'Non-experts zien patches zelden als belangrijkste manier van beveiliging'

Respondenten die geen internetexperts waren, noemden in een onderzoek van Google in slechts twee procent van de gevallen patches als een van de belangrijkste manieren om de computer te beschermen.

Internetgebruikers die geen expert zijn, zien systeemupdates niet als topprioriteit om de computer te beschermen tegen malware, zo concludeert de internetgigant. Bij een andere groep respondenten, die Google labelt als experts, zei 35 procent van de respondenten dat zij het installeren van softwarepatches zien als een van de top drie manieren om de computer veilig te houden. Dat blijkt uit een onderzoekspaper die Google donderdag online heeft gezet.

Het percentage van 2 komt uit de vraag wat mensen zien als de drie belangrijkste manieren om online 'veilig' te blijven. Experts noemen naast het updaten van het systeem het gebruiken van unieke wachtwoorden en het toepassen van tweetrapsauthenticatie als belangrijkste factoren, terwijl de niet-experts op de proppen kwamen met gebruik van antivirus, gebruik van sterke wachtwoorden en het bezoeken van alleen bekende websites.

Google ondervroeg 230 experts en 294 niet-experts, die het vond via Amazon Mechanical Turk. Alle respondenten woonden in de Verenigde Staten en hadden op de Amazon-dienst al minstens 500 taken gedaan.

Lees meer

IT-banen

Reacties (92)

Dual Infinity 23 juli 2015 15:43

Bij een andere groep respondenten, die Google labelt als experts, zei 35 procent van de respondenten dat zij het installeren van softwarepatches zien als belangrijke manier om de computer veilig te houden.

Dit is erg misleidend. Het hele artikel eigenlijk.

Uit het paper: "What are the 3 most important things you do to protect your security online?"
Dat betekent iets heel anders dan "Wat doe je om jezelf online veilig te houden?".

Het is niet dat slechts 35% van de experts patchen als belangrijk beschouwden, maar dat 35% van de experts patchen in hun top-3 beveiligingshandelingen hadden staan.

edit: adviezen --> beveiligingshandelingen

[Reactie gewijzigd door Dual Infinity op 24 juli 2024 02:24]

MAX3400 @Dual Infinity • 23 juli 2015 16:10

Ongeacht de zinsnede; ik vind de uitkomsten schokkend en voornamelijk ingegeven door de hype van de bank, de overheid en andere generaliserende adviezen (zoals een Computer!Totaal) voor de consumenten.

Virusscanner? Tja, dat werkt heel goed als de signatures up-to-date zijn maar recentelijk hebben we voldoende artikelen & topics gezien over cryptoware.

Wachtwoorden wijzigen? Vorige maand "Juni2015!" naar deze maand "Juli2015!". En waarschijnlijk dan alleen voor accounts die men dagelijks gebruikt. Weinig mensen denken eraan om bijvoorbeeld het wachtwoord van hun OS te wijzigen of het wachtwoord van hun creditcard-inlog bij https://www.icscards.nl Ook is het wijzigen van wachtwoorden voor je DigiD of je hypotheek-verstrekker natuurlijk omslachtig & lastig "want je logt maar 1x per jaar in".

Onderzoeken naar veiligheid en de resultaten zijn geheel anders dan het bewustzijn van veiligheid; schiet op een willekeurige dag iemand aan bij de Mediamarkt die 2 instap-laptops aan het bekijken is en grote kans dat je hele andere/schuinere uitslagen gaat krijgen dan wat hierboven in het artikel staat.

[Reactie gewijzigd door MAX3400 op 24 juli 2024 02:24]

Verwijderd @MAX3400 • 23 juli 2015 16:35

Systeem updates gaan automatisch. Het is dus niet iets waar de consument bij nadenkt noch bij na hoeft te denken. De focus van de consument op de genoemde gebieden is helemaal niet zo slecht. Er zou wat meer aandacht mogen zijn voor SSL, maar voor de rest zie ik weinig verbeterpunten.

lepel @Verwijderd • 23 juli 2015 17:53

Mijn ervaring is dat mensen updates vooral vervelend vinden en zelfs bang zijn iets te verpesten door te updaten. Denk aan de bloatware die bij een Flash update gestopt word (McAfee). Mijn ouders hebben geregeld te horen gekregen "Aah waarom staat dit op de computer? Heb je dat vinkje niet uitgezet?" waarna ze niet meer zelf durven te updaten.

Zij zien een update niet als een toevoeging aan de beveiliging en stabiliteit van een programma, maar als een niet verplichte functionele toevoeging. "Waarom moet ik updaten, het werkt toch?"

Updaten zit vaak vol kuilen en gaten, het risico dat bepaalde dingen niet meer compatible zijn, de eerder genoemde bloatware, etc. Dat eerste kun je natuurlijk niet voorkomen maar ik vind het schandalig dat een bedrijf als Adobe een (hopelijk binnenkort niet meer) essentieel programma als Flash zo bundeld met "reclame". Want ja, zij krijgen er een leuke cent voor.

Ik zal dadelijk maar weer eens de Mac van mijn ouders gaan updaten. Volgens mij zitten ze nog niet eens op de nieuwste versie van OSX.

[Reactie gewijzigd door lepel op 24 juli 2024 02:24]

NBK @lepel • 23 juli 2015 18:33

Mijn ouders zijn geen admin meer op hun PC. Windows update netjes zichzelf maar de rest moet ik af en toe zelf updaten.
Maar het betekend ook dat het vrijwel onmogelijk is dat er per ongeluk iets anders word geïnstalleerd. Het scheelt bij mij een hoop ellende en me ouders ook trouwens

lepel @NBK • 23 juli 2015 20:56

Klopt, maar voor de gemiddelde consument werkt dat dus voor geen meter. Er zijn genoeg mensen die niet even iemand hebben die alles voor ze komt doen. En zou zou het ook niet moeten werken.

