaten. 
Zelf regelmatig maar wat ik bij mijn klanten zie is schokkend, meestal hetzelfde simpele wachtwoord voor meerdere sites en als je het advies geeft om ze te wijzigen nadat ze hun PC weer eens vol hebben staan met malware dan doen ze dit niet.
Pas als de bankrekening echt een keertje leeg is gaan ze nadenken.
Pas als de bankrekening echt een keertje leeg is gaan ze nadenken.
Ik wijzig eens per jaar mijn wachtwoorden, vaak heb ik ook 3 verschillende wachtwoorden voor verschillende gradaties van importance.
De meeste wachtwoorden hebben dan ook nog subwachtwoorden met verschillende cijfer combinaties.
Voor het maken van een veilig wachtwoord maak ik gebruik van de volgende methode:
- Neem een zin die je gemakkelijk kunt onthouden, bijv: Hoor wie klopt daar kinderen?
- Neem alle eerste letters van deze zin en gebruik op de juiste plaatsen leestekens en hoofdletters:
Hwkdk?
Deze methode is vrij eenvoudig te onthouden en toch ook veiliger dan sinterklaas, uiteraard is het gebruik van langere zinnen (en dus wachtwoorden) aan te raden; dit was slechts een voorbeeld.
De meeste wachtwoorden hebben dan ook nog subwachtwoorden met verschillende cijfer combinaties.
Voor het maken van een veilig wachtwoord maak ik gebruik van de volgende methode:
- Neem een zin die je gemakkelijk kunt onthouden, bijv: Hoor wie klopt daar kinderen?
- Neem alle eerste letters van deze zin en gebruik op de juiste plaatsen leestekens en hoofdletters:
Hwkdk?
Deze methode is vrij eenvoudig te onthouden en toch ook veiliger dan sinterklaas, uiteraard is het gebruik van langere zinnen (en dus wachtwoorden) aan te raden; dit was slechts een voorbeeld.
Wat een neuroot moet je zijn om "al je wachtwoorden" eens per kwartaal aan te passen?! Dat kan een normaal mens toch alleen als hij een zeer beperkt aantal accounts heeft of overal hetzelfde wachtwoord gebruikt? Je hebt wachtwoorden op werk, voor je e-mail, voor het inloggen op je computer, voor bankzaken / Paypal, bij webshops, bij overheidswebsites, bij diverse websites, fora en nieuwssites, voor accounts van games, enzovoorts enzovoorts. Ik denk dat ik zonder overdrijven 100 accounts heb met wachtwoorden.
Nu is het al ondoenlijk om voor al die 100 accounts unieke, sterke wachtwoorden te bedenken, maar iedere 3 maanden 100 nieuwe bedenken is al helemaal onmogelijk, zeker als je daarvoor al die websites af moet om een nieuw wachtwoord in te voeren
Daarom heb ik voor webshops bijna altijd 1 wachtwoord (een bepaald aantal random tekens) en een wat sterker wachtwoord dat ik gebruik al dat wachtwoord niet voldoet aan de regels. Alleen als ik ergens echt vaak kom (t.net, Paypal, GMail) heb ik daar een specifiek wachtwoord voor.