Ik heb er zelf geen magische oplossing voor, het is ook onwenselijk dat er straks een instituut regelgeving voor gaat maken en gaat bepalen wat er wel en niet mag. Richtlijnen zouden mooi zijn met het afraden van software die dingen flikt zoals Adobe met Flash.

Helaas draait de wereld op reclame

[Reactie gewijzigd door lepel op 24 juli 2024 02:24]

Ron020 @NBK • 23 juli 2015 23:39

Mijn ouders zijn geen admin meer op hun PC. Windows update netjes zichzelf maar de rest moet ik af en toe zelf updaten.

Je zou bijv Secunia PSI kunen installeren. Dat richt zch alleen op security patches, niet op iedere feature update die uitkomt.
Voor systemen die je vaak 'ziet' zou je versie 2.0 kunnen nemen, voor systemen die het automatisch zonder jou moeten doen versie 3.0 (zie kommentaar op voornoemde pagina)

Thc_Nbl @NBK • 24 juli 2015 11:55

tip...

www.ninite.com voor 10 dollar updaten zonder er naar om te kijken.
en je stelt zelf je software (installatie/update) pakket samen.

Lefty_BlueHand @lepel • 23 juli 2015 18:02

Dat is idd zo. Ik hoor het bij mij in de winkel ook vaak. Internet is voor veel mensen een mijnenveld zonder waarschuwingsbordjes tegenwoordig

kidde @Verwijderd • 23 juli 2015 19:59

Systeem updates gaan automatisch.

Was het maar zo. Android wordt zelden geupdate, qua updates vind ik dit een zéér slecht systeem maar ik werk er toch dagelijks mee.

De router die ik verstrekt heb gekregen van mijn provider, geen idee of dat ding ooit geupdate wordt. Grote kans van niet. Waarschijnlijk is deze zo lek als een mandje, dat schijnen de meeste "niet-OpenWRT"-routers te zijn.
De draadloze elektriciteitsmeter zou ik niet eens weten op wat voor systeem het draait.

calvinturbo @kidde • 23 juli 2015 22:32

Ha. Grapjas. Android apparaten krijgen automatische updates van de Play Store en Play Services waarbij die laatste nog wel eens beveiligingslekken patcht of nieuwe beveiliging toevoegt. Ook worden in principe apps van derden automatisch geüpdate. Jammer dat de meeste OEMs niet het systeem als geheel netjes up-to-date houden, maar jouw reactie is te kort door de bocht.

kidde @calvinturbo • 26 juli 2015 23:57

Het gaat erover dat Android niet automatisch geupdate wordt, u heeft het slechts over de zelf geinstalleerde applicaties. Het zal me worst wezen dat ik de nieuwste Angry Birds heb (bij wijze van spreken) als ik een oude kwetsbare kernel en stock-browser heb van Android met lekke SSL, daar gaat het natuurlijk over. Dat de appjes wel updaten leuk en aardig maar totaal nutteloos als de kern zo lek als een zeef is.

Verwijderd @Verwijderd • 24 juli 2015 08:52

@ ChicaneBT:

Systeem updates gaan automatisch?

Alleen als de de gebruiker dat instelt bedoelt u zeker?

We hebben het hier volgens het artikel over de belangrijkste manieren om de computer te beschermen.

Het Gros van de Computers draait immers op Windows en daar gaat dit dus zeker niet op.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 02:24]

Auteur

arnoudwokke Redacteur Tweakers @Dual Infinity • 23 juli 2015 15:59

Dank voor de opmerking

Uit het artikel

Het percentage van 2 procent komt uit de vraag wat mensen zien als de drie belangrijkste manieren om online 'veilig' te blijven.

Mocht je opmerking zijn: 'ik zie wel terug in het artikel dat het gaat om de top 3 beveiligingshandelingen, maar eigenlijk zie ik dat net iets te weinig', dan had ik daarop kunnen antwoorden: 'ik heb er niet bij stilgestaan dat het te weinig zou zijn, voor de zekerheid zet ik het nog even in de inleiding'.

Ik neem tenminste aan dat je dit bedoelt. Het hele artikel misleidend noemen zie ik dan maar als ongelukje (al vind ik die opmerking erger dan dat nu uit deze reactie blijkt).

lappro @arnoudwokke • 23 juli 2015 16:26

Een groot probleem is dat de titel van de grafiek niet overeenkomt met de inhoud van die grafiek.
Die titel zegt namelijk dat maar 35% van de experts software updates doet, terwijl de data zegt dat maar 35% het in de top-3 heeft staan van prioriteit.

Dit verklaart ook waarom in de comments mensen los gaan over waarom zo weinig experts updates doen: Olaf van der Spek in 'nieuws: Onderzoek Google: non-experts zien patches zelden als manier van beveiliging'

Croga

@arnoudwokke • 23 juli 2015 16:26

Zelfs dan blijft de titel erg stemmingmakend Arnoud. Meer van het niveau telegraaf dan het niveau wat we hier gewend zijn.

Het feit dat mensen iets niet in hun top-3 hebben staan betekend niet dat ze het "zelden zien als manier van beveiligen".

Het feit dat pannekoeken niet in mijn top-3 favoriete gerechten staan betekend niet dat ik ze niet lekker vindt.....

stresstak @Croga • 23 juli 2015 17:05

Het feit dat pannekoeken niet in mijn top-3 favoriete gerechten staan betekend niet dat ik ze niet lekker vindt.....

Een journalistieke variant hierop is: 'Volgens experts zijn pannenkoeken helemaal niet het lekkerste.' Zoals vaak gedacht.

Verwijderd @stresstak • 23 juli 2015 18:25

Maar pannenkoeken zijn absoluut het lekkerst. Daarnaast patch ik deze regelmatig met suikerstroop en fragmenteer ik het geheel in stukjes. Daarnaast doe ik regelmatig een veiligheidscheck (maatregel in de vorm van blazen), want niemand wilt een hete pannenkoek in de mond.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 02:24]

Dual Infinity @arnoudwokke • 23 juli 2015 23:01

Als inhoudelijke aanvulling nog:
De vraagstelling van de onderzoekers leidt van nature tot misleidende resultaten. Feitelijk gaat het om een ranked voting system: https://en.wikipedia.org/wiki/Ranked_voting_system

Voting systems lijken simpel, maar het perfecte voting system bestaat nog niet. D.w.z. dat er geen enkel voting system bestaat dat aan alle criteria voldoet waaraan je wil dat een voting system voldoet. Zie hier voor hoe complex het kan zijn (vooral de tabel):
https://en.wikipedia.org/...ng_systems_using_criteria
Dit zijn dan ook nog eens criteria die met name om de 'winnaar(s)' gaan.

Ranked voting is in het geheel niet geschikt om de absolute waardering voor de items juist weer te geven of te achterhalen. Neem concreet het voorbeeld van antivirus-software als beveiligingsmechanisme. In de grafiek lijkt deze bij experts 'laag' te scoren. Toch gebruikt volgens het paper 65% van die experts antivirussoftware. Dat laatste lijkt het eerste toch tegen te spreken. Als je bedenkt dat ranked voting alleen een onderlinge ordening oplevert en niets zegt over de individuele waarderingen, dan is die tegenspraak volstrekt logisch. Als mensen een top 3 van alleen maar geweldige dingen moet geven, dan is het laagst 'scorende' nog steeds geweldig.

Nog relevanter is dat dit soort inzichten ook allang bestaan in (vooral) de (sociale) wetenschap, specifiek als het gaat om het opstellen van vragen in een survey. Vooral de resultaten daarvan juist interpreteren gaat vaak mis. Voor een voorbeeld zie bijvoorbeeld hier:
http://www.greatbrook.com/survey_question.htm

Technisch gezien zou het beste zijn geweest om de open 'top 3 beveiligingsmaatregelen'-vraag wel te stellen, en de resultaten daarvan vervolgens in een vervolgonderzoek te gebruiken en dan per (eerder veelgenoemd) item te vragen hoe belangrijk men die maatregel vond/hoe vaak men die toepaste, etc. Het suffe is dat ze dat precies zo gedaan hebben, maar in het vervolgonderzoek ook bijna precies dezelfde vraag is gesteld en dat te veel van de weergegeven resultaten in het paper daarom draaien (misleidend ;-) ).

Als je Figure 3 ziet, dan is de mening van experts over bepaalde maatregelen veel duidelijker weergegeven dan in de ranking-grafiek (Figure 1). Het is spijtig dat het equivalent van de non-experts er niet in staat, maar puur kijkende naar Figure 4 en 5, zie je al dat de non-experts eigenlijk nog best wel on board zijn met software updates.

Anyway, het kost natuurlijk tijd en moeite om dit soort dingen juist te interpreteren en het meest inzichtelijke en accurate eruit te halen en weer te geven. Dat is niet makkelijk en vaak ook weinig spectaculair of winstgevend. Wat mij betreft is het echter wel een kerntaak van (goede) journalisten.

koelpasta @Dual Infinity • 24 juli 2015 23:58

... wou het net zeggen.
Arnoud, heb je het gelezen?

Als toevoeging wil ik zeggen dat de titel gewoon fout gekozen is.
Jullie brengen het alsof er iets mis is met de gedachtegang van niet-experts terwijl dat niet hardgemaakt wordt in het artikel. Of komt uit dat onderzoek naar boven dat voor thuisgebruikers patchen de belangrijkste methode zou moeten zijn?
Erg suggestief dus.

Dual Infinity @arnoudwokke • 23 juli 2015 21:49

Mocht je opmerking zijn: 'ik zie wel terug in het artikel dat het gaat om de top 3 beveiligingshandelingen, maar eigenlijk zie ik dat net iets te weinig', dan had ik daarop kunnen antwoorden: 'ik heb er niet bij stilgestaan dat het te weinig zou zijn, voor de zekerheid zet ik het nog even in de inleiding'.

Ik neem tenminste aan dat je dit bedoelt. Het hele artikel misleidend noemen zie ik dan maar als ongelukje (al vind ik die opmerking erger dan dat nu uit deze reactie blijkt).

Tja, vat het niet persoonlijk op. De titel van het artikel en de titel van de grafiek zijn beide (nog steeds) objectief gezien onjuist.
"non-experts zien patches zelden als manier van beveiliging" --> Simpelweg feitelijk onjuist. Valt niets anders van te maken (als je vindt van wel, dan zul je met een citaat moeten komen).