@DeMoIT: Nog beter is het mijns inziens om die woorden gewoon te behouden. Misschien geen zinnetje uit een liedje gebruiken, maar gewoon een zin als "De 1L fles is vol". Een eerder nieuwsbericht op T.net onthulde (in de reacties?) al dat wachtwoorden niet werken en zinnen beter werken, vooral tegen woordenboek attacks. En ze onthouden ook nog eens helemaal prima
Nu is het al ondoenlijk om voor al die 100 accounts unieke, sterke wachtwoorden te bedenken, maar iedere 3 maanden 100 nieuwe bedenken is al helemaal onmogelijk, zeker als je daarvoor al die websites af moet om een nieuw wachtwoord in te voeren
Daarom heb ik voor webshops bijna altijd 1 wachtwoord (een bepaald aantal random tekens) en een wat sterker wachtwoord dat ik gebruik al dat wachtwoord niet voldoet aan de regels. Alleen als ik ergens echt vaak kom (t.net, Paypal, GMail) heb ik daar een specifiek wachtwoord voor. @DeMoIT: Nog beter is het mijns inziens om die woorden gewoon te behouden. Misschien geen zinnetje uit een liedje gebruiken, maar gewoon een zin als "De 1L fles is vol". Een eerder nieuwsbericht op T.net onthulde (in de reacties?) al dat wachtwoorden niet werken en zinnen beter werken, vooral tegen woordenboek attacks. En ze onthouden ook nog eens helemaal prima
[Reactie gewijzigd door Grrrrrene op dinsdag 20 november 2012 12:24]
KeePass.Nu is het al ondoenlijk om voor al die 100 accounts unieke, sterke wachtwoorden te bedenken,
Die moet je ook niet bedenken, maar laten genereren.Nu is het al ondoenlijk om voor al die 100 accounts unieke, sterke wachtwoorden te bedenken
...en 100 random wachtwoorden kun je wel onthouden?
@kumquat: Ik gebruik de PW-manager van Mozilla en dat werkt op een vergelijkbare manier, maar ik zie het wel als een single point of failure. Als ik hierboven zie dat mensen hun eigen naam (!) gebruiken als wachtwoord, wat voor veiligheid dwing je als bedrijf dan nog af met je sterke wachtwoorden en iedere zoveel tijd wisselen als de gebruiker thuis een programma als KeePass gebruikt met een zwak master password (want zo lekker snel in te voeren)?
@kumquat: Ik gebruik de PW-manager van Mozilla en dat werkt op een vergelijkbare manier, maar ik zie het wel als een single point of failure. Als ik hierboven zie dat mensen hun eigen naam (!) gebruiken als wachtwoord, wat voor veiligheid dwing je als bedrijf dan nog af met je sterke wachtwoorden en iedere zoveel tijd wisselen als de gebruiker thuis een programma als KeePass gebruikt met een zwak master password (want zo lekker snel in te voeren)?
[Reactie gewijzigd door Grrrrrene op dinsdag 20 november 2012 12:22]
En daar zijn password managers voor uitgevonden.....en 100 random wachtwoorden kun je wel onthouden?
Dus in plaats van 100 passwords te moeten kraken, kraak je er 1 en klaar ben je 
Een aantal (de enige goede in mijn ogen) password managers hebben de mogelijkheid om 2 factor authentication te gebruiken, waardoor die een redelijke hoge veiligheid bieden.
Daarnaast, als je 100 wachtwoorden hebt die je uit je hoofd kent ben je of een genius, of ze zijn gewoon te makkelijk.
Daarnaast, als je 100 wachtwoorden hebt die je uit je hoofd kent ben je of een genius, of ze zijn gewoon te makkelijk.
Dat hoeft niet per definitie, zorg gewoon dat er een logica achter zit
Wat verwachten de meeste website van je wachtwoord:
- Tenminste 1 leesteken
- Tenminste 1 cijfer
- Tenminste 1 hoofdletter
- Tenminste 8 tekens
- maximaal 16 tekens
Dus bedenk een wachtwoord van bijv. 15 tekens
ik noem maar: Cee1b22bd1ce!b2 deze gebruik je voor mail (zorg dat je deze goed onthoud)
vervang voor zaken die gevoelige informatie kunnen bevatten bijv. DigiD alle letters met het opvolgende letter, alle cijfers met het opvolgende letter cijfer en het leesteken met het teken ernaast (gezien vanaf het toetsenbord).
dat geeft Dff2c33ce2df@c3, zo heb je twee bijzonder moelijke wachtwoorden die met een brute force een dag of twee kan duren (ligt er natuurlijk aan waar deze begint en hoe deze is opgesteld) en vrij simpel te onthouden zijn.
en voor fora zoals tweakers gebruik je je eigen naam of iets dergelijks (nee het wachtwoord van mijn tweakers is niet mijn naam) en voor andere dingen die je misschien 1 of 2 keer gebruikt je achternaam doe is gek.