Goeie journalistiek bedrijven is moeilijk, maar ontzettend belangrijk. Again, vat de kritiek niet persoonlijk op. Het beste paard struikelt wel eens en kritiek is alleen maar motivatie om in de toekomst nog betere artikelen te schrijven (al leiden de tegenwoordige incentives voor de gemiddelde webjournalist volgens mij tot een heel ander soort 'beter' dan ik bedoel

Auteur

arnoudwokke Redacteur Tweakers @Dual Infinity • 24 juli 2015 07:57

Iedereen dank voor de opmerkingen: ik heb de kop en de titel van de grafiek aangepast (vooral die laatste is nog een heel gedoe, omdat het alleen kan op desktop en laptop - en daar ben ik in mijn vrije tijd niet altijd bij in de buurt

)

Het punt is niet dat ik het persoonlijk opvat, het punt is dat veel mensen goede opmerkingen maken, maar daar veel te brede conclusies aan verbinden.

Bijvoorbeeld feedback die als volgt klinkt: 'In dit artikel lijkt X onjuist, dit hele artikel is misleiding'
'Zin Y is onduidelijk opgeschreven, Tweakers doet aan stemmingmakerij'
'Kop Z bevat een onjuistheid, Tweakers is in zijn geheel van Telegraaf-niveau!'

Veel reacties hier zijn gesteld op deze wijze. Ik vat dat niet zozeer persoonlijk op, maar ik hoop dat mensen nadenken voordat ze op 'plaats reactie' klikken.

Zie, wij waarderen alle feedback aan de hand waarvan wij artikelen beter kunnen maken. Foutjes kunnen we maken en bij verschil van inzicht kunnen we daarover een discussie hebben. Zoals je zelf terecht zegt: iedereen maakt wel eens foutjes.

Als je iets constateert, en je hebt de keuze dat toe te schrijven aan een foutje of een redactionele strategie om het niveau van artikelen doelbewust naar beneden te halen - dan is het eigenlijk altijd een foutje.

Want wij maken fouten. Wij maken - vooral in nieuws - best veel fouten zelfs. Veel meer dan we zelf willen. Nieuws is per definitie iets dat we relatief snel schrijven en waarvoor niet altijd eindredactie beschikbaar is.

Bij elke kritiek kun je je bedenken dat wij naast schrijvers op Tweakers ook lezers zijn. Wij zijn niet andere mensen dan de mensen die hier reageren op artikelen en wij willen hetzelfde: een nog beter Tweakers. Wij willen niet misleiden en doen dat in elk geval dus nooit opzettelijk, wij doen niet aan stemmingmakerij en wij bedrijven journalistiek anders dan de Telegraaf dat doet.

Mocht het door fouten die je hebt gevonden lijken alsof het anders is, hoop ik dat iedereen zich dat bedenkt voor hij of zij op Plaats Reactie klikt. Wij maken dagelijks de nodige fouten en meestal komen die door slordigheid, heel soms door onkunde. Maar het komt in elk geval nooit voort uit de wens om te misleiden of stemming te maken.

Voor het overige: blijf ons vooral wijzen op foutjes en blunders. Het is voor ons ontzettend waardevol en het maakt Tweakers - in elk geval in mijn ogen - de site met de allerbeste reacties en het allerbeste forum in de Benelux en ver daarbuiten

Dual Infinity @arnoudwokke • 24 juli 2015 08:42

Ik snap de gedachte, maar:
1. De reacties van andere mensen ga ik hier even niet op in (al zie ik dat punt 2 hieronder ook op soortgelijke manier geldt voor hun reacties).

2. Ik zei: "Dit [stukje tekst] is erg misleidend. Het hele artikel eigenlijk." en niet "In dit artikel lijkt X onjuist, dit hele artikel is misleiding" (het verschil is subtiel, doch significant). Dat je mijn originele tekst niet citeert, maar parafraseert (onnodig, copy-paste is niet zo moeilijk) is een indicatie dat je positie eigenlijk niet zo sterk is. Het is een mini-stromannetje.
Zoek de definities van 'misleiding' en 'misleidend' maar eens op. De laatste is veel minder beladen met een intentie dan de eerste, en kan ook simpelweg als een objectieve karakterisering van het effect van een stuk tekst gebruikt worden. Anders gezegd: iets kan per ongeluk misleidend zijn, maar misleiding is in principe altijd bewust.
Verder is ook 'lijkt X onjuist' een misrepresentatie van wat er in het artikel aan de hand was. 'objectief gezien onjuist' != 'lijkt onjuist'.

3. Als er op 1 klein plekje in een artikel een juiste interpretatie van de resultaten staat en de titel, de bijbehorende grafiek, en de rest van de tekst objectief gezien een onjuiste interpretatie weergeven of stimuleren, dan is het volstrekt legitiem om het artikel als geheel misleidend te noemen. Laat ik het zo stellen: zou jij, als je een sterretje in een artikel zag en onderin in kleine lettertjes "Niets in dit artikel is waar" of "Advertorial" zag staan het artikel niet in z'n geheel als misleidend bestempelen?

Over de intentie: ik denk dat er soms expliciete druk is op journalisten om te 'scoren', maar ik denk daarnaast ook dat (zoals elders gezegd) er natuurlijke incentives en beperkingen zijn die de journalistieke kwaliteit van journalisten niet volledig tot uiting laten komen. Ik kan me niet voorstellen dat zelfs de vroomste journalist er niet om geeft hoeveel mensen zijn artikel hebben gelezen. Het is immers directe positieve feedback en mensen zijn daar van nature helemaal verzot op (Like!). De hoeveelheid en aard van die feedback kan de vorm van het volgende artikel beïnvloeden.

Als ik koppen (van eenzelfde gebeurtenis) op nu.nl en op Tweakers vergelijk, dan heeft Tweakers vaak een veel genuanceerdere kop die veel dichter bij de waarheid ligt. In die zin geloof ik helemaal dat er geen enkele kwade (winstoogmerkgedreven) wil zit bij jou of bij andere Tweakers-redacteurs. Desalniettemin denk ik dat jullie ook mensen zijn en dat het aan ons als publiek is om te waken voor een eventueel (natuurlijk) afglijden van het niveau. Bij deze, dus ;-)

dupy @arnoudwokke • 24 juli 2015 14:41

Beste Arnoud,
Wat je met je artikel wil bereiken heb je bereikt. De titel wekt de interesse van de lezer. Er ontstaat een discussie. Prima toch.
Iedereen zal, afhankelijk van zijn persoonlijke referentiekader, de, jouw info, op een andere manier interpreteren. Dit maakt het interessant.
Wat mij betreft zijn de reakties meer een weerspiegeling des schrijvers dan een beoordeling van jouw werk. Je hebt immers maar een zeer beperkte mogelijkheid om tweakers van info te voorzien, nl. een x-tal woorden.
Chapeau voor jouw reaktie op de reakties.

Nullius @arnoudwokke • 23 juli 2015 16:19

Wie weet ziet de meerderheid van de non-experts het effectief als een manier van beveiliging. Ze vinden het gewoon minder belangrijk dan andere zaken. In theorie (hoewel zeer onwaarschijnlijk) zou het zelfs de vierde belangrijkste manier kunnen zijn volgens de non-experts. De titel van het artikel raakt dus kant noch wal.

De gedachte van de gebruiker wordt al in een bepaalde verkeerde richting gestuurd bij het openen van het artikel. Dat er dan ook nog eens een volledig verkeerde titel bij de statistieken staat, maakt het hele artikel inderdaad misleidend, daar is niets tegen in te brengen.

Verwijderd @arnoudwokke • 23 juli 2015 16:49

Je wilt natuurlijk dat je artikel gelezen wordt en gebruikt dan maar journalistike truukjes, een andere oorzaak kan ook maar die is al evenmin flaterend voor een journalist.

tunnelforce1 @Dual Infinity • 23 juli 2015 15:49

Inderdaad nu word gesuggereerd dat men niet weet dat updates belangrijk zijn voor beveiliging maar het komt gewoon niet hoog genoeg in de individuele top 3 lijsten

Blubber 23 juli 2015 15:37

Ten eerste vraag ik mij af wat de exact definitie van een expert is. Ten tweede vind ik de vraagstelling wat apart. Een van mijn topantwoorden zou zijn "Sterke, unieke wachtwoorden en dat implicieert een password manager." Maar dat staat dus als drie losse items in de lijst ...

Verder verbaasd het mij niets dat antivirus zo hoog staat. Ik denk dat men de effectiviteit van antivirus software overschat en het belang van kennis van zaken onderschat. De oplossing is denk ik niet zozeer technisch, maar meer het inlichten van mensen.

[Reactie gewijzigd door Blubber op 24 juli 2024 02:24]

Joshuax8 @Blubber • 23 juli 2015 16:03

Ik vroeg me ook af wat " Experts" zijn, dus...
Uit het google onderzoeks document:

"To design the surveys, we first conducted in-person semi-structured interviews of 40 security experts at the 2013 BlackHat, DefCon, and USENIX Security conferences. We defined experts as conference attendees who reported having at least 5 years of experience working in or studying computer security."

_Thanatos_ @Joshuax8 • 23 juli 2015 16:29

Ok, dus de expert-ness is verder niet getoetst. De mate waarin mensen expert zijn, is dus niet controleerbaar (noch door ons, noch door de afnemers van de enquete), waardoor statistisch gezien dit hele onderzoek invalide is.

[Reactie gewijzigd door _Thanatos_ op 24 juli 2024 02:24]

bramieboy100 @_Thanatos_ • 23 juli 2015 17:36

Hoezo? Ik vind iemand die 5 jaar in de beveiliging heeft gewerkt of dat studeert aardig een expert in de beveiliging. Vooral vergeleken met mensen die waarschijnlijk daarmee nooit in aanraking zijn geweest.

_Thanatos_ @bramieboy100 • 23 juli 2015 19:58

Die wel ja, maar een conference bijwonen maakt je géén expert in waar die conference over gaat. Hoe dan ook is het in beide gevallen dodgy, simpelweg omdat het niet getoetst is. Dat hoort bij een goed statistisch onderzoek, en dat is niet gedaan.

Verwijderd @_Thanatos_ • 24 juli 2015 09:19

Het gaat dan ook om de rest van de zin:

We defined experts as conference attendees who reported having at least 5 years of experience working in or studying computer security.

Het feit dat ze naar conferences gaan lijkt eerder een manier om kandidaten te vinden voor het onderzoek. En er zullen best wel zelfbenoemde experts zijn die zich minimaal 5 jaar staande weten te houden in dit segment zonder echt een expert te zijn, maar over het algemeen kunnen we denk ik wel stellen dat als iemand het 5 jaar voldhoudt, hij/zij expert genoeg is.

LOTG @Blubber • 23 juli 2015 15:44

Maar het zijn toch ook 3 aparte zaken. Waarom zou het op een hoop worden geschaard als je alle 3 apart kunt toepassen? Dat is denk ik ook een beetje waar de schoen wringt bij de niet zo technische medemens. Die denken dat één sterk wachtwoord prima is, voor alle doeleinden. Of dat het prima is als ze overal een ander wachtwoord gebruiken, ook al zijn ze allemaal zwak.

En een passwordmanager vind ik zelf nog niet zo een security maatregel. Al je wachtwoorden op 1 plek. Leuk als daar een exploit voor gevonden word. En dan heb je ook nog dat jij waarschijnlijk wel een fatsoenlijke password manager zoekt, maar de gene die juist het vatbaarst zijn download er een die alles in plaintext met de site erbij op zijn disk opslaat.