Wat ik wil zeggen is, maak voor jezelf duidelijk wat belangrijk is en wat niet. verdeel dit zoals hierboven al is wordt gezegd in catagorien, zo doe ik dat ook. Bedenk een logica voor een wachtwoord en voila klaar is kees.
Wat verwachten de meeste website van je wachtwoord:
- Tenminste 1 leesteken
- Tenminste 1 cijfer
- Tenminste 1 hoofdletter
- Tenminste 8 tekens
- maximaal 16 tekens
Dus bedenk een wachtwoord van bijv. 15 tekens
ik noem maar: Cee1b22bd1ce!b2 deze gebruik je voor mail (zorg dat je deze goed onthoud)
vervang voor zaken die gevoelige informatie kunnen bevatten bijv. DigiD alle letters met het opvolgende letter, alle cijfers met het opvolgende letter cijfer en het leesteken met het teken ernaast (gezien vanaf het toetsenbord).
dat geeft Dff2c33ce2df@c3, zo heb je twee bijzonder moelijke wachtwoorden die met een brute force een dag of twee kan duren (ligt er natuurlijk aan waar deze begint en hoe deze is opgesteld) en vrij simpel te onthouden zijn.
en voor fora zoals tweakers gebruik je je eigen naam of iets dergelijks (nee het wachtwoord van mijn tweakers is niet mijn naam) en voor andere dingen die je misschien 1 of 2 keer gebruikt je achternaam doe is gek.
Wat ik wil zeggen is, maak voor jezelf duidelijk wat belangrijk is en wat niet. verdeel dit zoals hierboven al is wordt gezegd in catagorien, zo doe ik dat ook. Bedenk een logica voor een wachtwoord en voila klaar is kees.
[Reactie gewijzigd door ReDnAx1991 op dinsdag 20 november 2012 15:29]
En als er iets is waar computers goed in zijn is het logica. Hoe systematischer je het aanpakt, hoe makkelijker het te kraken is.Dat hoeft niet per definitie, zorg gewoon dat er een logica achter zit
Uiteraard niet, dat doet KeePass voor me. Ik onthoud 1 master password, en dat staat nergens opgeslagen....en 100 random wachtwoorden kun je wel onthouden?
Hoe bedoel je, dat dat gekraakt wordt of kwijt raakt? PW manager van je browser lijkt me te volatiel, ik vertrouw liever op een stand alone oplossing zoals KeePass. En die password database kun je natuurlijk op meerdere plekken backuppen (dropbox, ftp, webmail, etc - de passwords zijn encrypted dus daar kan alsnog niemand bij als je die online bewaart).@kumquat: Ik gebruik de PW-manager van Mozilla en dat werkt op een vergelijkbare manier, maar ik zie het wel als een single point of failure.
Met zwakke wachtwoorden op allerlei accounts en websites ben je natuurlijk veel kwetsbaarder dan met supersterke wachtwoorden, die alleen lokaal zijn versleuteld met 1 zwak wachtwoord. Dan moet je al zijn geïnfecteerd met allerlei malware en keyloggers, wil je dan nog de pineut zijn. En daar kun je nog wel wat tegen doen met fatsoenlijke antivirus, firewall, een portable installatie (zodat malware niet zomaar je password database kan vinden via standaard registry keys) en eventueel KeePass runnen vanuit een truecrypt container.wat voor veiligheid dwing je als bedrijf dan nog af met je sterke wachtwoorden en iedere zoveel tijd wisselen als de gebruiker thuis een programma als KeePass gebruikt met een zwak master password (want zo lekker snel in te voeren)?
Ik gebruik inderdaad beide methodes, ook zinnen, maar daarbij is het volgens mij nog wel enigszins "makkelijk" te raden met een dictoniary attack; maar dat kan ook tussen m'n oren zitten 
100? I wish.
Ik heb even gekeken, maar ik heb hier 553 wachtwoorden staan in mijn lastpass database. Het lijkt me inderdaad totaal ondoenlijk om elke 3 maanden mijn wachtwoorden aan te passen. Een snelle rekensom levert op dat ik elke dag 1,5 wachtwoord moet aanpassen. Ik heb echt wel wat anders te doen dan elke dag wachtwoorden staan aan te passen.