Ik vraag mij sterk af in hoeverre inlichten echt gaat werken, er is een grote groep die lastig in te lichten is (ouderen). Een bepaalde workflow afdwingen lijkt mij een betere zaak. Maar dat is ook lastig.

Blubber @LOTG • 23 juli 2015 15:56

Maar het zijn toch ook 3 aparte zaken. Waarom zou het op een hoop worden geschaard als je alle 3 apart kunt toepassen? Dat is denk ik ook een beetje waar de schoen wringt bij de niet zo technische medemens. Die denken dat één sterk wachtwoord prima is, voor alle doeleinden. Of dat het prima is als ze overal een ander wachtwoord gebruiken, ook al zijn ze allemaal zwak.

Dat was het beetje het punt. De opdracht was om drie items te kiezen die je zelf als het belangrijkst beschouwd. Voor mij impliceert het gebruik van een password manage sterke en unieke wachtwoorden. Het probleem is dat sommige items andere omvatten. Dat soort issues maakt de resultateten van dit soort onderzoeken lastig te interpreteren.

Ik vraag mij sterk af in hoeverre inlichten echt gaat werken, er is een grote groep die lastig in te lichten is (ouderen). Een bepaalde workflow afdwingen lijkt mij een betere zaak. Maar dat is ook lastig.

Zou kunnen, ik denk persoonljk dat het wel meevalt, maar ik heb verder geen ervaring met bejaarden

drvinnie @LOTG • 23 juli 2015 17:23

Mwah. ik gebruik juist op 99% van de websites een lekker makkelijk wachtwoord. Het zal me echt een worst zijn of mn reddit, tweakers, of obscure webwinkel-account gehackt wordt. Dat alle consumenten gedwongen worden om zich in bochten te wringen om voor elke scheet een unhackbaar wachtwoord te maken werkt schijnveiligheid (en slechte wachtwoorden) in de hand.

Thogamer @Blubber • 23 juli 2015 15:45

Voor experts zijn die drie inderdaad bijna hetzelfde maar voor jan met de pet is een gewoon wachtwoord: password123 een sterk paswoord: HiereENZINmetbizarreTeken$ en een wachtwoord als dit: TdMklo36E is volgens hen totaal overbodig, laat staan dat ze al van een password manager hebben gehoord.

i-chat @Blubber • 23 juli 2015 15:57

altijd weer die 'het gebruik van anti-vir overschat' of antivir is nep of ik ben beter dan een antivir opmerkingen,

feit is dat antivir software dingen kan die wij niet kunnen, ze kunnen razendsnel verdachte pakketjes scannen en herkennen,

en hoewel wij mensen beter zijn in situatie-herkenning en het doorronden van plotten etc. machines zijn nog altijd sneller en beter in vergelijken tussen bekende problemen, dus voor reeds bekende virussen zijn ze veel effcienter dan wij ooit kunnen zijn...

software zonder mensen heb je niets aan, maar mensen zonder software zijn traag en eindeloos in-productief.

Wailing_Banshee

@Blubber • 23 juli 2015 16:18

Verder verbaasd het mij niets dat antivirus zo hoog staat. Ik denk dat men de effectiviteit van antivirus software overschat en het belang van kennis van zaken onderschat. De oplossing is denk ik niet zozeer technisch, maar meer het inlichten van mensen.

Mij ook niet. Hoe vaak ik wel niet op PC's van andere meerdere anti-virus applicaties tegen kom omdat ze denken dat dat dan veiliger is. Ondertussen is de PC niet meer vooruit te branden vanwege die anti-virus programma's en alle andere meuk die buiten weten van die anti-virus programma's geinstalleerd worden omdat het vinkje standaard aan staat (denk: Adobe troep) en draait windows update niet meer omdat die gewoonweg geen tijd meer krijgt...

HMC 23 juli 2015 16:20

Uiteraard is (in mijn geval, en in mijn opinie) Windows update wel belangrijk. Maar wie gaat er naar de Knowledge Base voor iedere "critical update" om eerst netjes lezen waar het voor dient?

Een weekje niet updaten, en er staan zomaar 30 "critical" updates klaar, met slechts de summiere opmerking "a vulnerability has been discovered in Windows."
Om dan voor al die updates handmatig de KB door te gaan lezen, dat is nog meer werk dan een EULA goed uitpluizen.
Ik kan me voorstellen dat maar weinig mensen dat doen.
Leeuwendeel van de mensen zal zelfs gewoon auto update aan hebben staan.

Windows Update is in pricipe fantastisch, maar noem me paranoide, het is natuurlijk (zeker met auto update aan) een wagenwijd openstaande deur.
Ja, daar doel ik dus op "even iets binnenhengelen dat bepaalde vormen van spionage net iets makkelijk maakt".
Misschien heb ik het wel helemaal fout hoor.

Blokker_1999

Internet
Netwerk en systeembeheer

@HMC • 23 juli 2015 16:40

Waarom denk je dat bij Windows 10 Home de updates verplicht gebeuren?

HMC @Blokker_1999 • 23 juli 2015 16:43

Ik begrij het wel, maar jouw statement neemt mijn paranoia niet weg.
Sterker nog, je voedt het alleen maar.

stresstak @Blokker_1999 • 23 juli 2015 18:03

Waarom denk je dat bij Windows 10 Home de updates verplicht gebeuren?

Om te voorkomen dat gebruikers na het doorspitten van de Knowledge Base besluiten een mogelijk spionerende update te boycotten.
Microsoft vindt nou eenmaal alle updates wel important, critical en nodigzakelijk.
Ik ben het met @HMC eens, dat begrijp je.

Gotiniens

@HMC • 23 juli 2015 19:27

Waarom zou je backdoors via updates je OS binnen sluizen? Ik zou dat vanaf het begin in mijn OS zetten.

HMC @Gotiniens • 23 juli 2015 19:55

Als de regels veranderen vanuit overheden en je je nieuwe OS nog niet af hebt, en men nog grotendeels op je oude(re) OS werkt.

Gotiniens

@HMC • 23 juli 2015 20:12

Dan gebruik je je bestaande backdoors om nieuwe toetevoegen.

Sorry maar het is naïef om te denken dat overheden zullen vertrouwen op Windows update voor zoiets. En ze zullen al helemaal niet in de KB's hints geven dat er een nieuwe backdoors is toegevoegd.

HMC @Gotiniens • 23 juli 2015 20:14

Uiteraard zal dat niet in de KB's staan, maar het is wel iets om op terug te vallen als dat nodig is in een rechtszaak bv.

mrBussy 23 juli 2015 16:10

Ben ik de enige die 500 mensen niet echt een representative groep vindt?

In het onderzoek komt ook naar voren dat het draaien van een linux systeem als beveiliging wordt gezien. Ik ben het daar niet meteen mee eens. Iemand die linux draaid maar alles open heeft is onveiliger bezig als iemand die Windows draaid met alle laatste patches etc. Volgens mij is het wel zo dat iemand die linux draaid (over het algemeen) meer bekend is met wat er draaid/open staat en hier dus minder risico loopt. Maar dan is het niet Linux als wel dat de gebruiker meer ervaren is.

PolarBear @mrBussy • 23 juli 2015 18:34

Met 500 mensen kan je prima een goede representatieve steekproef doen hoor.

koelpasta @PolarBear • 25 juli 2015 00:04

Dat kun je niet zo stellen. Het kan wel maar daat zitten dan zitten er wel strikte voorwaarden aan die groep.
Als je 500 amsterdammers vraagt of ze amsterdam mooi vinden dan is dat niet representatief voor nederland. Je zult die 500 mensen dus goed moeten selecteren en dan nog..

WormLord @mrBussy • 23 juli 2015 16:41

Nee, dat ben je niet. Vroeg me ook al af waarom me zo serieus ingaat op een onderzoek met zo'n kleine groep. Het is gewoon totaal niet relevant zo.

Pablo 23 juli 2015 16:19

Waarom is ""Linux"" een keuze mogelijkheid

Linux staat niet voor 100% veiligheid na mijn weten.
Het zal zeker een heel stuk veiliger zijn , maar niet perse 100% proof.

daft_dutch @Pablo • 23 juli 2015 16:42

Waarom is ""Linux"" een keuze mogelijkheid

Linux staat niet voor 100% veiligheid na mijn weten.
Het zal zeker een heel stuk veiliger zijn , maar niet perse 100% proof.

Omdat Linux door Linux distributies geregeld wordt waarbij alle applicaties door de distributie beheerd worden en zelf de veiligheid daar van waarborgt

Hoe een lek dichten voor Debian and friends
apt-get update && apt-get dist-upgrade; checkrestart && reboot

Vertel jij maar hoe je dat generiek voor Windows moet doen? (ik weet dat niet)

[Reactie gewijzigd door daft_dutch op 24 juli 2024 02:24]

lord4163 @daft_dutch • 24 juli 2015 07:17

Windows Update heet dat toch?

dmantione @Pablo • 24 juli 2015 09:49

Het zal zeker een heel stuk veiliger zijn

Daarom dus. Als computerveiligheid je lief is kan je niet om de veiligheid van Linux heen. Dat Linux niet onfeilbaar is doet daar niets aan af.

Olaf van der Spek 23 juli 2015 15:37

Bij een andere groep respondenten, die Google labelt als experts, zei 35 procent van de respondenten dat zij het installeren van softwarepatches zien als belangrijke manier om de computer veilig te houden.

Als je de link tussen updates en beveiliging niet legt ben je toch geen IT expert?

svennd @Olaf van der Spek • 23 juli 2015 15:41

Expert staat hier vast voor bovengemiddelde kennis van de gebruiker. Niet doorwinterde Linux hacker. De link tussen updates en beveiliging zijn ook niet 1 op 1, er is namelijk een verschil tussen security patches en systeem updates. ( patch voor openSSL vs centos 7 upgrade)

stresstak @Olaf van der Spek • 23 juli 2015 17:00

Als je de link tussen updates en beveiliging niet legt ben je toch geen IT expert?

''Aantal experts door dit onderzoek gereduceerd tot 35%.''
Er ligt nog een weg te gaan.

Quilt 23 juli 2015 15:37

Ironisch genoeg is de houding van non-experts onze beste beveiliging...

Armin

Netwerk en systeembeheer

@Quilt • 23 juli 2015 18:31

Ironisch genoeg is de houding van non-experts onze beste beveiliging...

Systeem updates is de #1 beveiliging en de 'non-experts' schijnen dat juist niet belangrijk te vinden, dus waar baseer je dat op?

Overigens is de samplegroep van dit onderzoek wel erug klein.

Dunky555 @Armin • 24 juli 2015 09:20

Samplegroep is idd erg klein, kunnen we hier op tweakers beter met een poll.....toch?!
_{hint hint}

daft_dutch @Quilt • 23 juli 2015 15:49

Ironisch genoeg is de houding van non-experts onze beste beveiliging...

welke houding?
gebruik van antivirus wat nooit alles kan dekken en een valse veiligheid geeft. Beveiliging tegen worms bijvoorbeeld.
het bezoeken van alleen bekende websites waar ook meuk via reclamebanners op gezet kan worden.
alleen het uptodate houden van je volledige computer omgeving beschermt je zo optimaal mogelijk tegen virussen en worms.