Het lijkt mij dan ook inderdaad zinvol om gebruik te maken van 2 factor authentication icm met een password database zoals lastpass. Als er dan een gehacked wordt is het tenminste maar 1 random wachtwoord dat nergens anders gebruikt wordt. Veel plezier ermee
Ik heb even gekeken, maar ik heb hier 553 wachtwoorden staan in mijn lastpass database. Het lijkt me inderdaad totaal ondoenlijk om elke 3 maanden mijn wachtwoorden aan te passen. Een snelle rekensom levert op dat ik elke dag 1,5 wachtwoord moet aanpassen. Ik heb echt wel wat anders te doen dan elke dag wachtwoorden staan aan te passen.
Het lijkt mij dan ook inderdaad zinvol om gebruik te maken van 2 factor authentication icm met een password database zoals lastpass. Als er dan een gehacked wordt is het tenminste maar 1 random wachtwoord dat nergens anders gebruikt wordt. Veel plezier ermee
Ik pak een wachtwoord en verander de cijfers, zo kan ik de boel onthouden. Maar anders is het onbegonnen werk...
Het is voor mij (en denk hier vele andere) onbegonnen werk! Voor letterlijk alles geldt tegenwoordig een wachtwoord met meerdere tekens en dergelijke. Ook ga ik deze niet van iedere site opschrijven op een los blaadje. Zo ben ik een veel gebruiker van het fenomeen 'password recovery'. Vergeet werkelijk de meeste wel, waar ik dan een variatie heb gemaakt op een veel gebruikt wachtwoord, maar deze niet meer kan herinneren! Persoonlijk los ik dit op door op sites met gevoelige informatie een ander mail adres te gebruiken.
Tip: Gebruik een zin als 'wachtwoord' en niet slechts een woord. Voeg een uniek woord toe en vervang een klein gedeelte afhankelijk van de toepassing. Makkelijk te onthouden maar moeilijk te berekenen door een computer.
e.g
"Dit is mijn wachtwoord voor tweakers.net, simkin!123"
"Dit is mijn wachtwoord voor mijn thuisnetwerk, simkin!123"
e.g
"Dit is mijn wachtwoord voor tweakers.net, simkin!123"
"Dit is mijn wachtwoord voor mijn thuisnetwerk, simkin!123"
Het idee is leuk, maar door restricties die websites/apps hebben vaak niet te realiseren.
Spaties worden inderdaad vaak niet toegelaten, maar die kun je ook gewoon weglaten. Sommige websites hebben ook problemen met b.v. backslash-n ( \n ), omdat dit als een enkel teken gesaved wordt. quotes, puntkomma e.d. geven soms ook problemen. De invoer wordt niet goed ge-escaped (controleren op speciale tekens), waarbij \n wordt vervangen door \\n. Dit soort sites zijn volgens mij ook gevoelig voor sql injection (zeker als ; niet wordt afgevangen).
Nadeel van het systeem van Simkin is natuurlijk dat als een password bekend raakt, anderen te raden zijn:
"Dit is mijn wachtwoord voor ING, simkin!123"
Nadeel van het systeem van Simkin is natuurlijk dat als een password bekend raakt, anderen te raden zijn:
"Dit is mijn wachtwoord voor ING, simkin!123"
Dat is ook mijn favoriete manier. Het liefst zonder leestekens en andere wat lastiger in te typen tekens zodat de invoer snel en zonder na te denken gaat maar toch vrijwel niet te kraken is.
Echter wordt volledig ondermijnt door sites met resticties als:
Het paradigma is nog steeds het maken van wachtwoorden die moeilijkt te onthouden zijn voor mensen en geen enkel probleem vormen voor een computer in plaats van andersom.
Overigens denk ik dat de toekomst federated login zal zijn zoals nu al bij Google en Windows Live waarbij het account wordt gebruikt voor allerlei diensten. Net als onze overheid met Digid doet voor alle overheidsdiensten. En uiteraard heb je daar nog steeds risico's zoals de Diginotar affaire, maar je maakt mij niet wijs dat dit onveliger is dan Miep met haar webshop. Bovendien is de kans daar ook veel groter dat als het mis gaat het ook bekend en hersteld wordt.
Het gaat er om om vast te stellen dat jij bent wie je zegt te zijn. De autenticatie gebeurt op 1 plaats die vele malen beter te beveiligen is en ook beveiligd wordt dan al die soms prutserige websites overal. Alleen op die centrale plaats wordt de verificatie gedaan, de sites die het gebruiken krijgen alleen een token waarbij de centrale site garant staat dat jij bent wie je zegt te zijn. De website hoeft dus alleen een beveiligde verbinding te hebben (met bijvoorbeeld OpenID) met die centrale site en er op vertrouwen dat als die site zegt dat jij bent wie je zegt te zijn dat voldoende is.
Je wachtwoord slingert dus niet meer overal rond. Het uitlekken van een wachtwoord bij een baby dump zaak die dan ook gelijk blijkt aan een KPN wachtwoord kan dan niet meer want geen van beide heeft dat wachtwoord dan nog zelf.
Echter wordt volledig ondermijnt door sites met resticties als:
- Wachtwoord mag geen spaties bevatten
- Het wachtwoord moet tussen 8 en 12 tekens zijn
- Het wachtwoord moet numeriek zijn (je echt, die sites bestaan nog!)
- Gebruik van #.,$% en ! is niet toegestaan
- Wachtwoord moet minstens een hoofdletter, kleine letter, cijfer en leesteken bevatten (wat de entropie alleen maar kleinder maakt)
- Wachtwoord is niet sterk genoeg ("correct horse battery staple" bevat namelijk geen leestekens...)
Het paradigma is nog steeds het maken van wachtwoorden die moeilijkt te onthouden zijn voor mensen en geen enkel probleem vormen voor een computer in plaats van andersom.
Overigens denk ik dat de toekomst federated login zal zijn zoals nu al bij Google en Windows Live waarbij het account wordt gebruikt voor allerlei diensten. Net als onze overheid met Digid doet voor alle overheidsdiensten. En uiteraard heb je daar nog steeds risico's zoals de Diginotar affaire, maar je maakt mij niet wijs dat dit onveliger is dan Miep met haar webshop. Bovendien is de kans daar ook veel groter dat als het mis gaat het ook bekend en hersteld wordt.
Het gaat er om om vast te stellen dat jij bent wie je zegt te zijn. De autenticatie gebeurt op 1 plaats die vele malen beter te beveiligen is en ook beveiligd wordt dan al die soms prutserige websites overal. Alleen op die centrale plaats wordt de verificatie gedaan, de sites die het gebruiken krijgen alleen een token waarbij de centrale site garant staat dat jij bent wie je zegt te zijn. De website hoeft dus alleen een beveiligde verbinding te hebben (met bijvoorbeeld OpenID) met die centrale site en er op vertrouwen dat als die site zegt dat jij bent wie je zegt te zijn dat voldoende is.
Je wachtwoord slingert dus niet meer overal rond. Het uitlekken van een wachtwoord bij een baby dump zaak die dan ook gelijk blijkt aan een KPN wachtwoord kan dan niet meer want geen van beide heeft dat wachtwoord dan nog zelf.
En als die ene site of dat ene wachtwoord dan gehacked wordt, is meteen alles gehacked. Handig, ja.
klopt wel denkik ! bij verloren van men wachtwoorden voor welbepaald iets kijk ik gewoon in opgeslagen wachtwoorden in firefox je kan ze onmogelijk allemaal blijven behouden toch
je kan ze onmogelijk allemaal blijven behouden toch 
En dit zal alleen maar erger worden nu browsers als Chrome al je wachtwoorden onthouden.
Bij mij is het zo erg dat ik sommige wachtwoorden als niet eens meer weet, Chrome gelukkig wel
Bij mij is het zo erg dat ik sommige wachtwoorden als niet eens meer weet, Chrome gelukkig wel
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