BTW waarom staat backups maken er niet tussen? Leuk al die bijzaken maar als je je data niet scheid en beschermt.

@robvanwijk.
Als jij moest kiezen tussen een antivirus of altijd de laatste updates voor je hele systeem dan kies je toch voor het laatste.

[Reactie gewijzigd door daft_dutch op 24 juli 2024 02:24]

Heli0s @daft_dutch • 23 juli 2015 15:56

Omdat een backup niet beschermd tegen beveilegings problemen? Een backup is nodig om te herstellen van een probleem, maar als jij een virus hebt, of gehacked bent help een backup ook niet meer, deze kan immers ook gecompormiteerd zijn.

_Thanatos_ @Heli0s • 23 juli 2015 16:27

Beter nog: een backup beschermt tegen het krijgen van helemaal niets. Het kan alleen een onstane schade oplossen. Anders gezegd: paracetamol beschermt je niet tegen het krijgen van koppijn. Het lost alleen maar koppijn op als je het eenmaal hebt.

Tenzij je preventief paracetamol slikt natuurlijk, maar dat is ongezond, en backups terugzetten doe je ook niet preventief

[Reactie gewijzigd door _Thanatos_ op 24 juli 2024 02:24]

robvanwijk

Netwerk en systeembeheer

@daft_dutch • 23 juli 2015 16:00

gebruik van antivirus wat nooit alles kan dekken en een valse veiligheid geeft.

Nee, antivirus afdoen als "valse veiligheid" is niet eerlijk; ook al zal het nooit waterdicht worden, het helpt wel degelijk.

alleen het uptodate houden van je volledige computer omgeving beschermt je zo optimaal mogelijk tegen virussen en worms.

Waarom je dit onderscheid maakt tussen "antivirus" en "updates installeren" snap ik niet; beide zijn bijvoorbeeld volkomen kansloos tegen zero-days...

BTW waarom staat backups maken er niet tussen? Leuk al die bijzaken maar als je je data niet scheid en beschermt...

Vermoedelijk omdat mensen maar drie antwoorden mochten geven; de meest populaire antwoorden zijn, mijn inziens, "betere" antwoorden dan het maken van backups. Dat betekent niet dat je geen backups zou moeten maken, maar het betekent wel dat het niet in de top-drie thuishoort.
Een andere verklaring zou kunnen zijn dat het hier gaat om het, zo goed mogelijk, voorkomen van problemen, terwijl backups daar totaal niet bij helpen, dat is een methode om schade te beperken als er toch iets fout gaat. Ook belangrijk, maar niet echt waarnaar gevraagd werd.

Gizmo_mokum 23 juli 2015 15:48

Denk dat de vraagstelling ook uitmaakt.
Er mogen 3 antwoorden gegeven worden, en dan zijn patches voor de meeste lekwn die zaken die onderwater gebeuren door het OS, terwijl experts hier actief mee bezig zijn.
Denk dat antivirus bij de leken zo hoog staat vanwege de gratis edities die je al te graag laten weten dat de betaalde broer veel meer kan.

stresstak @Gizmo_mokum • 23 juli 2015 16:20

Denk dat de vraagstelling ook uitmaakt.

Vooral dat. Er is weinig zo lastig als de goede vraag stellen en dan zien vaak ook nog eens alleen de antwoorden in de uitslagen verwerkt, zonder de vraag.
Zodra een ander een tegenvraag zou moeten stellen om tot een beslissend antwoord te komen is de echte vraag al onduidelijk of onjuist.

gimbal 23 juli 2015 16:24

Laten we ook eerlijk wezen: voor de groep "niet-expert" is het installeren van updates tegenwoordig ook redelijk transparant. Laten we de aanname doen dat de grootste hap van die groep draait op Windows/MacOS of een mobiel OS - alles gebeurt eigenlijk automagisch op de achtergrond. Je krijgt misschien een irritante melding dat er updates beschikbaar zijn, en soms dat al niet meer. Diverse browsers willen updates al installeren zonder interventie bijvoorbeeld.

Dus ik snap het eigenlijk best wel dat het installeren van updates niet hoog op de lijst staat; dat gaat redelijk vanzelf, dus daar hoef je zelf niet actief mee bezig te zijn of over na te denken.

Dutchdeveloper @gimbal • 23 juli 2015 17:33

Je zult je verbazen hoeveel mensen de Windows updates niet installeren.
9 van de 10 keer als ik ergens langs kom voor een computerprobleem staan er nog veel oude updates die niet geïnstalleerd zijn

LOTG 23 juli 2015 15:38

Die grafiek lijkt wel totaal gespiegeld te worden als je switched.
Ik vind het eigenlijk vooral zorgwekkend dat men anti-virus zo hoog in het vaandel heeft staan. De laatste keer dat mijn antivirus nog wat gedaan heeft is toch wel erg lang geleden.
Dat geeft dus schijnveiligheid, en ik gok dat het vooral onder Mac gebruikers nog steeds erg het "een mac kan geen virussen krijgen" erg aanhoud. Ook al zijn ze even vatbaar voor security exploits waar ze dus helemaal niet aan denken.

AutCha @LOTG • 23 juli 2015 15:43

De weergave van de grafiek is trouwens redelijk waardeloos als je een vergelijking wilt maken. Geef me dan maar een standaard statische excel grafiek. Het opleuken met klikbare elementen en bewegende balken komt de informatie duidelijkheid niet echt ten goede.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (92)

Sorteer op:

Weergave: