Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Veel Nederlanders hebben niet de wil om hun online veiligheid te verbeteren'

Bijna vier op de tien Nederlanders willen geen stappen ondernemen om hun eigen veiligheid op internet te vergroten. Zelfs slachtoffers van internetcriminaliteit nemen daarna vaak geen maatregelen, volgens onderzoek.

Van de bij het onderzoek ondervraagde Nederlanders geeft 71 procent aan zichzelf verantwoordelijk te voelen voor de internetveiligheid, maar desondanks blijken vier op de tien hier niets mee te willen doen. Dat staat bij een toelichting op het Nationaal Cybersecurity Bewustzijnsonderzoek 2018, dat de NCTV en Alert Online lieten uitvoeren.

De onderzoekers noemen Nederlanders 'tamelijk hardleers'. De helft van de personen die thuis zijn getroffen door internetcriminaliteit, geeft aan nadien niets te hebben gedaan om herhaling te voorkomen. Maatregelen die mensen wel namen nadat ze slachtoffer waren geworden, zijn onder andere anti-virussoftware installeren, wachtwoorden complexer maken en op https letten. Zo'n 28 procent ging software-updates doorvoeren.

Het aantal mensen die thuis te maken kregen met ict-dreigingen, is toegenomen van 65,6 procent in 2017 tot 74 procent. In 56 procent van de gevallen ging het om phishing, bij 37 procent om berichten op sociale media om op een onbekende phishinglink te klikken en bij 20 procent om malware. Het aandeel van mensen die zich thuis zorgen maken om online veiligheid, daalde licht van 46 procent vorig jaar tot 44 procent.

Het Nationaal Cybersecurity Bewustzijnsonderzoek 2018 is gehouden onder 1029 Nederlanders tussen de 13 en 80 jaar.

Door Olaf van Miltenburg

Nieuwscoördinator

01-10-2018 • 09:05

232 Linkedin Google+

Reacties (232)

Wijzig sortering
Het is voor mij, als software engineer, een van mijn belangrijkste taken dag in, dat uit; veiligheid. Niet alleen voor de software die ik maak, maar ook voor mezelf. Als ik zie wat voor simpele wijzigingen in je online-gedrag en wat tweaks her en der in de software die je gebruikt je veiligheid en privacy zoveel sterker maakt snap ik niet dat nog steeds zoveel mensen er lak aan hebben. Als ik hoor hoeveel mensen in mijn directe omgeving dingen roepen als "ik heb toch niks te verbergen", "ja, ik ga echt niet nog een wachtwoord bedenken, ik kan deze al niet onthouden" en "oh, ik weet dat ik voor elke account een ander wachtwoord moet hebben, maar dat doe ik niet om reden".

Ik heb al eens eerder geopperd dat we best van het schoolwezen en/of de overheid iets moeten kunnen verwachten in het onderwijzen van mensen in een digitaal tijdperk. Je kan dit zien als betutteling, maar veiligheid online is mijns inziens net zo belangrijk als het basisschool fietsexamen. Je kan er ook niet vroeg genoeg mee beginnen.
Is het wellicht dat mensen het te spannend vinden om dit allemaal te regelen? 1 ding verkeerd en de PC ontploft? 1 ding verkeerd en je bent al je gegevens kwijt? Ik ben het helemaal met je eens om mensen hier al vroeg in te gaan onderrichten. Er is info zat te vinden, maar waar is er een totaalpakket? Waar is "die" pagina met info: "hoe pak je dit aan" - Enfin, die aanpak-pagina's zijn er natuurlijk wel, maar hoe krijg je iemand zover om dit daadwerkelijk op te gaan volgen? Het bericht stelt al dat gebrek aan aanpakken (in eender welke vorm dan ook) heerst, lastig struikelblok.
Is het wellicht dat mensen het te spannend vinden om dit allemaal te regelen? 1 ding verkeerd en de PC ontploft? 1 ding verkeerd en je bent al je gegevens kwijt?
Ik denk dat angst inderdaad een grote rol speelt. In combinatie met het feit dat niemand het leuk vindt om z'n eigen onkunde toe te geven en dat fouten heel lang onzichtbaar blijven, vaak zelfs lang nadat het eigenlijk al mis is gegaan.
We worden er ook niet op afgerekend. Hoeveel mensen hebben ooit de vraag van hun baas gehad "Waarom is je werk niet af?". En hoeveel hebben daarop geantwoord "Mijn computer was niet veilig"? De meeste mensen zullen er voor kiezen om hun taken te voltooien, ook al is het niet veilig. Ze voelen heel goed aan welke risico's de baas accepteert en welke niet.
Ik ben het helemaal met je eens om mensen hier al vroeg in te gaan onderrichten. Er is info zat te vinden, maar waar is er een totaalpakket? Waar is "die" pagina met info: "hoe pak je dit aan" - Enfin, die aanpak-pagina's zijn er natuurlijk wel, maar hoe krijg je iemand zover om dit daadwerkelijk op te gaan volgen?
Het is niet echt een pagina he, meer een boekwerk in dertig delen. De meeste mensen missen de basiskennis om op te bouwen. We hebben mensen dertig jaar met IT laten omgaan zonder te begrijpen wat ze deden ("Type in: D I R <ENTER> C D ...." of "Klik op het kruisje" of "Kijk naar het groene slotje"). Dat begint zich nu aardig te wreken.

Eigenlijk heb je een jarenlange opleiding nodig om voldoende van IT te snappen om ook maar enigszins overwogen keuzes te kunnen maken rond computerbeveiliging. De concepten zijn zo vreemd dat mensen er niet mee kunnen redeneren. Geen automobilist zal ooit benzine in de autoradio gooien om te proberen een vaag probleem op te lossen.

Ze hebben ook geen kapstok om beveiligingsmaatregelen aan op te hangen. Ze hebben instructies om op dingen te klikken, te kijken naar kleuren, en op zoek te gaan naar bepaalde lettercombinaties (https://) maar voor de meeste mensen is het alsof ze een wachtwoord van 300 random tekens moeten onthouden. Nogal wiedes dat ze steeds dingen vergeten en de verkeerde conclusies trekken.

De meeste software ontwikkelaars zitten in hetzelfde schuitje. Hun baas geeft niet (echt) om veiligheid, en de klanten ook niet. Nou ja, op papier natuurlijk wel, maar het moet vooral niet te duur worden, want vrijwel niemand baseert z'n aankoop daarop. Trouwens, mensen kunnen veiligheid niet beoordelen. Of je nu echt veilig programmeert of dat alleen maar zegt in je reclame maakt weinig uit.
Daarom zeggen alle softwareleveranciers dat ze super veilig zijn, de klant heeft toch geen idee. In de kleine lettertjes kun je altijd nog alle verantwoordelijkheid afwijzen.
En toch vind ik het apart dat je dan niks voor jezelf wilt doen. Een lekke band of een raar geluid in je auto gaan alle alarmbellen rinkelen en ga je gelijk de shop in, maar een wachtwoord-manager of een keertje de moeite erin steken om voortaan een stuk veiliger op het internet te zijn is te veel gevraagd.

Dit is tevens de reden waarom de "baas" geen fuck geeft om veiligheid. Waarom, eigenlijk?
"ik heb toch niks te verbergen", "ja, ik ga echt niet nog een wachtwoord bedenken, ik kan deze al niet onthouden" en "oh, ik weet dat ik voor elke account een ander wachtwoord moet hebben, maar dat doe ik niet om reden".
Zou jij de moeite erin willen steken als je alleen maar dat soort mensen hebt? Productie duurt 3 maanden langer, 10% over budget heen. Lekker dan. Nee, ik snap die baas wel, die valt vrijwel niks te verwijten. En moeten ze dat wel, nou, dan:
Trouwens, mensen kunnen veiligheid niet beoordelen. Of je nu echt veilig programmeert of dat alleen maar zegt in je reclame maakt weinig uit.
Daarom zeggen alle softwareleveranciers dat ze super veilig zijn, de klant heeft toch geen idee. In de kleine lettertjes kun je altijd nog alle verantwoordelijkheid afwijzen.
En ondertussen gebruikt iedereen het product al. Kwaad is al geschiet.

De "fout" (als je daar van kan spreken) hier ligt bij de gewone consument/burger/klant. Die zijn gewoon te beroert om daar een ietie bietie van hun tijd in te steken, maar vinden het wel allemaal kut dat het gebeurd. Dat is natuurlijk niet hoe het werkt. Ze hebben dat zelf allemaal in de hand, maar goed...
Het is wel lekker makkelijk, hè? Hahahahaa!

[Reactie gewijzigd door sxbrentxs op 1 oktober 2018 17:40]

En toch vind ik het apart dat je dan niks voor jezelf wilt doen. Een lekke band of een raar geluid in je auto gaan alle alarmbellen rinkelen en ga je gelijk de shop in, maar een wachtwoord-manager of een keertje de moeite erin steken om voortaan een stuk veiliger op het internet te zijn is te veel gevraagd.
Hoe merken mensen dat hun computer niet veilig is? Er zijn geen duidelijke alarmbellen of waarschuwingslampjes. Mensen merken pas iets als het al veel te laat is, dan staan je foto's al op internet of dan is je creditcard al misbruikt.
Met onderbuikgevoelens komen ze er niet, daarvoor mist het gevoel en zijn de gaten in de kennis te groot. Mensen gaan er bij veel computerproblemen van uit dat het wel hun eigen fout zal zijn geweest, want ze snappen niet echt waar ze mee bezig zijn. Vol twijfel klikken ze nu eens op dit knopje, dan weer op dat knopje. Als er drie weken later iets niet werkt dan hebben een vaag vermoeden dat het misschien wel iets met een knopje te maken had.

Met zo'n probleem zou je ook niet naar de autogarage gaan. Als je daar zegt dat je denkt dat er misschien wel iets vreemds mis is met je auto, dan zal de garage net zo lang doorzoeken tot ze iets vinden waar ze een mooie rekening voor kunnen schrijven. ;)
Dit is tevens de reden waarom de "baas" geen fuck geeft om veiligheid. Waarom, eigenlijk?
Waarom zijn er nog steeds bedrijven die niet brandveilig zijn?
Waarom dumpen bedrijven hun giftige afvalstoffen in de natuur?
Waarom rijden er nog steeds mensen zonder gordel?
Waarom leven zoveel mensen ongezond?

Omdat het makkelijker en goedkoper is om de veiligheid te negeren. Op korte termijn heb je er alleen maar last van. Als je de gevolgen op lange termijn niet kan overzien, en er op korte temijn geen schadelijk gevolgen lijken te zijn, dan is het heel makkelijk om het probleem te negeren of voor je uit te schuiven.
Als het probleem aanpakken dan ook nog eens veel geld en moeite kost dan wordt het steeds lastiger om nog iets gedaan te krijgen.
Zou jij de moeite erin willen steken als je alleen maar dat soort mensen hebt? Productie duurt 3 maanden langer, 10% over budget heen. Lekker dan. Nee, ik snap die baas wel, die valt vrijwel niks te verwijten.
Veel mensen zijn er zelfs trots op. Efficient en pragmatisch werken noemen ze het dan. Dat gaat vaak gepaard met enige arrogantie. Ze zijn zo goed dat ze zich niet aan de normale regels hoeven te houden, daar staan ze boven. Alleen losers houden zich met die details bezig.
En ondertussen gebruikt iedereen het product al. Kwaad is al geschiet.
Daarom pleit ik voor strenge garantie voor software. Niet het slappe gedoe dat we nu met licenties hebben waarin de leverancier iedere verantwoordelijkheid voor software afwijst. Als er een fout in de software zit dan moet de fabrikant die maken en anders geld terug (uiteraard binnen de grenzen van het redelijke, net als bij ieder ander product).
De "fout" (als je daar van kan spreken) hier ligt bij de gewone consument/burger/klant. Die zijn gewoon te beroert om daar een ietie bietie van hun tijd in te steken, maar vinden het wel allemaal kut dat het gebeurd. Dat is natuurlijk niet hoe het werkt. Ze hebben dat zelf allemaal in de hand, maar goed...
Het is niet een ietie bietie tijd, maar een jarenlange studie. :/

[Reactie gewijzigd door CAPSLOCK2000 op 1 oktober 2018 18:07]

Met zo'n probleem zou je ook niet naar de autogarage gaan. Als je daar zegt dat je denkt dat er misschien wel iets vreemds mis is met je auto, dan zal de garage net zo lang doorzoeken tot ze iets vinden waar ze een mooie rekening voor kunnen schrijven. ;)
Klopt. Maar als je van alle kanten hoort dat er ergens iets niet goed gaat in het grootste deel van het internet gedrag van de Nederlanders, dan ga je zelf toch ook wel een vraagteken zetten? In ieder geval bij een deel van die mensen mag ik hopen dat ze enigszins iets gaan denken in de trend van.
Waarom zijn er nog steeds bedrijven die niet brandveilig zijn?

*SNIP*

Alleen losers houden zich met die details bezig
Die quote die na mijn "vraag" kwam was daar inderdaad het antwoord op. Gelukkig zijn we het daar over eens. ;)

[quote]Het is niet een ietie bietie tijd, maar een jarenlange studie.[/quote
Hoezo nou weer jaren lang?

https://laatjeniethackmaken.nl, https://haveibeenpwned.com,
https://www.consumentenbond.nl/internet-privacy, https://veiliginternetten.nl/themes/privacy/, en zo kan ik nog wel even door gaan. Een paar simpele stappen, nauwelijks een jarenlange studie. De gedragsverandering kost misschien wat tijd om compleet door te krijgen, dat is dan ook te verwachten maar zeker geen studie, noch jaren lang.

[Reactie gewijzigd door sxbrentxs op 2 oktober 2018 18:28]


[...]
Hoezo nou weer jaren lang?

https://laatjeniethackmaken.nl, https://haveibeenpwned.com,
https://www.consumentenbond.nl/internet-privacy, https://veiliginternetten.nl/themes/privacy/, en zo kan ik nog wel even door gaan. Een paar simpele stappen, nauwelijks een jarenlange studie. De gedragsverandering kost misschien wat tijd om compleet door te krijgen, dat is dan ook te verwachten maar zeker geen studie, noch jaren lang.
Volgens mij onderschat je het behoorlijk. Dat zijn alleen op het eerste gezicht simpele stappen, er zitten een hoop zaken tussen die zelfs voor een hoop Tweakers nog lastig zijn. "Beveilig je WIFI met WPA2-AES". De meeste mensen hebben echt geen idee waar ze zouden moeten beginnen. Als ze dan al het configuratiescherm van hun router weten te vinden er staat "WPA2-Home" of "WPA2-Professional" in plaats van "WPA2-AES" dan wordt het eigenlijk al zo moeilijk dat ze daar zelf geen weloverwogen keuze meer in kunnen maken.
Zelfs als het conceptueel nog te overzien is dan kan het heel veel werk zijn of grote gevolgen hebben ("maak backups", "schakel 2FA in", "zet een wachtwoord beveiligde hotspot op je telefoon op").

Het grootste probleem is dat het gewoon heel erg veel is. Ik zie tientallen dingen die je wel of niet moet doen. Ik snap wel wat er staat, maar een hoop mensen zullen aan veel punten een flinke kluif hebben.
Ik blijf er bij dat het jaren kost om voldoende kennis op te bouwen om alle punten uit dat document echt te overzien en uit te voeren. Zeker als je wil dat mensen begrijpen wat ze doen en niet alleen maar een kunstje uitvoeren.
Of een paar verkeerde policies op het werk (we moeten een 6-cijferige pin... so far so good. Blijkt ie na een maand te verlopen - tja, wat verwacht je dan?)
Zo wordt security ongelofelijk dom en vervelend.
Grappig dat je de auto erbij haalt. Laat dat nu net 'een dingetje' zijn waarvan we laatste tijd steeds meer berichten zien dat de software lek is. Met de introductie van Google daarin zal het niet beter worden.
Autofabrikanten weten dat de bestuurders zich niet willen bemoeien met de techniek en dus maken ze de auto steeds simpeler voor de bestuurder. Soms zelfs te simpel (key less). Dat maakt de auto zelf complexer. De kans dat er iets mis gaat wordt dan groter en de bestuurder heeft dan geen benul van wat hij moet doen als iets mis gaat. Gelukkig hebben de fabrikanten toch nog het besef dat de auto naast simpel ook veilig moet zijn en doen daar ook een hoop voor.

In de ICT is dat een ander verhaal. Snel leveren (time to market) is veel belangrijker dan een goed (compleet) product neerzetten. "De gebruiker is verantwoordelijk ..." staat in alle voorwaarden die zelden worden gelezen.

Software zou veilig moeten zijn. Waar de gebruiker verantwoordelijk voor is, is zijn eigen gedrag. Niet openen van links met een herkomst die je niets zeggen. Daar helpt bewustworden/making inderdaad. En dat gebeurd helaas nog veel te weinig. Er zijn ook weinig hulpmiddelen die het je makkelijk maken. Een wachtwoordmanager op USB is ook niet zaligmakend. Raak je die kwijt, ben je mooi de Sjaak.
Wellicht moeten we ook eens af van al dat geregistreer bij al die websites/webshops. Gewoon leveren, zonder registratie is toch niet zo moeilijk? Wat je niet registreert, kan ook niet misbruikt worden.
Het is denk ik ook een prioriteiten probleem, er is zo veel wat je kan doen maar voor een leek compleet onbegrijpelijk wat nou het effectiefst is en dat ook nog op een begrijpelijke manier uit leggen.
https://laatjeniethackmaken.nl vind ik uiterst effectief vind als ik mensen (een leek) probeer uit te leggen dat het argument "Ik heb toch niks te verbergen" niet opgaat en dat je jezelf moet beschermen en online privacy juist wel heel erg belangrijk aan het worden is.

https://haveibeenpwned.com is ook een leuke om aan te tonen dat je al eerder ergens een keer door een scriptje bent geschept.

Tegenwoordig is het ook een stuk makkelijker geworden omdat er voor vrijwel alle applicaties ook gebruiksvriendelijke GUI's zijn ontwikkelt. En daarmee probeer ik aan te geven dat mensen steeds minder een reden hebben "om het niet te doen".

[Reactie gewijzigd door EpicSoftworks op 1 oktober 2018 12:05]

https://laatjeniethackmaken.nl vind ik uiterst effectief vind als ik mensen (een leek) probeer uit te leggen dat het argument "Ik heb toch niks te verbergen" niet opgaat en dat je jezelf moet beschermen en online privacy juist wel heel erg belangrijk aan het worden is.
Doe jezelf eens een plezier en ga die website af. Toe, ga maar.

Ja? Kan ik verder?

Stel je voor dat je een oma bent van 70 met een computer voor haar neus. Je weet wel dat er zoiets bestaat als een computer en dat het draadje dat naar de muur gaat de plaatjes op je scherm laat bewegen. Je leest nu tientallen welgemeende adviezen over hoe je veiligheid te verbeteren waarvan de meeste een technisch inzicht verwachten dat er gewoon niet is en ook niet zal komen. En het gaat maar door en door en door. Disable dit, enable dat. Oma wordt gillend gek en denkt 'het zal wel'... en doet dus uiteindelijk helemaal niets.

Ik lees net dat ik geen Javascript in Adobe Reader mag activeren: ik wist niet eens dat het erin zat, laat staan dat ik ooit een optie ben tegengekomen om het uit te zetten. En dan weet ik nog wel een beetje wat er in een PC gebeurt.

Met andere woorden: PC-bouwers en software-ontwikkelaars mogen de hand best in eigen boezem steken. En dat hebben ze ook gedaan, met de ontwikkeling van de Android- en iOS-ecosystemen die echt behoorlijk zijn dichtgetimmerd. Hoezee, zou ik zeggen, eindelijk worden mensen tegen zichzelf in bescherming genomen en het kan nog op een makkelijke manier ook. Janeehowachteffe, zegt de computerkundige, Android en iOS zijn Evil want Google, Apple, cloud, privacy, sandbox, geen controle, permissies, meuk, Play / App Store, ..., ..., ... (half uur later) dus unlock de bootloader maar en installeer even deze schone non-Google Android op je telefoon.

Waarom het enige mogelijke antwoord is: 'Flikker heel snel een heel groot eind op'. Je kunt niet van computeronkundigen verwachten dat ze tientallen settings gaan nalopen waarvan ze toeten noch blazen weten en zeer snel slachtoffer zullen worden van social engineering. Onder die omstandigheden is je gegevens stallen bij een discutabele privacymoloch als Google, beveiligd door 1 enkel sterk wachtwoord, werkelijk niet eens zo'n slecht alternatief.

Dus ook al bedoel je het goed met je URL: het is een waardeloos onding omdat het geen iota rekening houdt met de doelgroep. Degenen die het al weten hebben die URL niet nodig, en degenen die het niet weten kunnen er niks mee.

[Reactie gewijzigd door cymric op 1 oktober 2018 14:13]

Applaus want je bent één van de weinigen die snapt waarom al die voorlichting niet werkt omdat ze niet zijn ontwikkeld voor de doelgroep die dat het hardst nodig heeft. De meeste voorlichting wordt bedacht door mensen die het al weten maar die vergeten te checken of hun boodschap ook door de kwetsbaren onder ons begrepen wordt. Net als met Gandgrab ransomware wordt het advies gegeven om backups te maken. Zie je oma al backups maken van al de foto's van haar kleinkinderen op haar laptopje? Maar we zeggen nu een oma van 70 maar ik kom zat veertigers tegen die net aan weten hoe ze hun laptop aan moeten zetten en hun muis moeten gebruiken. Dergelijke gebruikers willen maar een ding en dat is dat die laptop moet werken. Om deze mensen zover te krijgen dat ze veilig gedrag gaan vertonen zal er iets meer moeten gebeuren dan 'hang op en bel de bank'.
Meer dan 44% heeft geen anti-virus scanner of weet niet van het bestaan af. Dat lijkt me toch echt een mooie uitdaging voor de overheid om dat eens aan te pakken.

Aardig leesvoer van de Raad van State over de digitalisering. https://zoek.officielebek....nl/stcrt-2018-50999.html

[Reactie gewijzigd door regmaster op 1 oktober 2018 22:22]

Ik vind je heel kort door de bocht. Mag dat? Ja tuurlijk mag dat! Maargoed, we gooien natuurlijk elk argument van tafel hier.

Je hebt natuurlijk mensen die hier minder verstand van hebben. De niet ICT'ers of computeronkundigen zoals je het zelf zegt. Maar daar ben ik er voor. Als ik deze website laat zien aan mensen neem ik ook de website door met hun. Alles moet je ook met een korrel zout nemen. Het hele instellingen verhaal neem ik bijv. voor mijn doen. Vele van deze dingen zoals:
[...]
Ik lees net dat ik geen Javascript in Adobe Reader mag activeren: ik wist niet eens dat het erin zat, laat staan dat ik ooit een optie ben tegengekomen om het uit te zetten. En dan weet ik nog wel een beetje wat er in een PC gebeurt.
Nemen niks weg van de algemene ervaring die je in Reader hebt. Je wist bijv. nog niet eens dat het er in zit. Prima! dat mag. Stel ik het gewoon voor je in en zijn we er klaar mee. Neemt niet weg dat het wel handig is dat er een website is, een soort van 3de partij, onafhankelijk die bevestigt wat wij doen voor de mensen als we er mee bezig zijn. Meestal ik het hocus pokus, maar nu kun je laten zien op een website wat en is er meteen een dialoog.

Dat hele stuk van Android wat je hebt getikt, ben ik het bijv. niet mee eens. Staat ook overgens compleet niet op laatjehackmaken, maargoed, je moet toch maar iets zeggen toch? Anders is er niks aan :) Dan ook nog dat het compleet onverstandig is. Ik zeg tegen de meeste mensen JUIST stock. Met stock ben je aardig beveiligd.
[...]
Waarom het enige mogelijke antwoord is: 'Flikker heel snel een heel groot eind op'. Je kunt niet van computeronkundigen verwachten dat ze tientallen settings gaan nalopen waarvan ze toeten noch blazen weten en zeer snel slachtoffer zullen worden van social engineering.
Nouja, je haalt hier weer twee dingen door elkaar. Social Engineering is inderdaad wel nog steeds een groot ding. Maar hiervoor kun je de discussie voeren met de "onkundige". Je moet mensen gewoon niet in de kaart spelen met de informatie.
[...]
Onder die omstandigheden is je gegevens stallen bij een discutabele privacymoloch als Google, beveiligd door 1 enkel sterk wachtwoord, werkelijk niet eens zo'n slecht alternatief.
Nee, precies! Niks mis mee. Wie zegt van wel dan? Nergens gezien!

Maargoed, als jij het een onding vind samen met @regmaster dan mag dat. Ik vind het gewoon een goed initiatief. Ik zeg ook altijd meteen dat het geen bijbel is, ondanks dat er wel staat dat je alles zou moeten doen. Ik weet namelijk ook dondersgoed dat het voor het grote deel aan computergebruikers zeker niet haalbaar is om nog maar de helft te doen, het zou too much zijn.

Maar waar jij
[...]
'Flikker heel snel een heel groot eind op'.
zegt/denkt, ga ik de dialoog aan en laat zien waarom je iets anders zou moeten doen. Wat moet je anders? Niks doen? Lekker egoistisch dan. natuurlijke selectie :P

[Reactie gewijzigd door EpicSoftworks op 5 oktober 2018 08:57]

Het is meer de rompslomp er omheen..
Laatst was ik het wachtwoord van mijn hypotheekverstrekker kwijt.. krijg je een hele rompslomp om die reset te doen, want dat gaat per post. Als je dan de brief krijgt heb je een week om het tijdelijk wachtwoord te gebruiken en het wachtwoord te resetten.
Volgens mij hanteert DigID hetzelfd bij het opzetten van de smscode. Die heb ik in het verleden ook 3x aangevraagd omdat ik steeds vergat binnen de gestelde tijd de code in te voeren die je per brief krijgt.

Dan kun je op zo'n moment beter hetzelfde paswoord overal gebruiken. Heb ook liever dat er overal 2FA wordt geimplementeerd met de telefoon of via microsoft authenticator/digid/bankoplossing. Kan ik overal hetzelfde wachtwoord gebruiken en blijft het toch veilig.
Tsja, en zo heeft iedereen zijn voorkeuren. Zo wil ik mijn telefoonnummer niet delen met iedere piepersnijder waar ik ooit eens contact mee gehad heb of iets van gekocht heb. Ook weiger ik financiële producten op mijn telefoon te laden. Dus 2FA met telefoon gaat 'em niet worden voor mij.
Ik zou mensen eens https://laatjeniethackmaken.nl laten lezen. Geniale pagina met verschillende puntjes die je kan op pakken om jezelf beter te beschermen. Heb zelf veel positieve ervaring gehad als het gaat om niet-ICT'ers over beveiliging bij te leren.
Goeie pagina!

Vraagje, ik kreeg 1 melding bij Have I Been Pwnd. Een tijd geleden eigenlijk al. Ik heb vervolgens mijn info op de betreffende website aangepast, maar als ik dan wederom mijn email adres check, dan laat hij altijd maar weer die zelfde melding zien. Is dat gewoon geschiedenis ofzo en kan ik dat negeren?

[Reactie gewijzigd door E71 op 1 oktober 2018 14:53]

Helaas, niet zo'n goeie pagina, veel te uitgebreid: niemand van de groep mensen die niet geïnteresseerd is in dit soort beveiligingsellende (en dat is hier de doelgroep) die dit gaat bestuderen. Helaas, want het is een goeie jip-en-janneke-poging.

Ik ben toch bang dat de technische industrie zelf met een oplossing zal moeten komen. Of er moet een rijbewijs voor computergebruik ingevoerd worden (inclusief politie controle systeem met boetes :) ).
Het is wel wat uitgebreid ja, en ik kan me voorstellen dat het voor de opa's en oma's van nu teveel van het goede is. Maar dat is het natuurlijk al gauw bij deze doelgroep. Niet dat het mij soms niet duizelt... En ik ben nog niet echt opa materiaal.
maar als ik dan wederom mijn email adres check, dan laat hij altijd maar weer die zelfde melding zien.
Er zijn in het verleden websites en games en andere diensten gehackt. Daar hebben hackers een hoop accountnames/email-adressen/passwords buit gemaakt. Die zwerven rond op het net, onder hackers. Die combinatie van account/passwords moet je veronderstellen dat ze helemaal niet safe meer zijn. Net als passwords als "password" of "geheim" of "123456". Zelfs als je password ooit "dhB8,.4a" was, als het eenmaal in die lijst voorkomt, dan kun je het niet meer gebruiken. Omdat iedere hacker, als hij ooit de kans krijgt om een gestolen encrypted password-file te cracken, geheid gebruik gaat maken van die lijst. En dan vindt hij geheid alle accounts met password "dhB8,.4a".

Ergens hebben ze ooit een account van je buitgemaakt. Met je toenmalige password. Dus alle hackers zullen altijd jou toenmalige password blijven proberen bij alle crack-pogingen die ze doen. Dat toenmalige password van je is niet meer te gebruiken.

Dat is wat "Have I Been Powned" je vertelt.

Als je nu je password verandert, dan ben je weer safe. Dat oude password nooit meer gebruiken. En de hackers weten je nieuwe password niet. En dus weet "Have I Been Powned" je nieuwe password ook niet. Sterker nog, ze weten niet eens dat je je password veranderd hebt. Dus blijft die website zeggen: "je password is ooit gestolen in het verleden". Je kunt je password nu 100x veranderen, het blijft gestolen in het verleden.
Dankjewel voor je uitgebreide antwoord. Precies wat ik al dacht dus.
Ik denk dat dat toch wel een stukje professionele tunnelvisie is. Ik begrijp het wel, maar als je van de andere kant kijkt valt het al snel in duigen.

Het probleem begint al met de marketeering van zekere softwarebedrijven die nog altijd is dat hun software "intuitief" zou zijn en dat er dus geen training nodig zou zijn. Maar ondertussen is de materie gewoon veel ingewikkelder dan wat de DAU aankan, en nog veel meer ingewikkelder dan hoe het voorgespiegeld is dat het zal zijn. Het is dus helemaal niet raar dat vele "gewone gebruikers" zoiets hebben van "nouja het zal wel." Ze hebben wel iets beters te doen dan zich de hele dag druk te maken over dat computergebeuren.

Sterker, de hele berichtgeving over computerbeveiliging hangt aanelkaar van wijzen naar boemannen die per definitie ongrijpbaar zijn en ongeveer alles kunnen ("hackers" die "hacken"--niemand die weet wat dat concreet inhoudt en dat kan dus echt alles zijn), dus daar geef je het grote publiek ook geen handvast over wat wel en niet te doen.

En als je ziet wat de overheid cq. het schoolwezen ervan bakt, nouja dan concludeer ik toch echt dat die eerst nog het een en ander mogen bijspijkeren. Ook de security industrie zelf komt nog altijd met adviezen als "niet op die email klikken!!!!"

Want zeg nou zelf. Je hebt software die doet dingen voor je, bijvoorbeeld email ophalen en laten zien, maar als iemand anders je een emailtje stuurt dan kan alleen al dat laten zien al een complete security breach veroorzaken. Soms zelfs voordat je er zelfs maar op klikt. Hoezo helpt deze software ons met het ons leven gemakkelijker maken? Waarom moet de gewone man hier ineens het werk van de software overnemen?

"Het zal wel" is daarmee de enige rationele reactie van de niet-expert. Dat kun je "hardleers" noemen, maar dat is eigenlijk de omgekeerde wereld, waarin zowel softwarebouwers als beveiligingsexperts hun job afschuiven op degene die er absoluut het minst geschikt voor is en die bovendien verteld geworden is dat'ie zich er niet druk om hoeft te maken, want "intuitief". En dan doet'ie dat, en dan is het zijn fout. Dat is geen logica.
Misschien kunnen we hier een begin maken... Terwijl ik het artikel las bedacht ik me: wat doe ik zelf eigenlijk? Ben geen IT-er maar wel handig met IT en een enthousiaste hobbyist. Als het op veiligheid aankomt ben ik vaak lui en soms dan weer enthousiast (als er iets te leren valt). Vaak haak ik echter ook af, omdat het te complex / lastig wordt. Ben wel 's benieuwd of we hier met een beetje discussie een soort "veiligheids-basics" voor de gemiddelde Nederlander kunnen bouwen...
Waar begint het? Het is nog niet zo heel simpel om uit te leggen hoe je een onbetrouwbaar linkje herkent en het uitgangspunt is dat ik geen uur college kan geven aan gemiddeld Nederland hierover, want dan zijn we ze meteen kwijt.
Leuke vraag!
1. Password Manager! Als je dit alleen al doet, heb je mijns inziens 90% te pakken. Kijk bijv naar 1Password. Je verzint één heel lastig wachtwoord en die opent je 'kluis' naar al je andere wachtwoorden. Zo heb ik nu voor iedere website een ww van 34 karakters met tekens, hoofdletters, ect. Zowel voor je telefoon als pc zijn er applicaties die vervolgens je wachtwoord met één druk op de knop invoeren
2. Let op https als je credit kaart gegevens, wachtwoorden, ect invult. Doe het anders niet
3. Two-step verification. De meeste websites ondersteunen het inmiddels en ook 1Password heeft er ondersteining voor. Het is niet veel lastiger en opnieuw verbeterd je beveiliging enorm.
4. Je kunt zoveel meer doen, maar geloof me, het komt allemaal neer op gezond verstand. Wees bewust van wat je doet, stuur geen pincode aan een vreemdeling door, ect

Het ding met security is, de kans dat je specifiek 'aangevallen' wordt is heel klein. Je hele taak is dus beter beveiligd te zijn dan je buurman. En aangezien de gemiddelde beveiliging niet zo hoog ligt, is dat niet eens zo moeilijk
mwah, social engineering is het grote punt, dus die sterke wachtwoorden en password manager zijn prachtig, maar als de bijlage uit die mail geopend wordt en er altijd maar op yes>yes>yes>finish geklikt wordt, dan ben je niks opgeschoten. Punt 4 van je lijstje is m.i. belangrijker dan 1, 2 en 3 bij elkaar.
Dit....

Je kunt je netwerk helemaal dicht timmeren, maar tegen social engeneering is geen kruid gewassen.

In mijn tijd als systeem beheerder stuurden we elke maand een email naar de gebruikers om ze (weer eens) te waarschuwen over email attachments, en deze niet te openen bij onbekende afzenders, of bij twijfel.

Maar elke maand weer konden we bestanden en data opschonen omdat een groep gebruikers niet iets langer nadenkt en gewoon op de standaard OK OK OK OK klikt..... :(

En probeerde maar niet om ze te vertellen dat ze misschien beter even IT hadden kunnen bellen, want dan kreeg je de wind van voren...
Maar waarom kun jij als beheerder dan het systeem niet zo inrichten dat de gebruiker dit niet fout kan doen?
Je kunt dit toch gewoon filteren en zorgen dat mails met bijlage van onbekende verzenders nooit bij de gebruiker aankomen?

Jammer dat je als beheerder (degene met verstand van zaken dus) deze verantwoordelijkheid bij de gebruiker neerlegt.

[Reactie gewijzigd door blissard op 1 oktober 2018 11:08]

Ik praat alweer over enige tijd geleden, toen de tools nog niet zo geavanceerd zijn als nu.

En je kunt bepaalde situaties niet altijd voor zijn.
Wat als de afzender bekend is, maar toch een attachment stuurt die besmet is met een virus. Eentje die nog niet gezien wordt door de scanner?
Een afzender waarmee veel wordt gecommuniceerd?

En alles blokken werkt ook niet, want met online opslag wordt email al snel omzeild, en heb je alsnog een probleem.

De enige manier is gebruikers - misschien tegen beter weten in - blijven onderwijzen op bepaald gedrag achter het scherm..

En ja, dat betekend dat een deel van de verantwoording toch ook echt bij de gebruiker ligt.

En uit ervaring weet ik dat je niks foolproof kunt maken, want er is altijd een grotere idioot die alles weet te omzeilen ;)
Ik snap je punt, maar dat zelfde probleem heeft de gebruiker. Enige mogelijkheid is volgens mij om alle links en attachments in emails te verbieden. Of alleen links naar goedgekeurde domeinen toe te staan.

Als gebruikers de virussen zelf met USBsticks het gebouw in brengen, dan is het hun fout, maar zolang het systeem ze doorstuurt, ligt de verantwoordelijkheid toch primair bij dat systeem.
Een gebruiker kan dan helpen om te voorkomen dat de gaten in het systeem problemen veroorzaken, maar dat geeft hem niet de verantwoordelijkheid voor een veilig systeem. Die ligt imho primair bij de systeembeheerder.
Maar waarom kun jij als beheerder dan het systeem niet zo inrichten dat de gebruiker dit niet fout kan doen?
Je kunt dit toch gewoon filteren en zorgen dat mails met bijlage van onbekende verzenders nooit bij de gebruiker aankomen?
In mijn ervaring accepteren gebruikers dat niet. Een beetje omdat ze voelen dat hun eer en vrijheid wordt aangepast, maar vooral omdat ze geen alternatief hebben.
Zo beheer ik een mailserver die het aantal adressen in de To: en CC: headers beperkt. Dat voorkomt dat mensen per ongeluk hun hele adresboek in de To: zetten. BCC: is wel onbeperkt. Daarnaast hebben we verschillende(!) applicaties om nette massmails te versturen.

Daarvoor ben ik al een paar keer op het matje geroepen omdat iemand z'n mail niet kon versturen.
Daar komt de discussie steeds neer op "Natuurlijk moet het veilig zijn, maar alles moet wel gewoon werken. Andere organisaties doen het ook.".

Een van de krachten van e-mail is dat je iedereen kan mailen, zonder vooraf goedkeuring te vragen of een contactlijst te maken of zo iets. Technisch gezien is het prima mogelijk om mail naar onbekende adressen te verbieden, maar praktisch gezien gaan gebruikers dat niet accepteren. (Een vervelend detail is dat de mailserver dan wel in het adresboek van de gebruiker moet kunnen kijken om te weten welke adressen bekend en welke onbekend zijn. Praktisch gezien is dat erg lastig te implementeren omdat je niet permanent in contact met elkaar staat, e-mail is gemaakt in een tijd dat het nog niet gebruikelijk was dat alles en iedereen 24/7 aan internet hangt.
Dat zijn logische argumenten die je aanvoert. Maar als jij (als beheerder neem ik aan) iets verbiedt dan doe je dat op basis van beleid. Als je dan vervolgens op het matje geroepen wordt dan is dat jammer voor de klager toch? Het is wel jouw taak om dat bij de beleidsmakers / beslissers tussen de oren te krijgen.

Ik vind overigens het idee dat iedereen binnen een bedrijf een eigen individueel mailadres moet hebben waar alle informatie naar toe gezonden wordt, volkomen achterhaald. Bedrijven mogen best wat beter nadenken over informatiestromen. Het "ik stuur het gewoon naar iedereen" deugt niet, net zo min als de belangrijke mails die naar een individu gestuurd worden. Ik zou het leuk vinden om daar eens een goed concept voor te zien. Heb jij tips in die richting?
Het is wel jouw taak om dat bij de beleidsmakers / beslissers tussen de oren te krijgen.
Yup, daar zit het probleem. Uiteindelijk vinden veel beleidsmakers productiviteit belangrijker dan veiligheid.
Ik vind overigens het idee dat iedereen binnen een bedrijf een eigen individueel mailadres moet hebben waar alle informatie naar toe gezonden wordt, volkomen achterhaald. Bedrijven mogen best wat beter nadenken over informatiestromen. Het "ik stuur het gewoon naar iedereen" deugt niet, net zo min als de belangrijke mails die naar een individu gestuurd worden. Ik zou het leuk vinden om daar eens een goed concept voor te zien. Heb jij tips in die richting?
Het belangrijkste is een scheiding tussen personen en functies.
Als er een lamp stuk is dan stuur je een mail aan "huismeester@bedrijf.com" en niet aan "karel@bedrijf.com". De uitnodiging voor het jaarlijkse functioneringsgesprek stuur je juist wel aan de persoon.
Dat werkt het beste als je een mailclient hebt die goed overweg kan met profielen en meerdere mailboxen, het liefst automatisch, zodat je een apart profiel hebt voor iedere rol die je binnen de organisatie vervult. Het helpt ook om een Reply-To: adres in te stellen dat naar het juiste functionele adres wijst. Je kan mail dan nog steeds met je eigen naam en persoonlijke adres ondertekenen, maar de reply's gaan naar het adres dat bij de functie hoort.

directie@bedrijf.com: annie, bep, jan, piet
huismeester@bedrijf.com: karel
postkamer@bedrijf.com: karel
sales@bedrijf: henk, maria
bedrijfshulpverlening@bedrijf: annie, karel, henk
medezeggenschap@bedrijf: karel, maria
Dat is helemaal niet zo raar vanuit het perspectief van de gebruiker. Die wil dat handig hulpje installeren en wordt geconfronteerd met vragen als "Do you want Jigamabob to install BladieThenSome.DLL to provide access to your ThingamaJig?"
De geboden opties:
[OK] -> Installatie gaat door, totaan 'Finish'. Programmaatje doet het!
[Cancel] -> De installatie stopt, programmaatje doet 'ut niet.

Die gebruiker klikt maar één keer op [Cancel].

De echte oplossing is zorgen dat die vraag niet gesteld hoeft te worden. Wat mij betreft ligt die verantwoordelijkheid bij het O/S.
Dat is tuurlijk zo, maar als programmeur die iedere dag het internet hevig gebruikt heb ik dit gewoon nog heel weinig meegemaakt. En idd ga ik ervanuit dat je niet zomaar een .exe in je mail opent :)
Voor het 'dagelijks internetleven' hebben zaken als password managers veel meer invloed. Zolang mensen hetzelfde wachtwoord voor alles gebruiken kan je hele internet leven zonder moeite blootgelegd worden . En tegelijkertijd is het gemakkelijker als advies te geven, 'let gewoon op' is toch wat vaag

[Reactie gewijzigd door samuvisser op 1 oktober 2018 11:00]

Dat is tuurlijk zo, maar als programmeur die iedere dag het internet hevig gebruikt heb ik dit gewoon nog heel weinig meegemaakt. En idd ga ik ervanuit dat je niet zomaar een .exe in je mail opent :)
Het rondsturen van .exe's zie je inderdaad nauwelijks meer. Besmette Office-documenten komen nog redelijk wat voor. Het grootste bestaat tegenwoordig echter uit mails en websites die je verleiden om gegevens zoals je wachtwoord in te voeren, door andere mails/websites te imiteren.
Als je organisatie groot genoeg is wordt je aangevallen met op maat gemaakte aanvallen. Zo ontvang ik bij mijn huidige werkgever regelmatig mails die de inlogpagina van onze organisatie imiteren, of doen alsof ze van een verre maar belangrijke collega komen "De directeur van afdeling X vraagt of jij voor 16:00 even naar incident http://XXX kan kijken?". Voor je het weet heb je geklikt.

Het mooiste zijn de pagina's die zelf over fishing beginnen. 'Pas op, internet is heel gevaarlijk! Voer hier je wachtwoord in om te laten zien dat je deze waarschuwing hebt gelezen!'
“Het mooiste zijn de pagina's die zelf over fishing beginnen. 'Pas op, internet is heel gevaarlijk! Voer hier je wachtwoord in om te laten zien dat je deze waarschuwing hebt gelezen!'”

Haha ja mooi is dat he. Ik kan dat soort creativiteit wel waarderen. De vraag is hoe je mensen op makkelijke wijze kan trainen niet in dat soort dingen te trappen. “Vul nooit zomaar je wachtwoord in” snappen ze niet of maakt ze bang om het überhaupt in te tikken, zelfs als het wel moet. Dat blijft een redelijk lastig vraagstuk, vooral omdat het eigenlijk allemaal niet gebruiksvriendelijk is en de echt gebruiksvriendelijke noobproof methodes vaak weer afhankelijk zijn van derde partijen wat ook niet ideaal is.
En vervolgens werkt 1Password of lastpass en een hoop andere password managers weer niet lekker met het wachtwoord wijzigen formulier slaan ze het nieuwe wachtwoord op terwijl het aanpassen toch niet gelukt is... Laatst bij KLM was het onmogelijk om een veilig wachtwoord te genereren. De reeks toegestane speciale characters kwam niet overeen met de reeks die 1Password gebruikt.

Vervolgens vechten Chrome en 1Password samen om de wachtwoord prompt met 2 overlappende context menus, synt het toch allemaal niet helemaal lekker, werkt de automatisch aanvullen toch net niet helemaal voor die andere site waar je hetzelfde accoutn voor nodig hebt....

En dan als je het wachtwoord moet overtypen, helemaal leuk op een telefoon toetsenbordje, dan gaat het waarschijnlijk 3x fout...

Nee, mijn ouders zijn echt super tevreden over mijn "Moderne IT oplossing die alles makkelijker maakt...

Ik denk dat ik voor de kerst maar aan iedereen een Yubikey 5 cadeau moet geven.
1. Als een verkeerd wachtwoord perongeluk opgeslagen is (wat alleen gebeurt bij expleciete toestemming), kan je alle historische wachtwoorden met één klik terughalen
2. 1Password heeft een heel duidelijke slider waarmee je het aantal speciale karakters / cijfers kan aanpassen. Zo kun je altijd voldoen aan de eisen van websites
3. Idd, de wachtwoord manager van Chrome kun je beter uit zetten. Gwn alle wachtwoorden exporteren, invoeren in 1Password, en je hebt t niet meer nodig
4. Zowel IOS als Android hebben prachtige ondersteining voor wachtwoord managers. Op IOS klik je bij een wachtwoord veld op 'wachtwoord invullen' op je toetsenbord, authenticeer je met vinger of gezicht, en worrdt het wachtwoord automatisch ingevuld. Op android heeft 1Password een knopje 'wachtwoord invullen' bij wachtwoord velden die hetzelfde doet (heb beide intensief gebruikt). Op zowel PC als macOS kan het met een snelkoppeling of anders knopje in de taak/menubalk.

Ik ben juist van mening dat een password manager alles makkelijker maakt, niet moeilijker. Geen wachtwoorden meer onthouden, geen problemen met websites die vreemde ww eisen hebben, inloggen met letterlijk één druk op de knop, ect. Zelfs een account aanmaken is een kleine zaak geworden, nieuw ww wordt automatisch ingevuld en je hoeft er niet meer over na te denken. Sinds ik een wachtwoord manager gebruik, ben ik een stuk efficiënter op het internet

[Reactie gewijzigd door samuvisser op 1 oktober 2018 11:55]

1) Dat weet jij, Dat weet ik, daar heeft mijn moeder de helpdesk voor nodig.
2) Maar niet WELKE speciale characters worden toegestaan. zie bijvoorbeeld deze van de KLM, niet te doen met 1Password, die blijft maar (){}[];:<> invoeren.
https://pbs.twimg.com/media/DoQxi71XoAAC2VD.jpg:large
3) Snap jij, snap ik, maar Chrome zet 'm stuf af en toe weer aan en m'n moeder is helemaal lost "ik had 'm toch opgeslagen, nu kan ie 'm niet meer vinden".
4) Gebruik ik al jaren. En werkt regelmatig voor geen meter. 1Password zegt regelmatiog "geen password gevonden" zonder dat je een andere kan kiezen. AppId's zijn heel slecht gekoppeld aan domeinen. Prachtig concept, opnieuw, mijn moeder kan er niet mee werken.

En ze hoeft maar 4x zoiets mee te maken en de frictie is te hoog. En daarmee houdt ze het gemiddeld denk ik nog lang vol. Nee echt, geeft mij maar Yubikey 5 + Authenticator app + Master password. Niks geen wacxhtwoorden meer opslaan, nergens niet.
En toch is nummertje 4 een van de lastigste, blijkbaar. Heb zelf een paar jaartjes helpdesk gewerkt voor een internet provider, de hoeveelheid mensen die in phishing trappen is echt schrikbarend. Is al wat jaartjes geleden inmiddels (maar volgens mij is er qua bewustwording niet heel veel veranderd in de tussentijd, wellicht dat mensen ietsjes huiveriger zijn geworden van facebook en dergelijke, maar daar blijft het wel bij), maar kreeg er vaak vragen over. Gelukkig waren dat dan mensen die bij twijfel even de helpdesk bellen, maar zijn er genoeg die er wel op gaan zitten klikken, meestal resulteerde dat in ransomware (dus dan nog niet eens privacy gevoelig phishing, al kan dat even makkelijk).

Heel wat belletjes gehad "ik heb betaald, maar het werkt nog niet, wat nu?" en dat ik ze moet uitleggen dat het een grote scam is en ze voor niets betaald hebben.

En sommige phishing mails zijn ook echt wel erg goed gemaakt, moet je maar net kundig genoeg zijn om te snappen dat je goed het afzenderadres moet controleren, de link die in de mail staat naar het juist domein gaat, en of het uberhaupt wel gebruikelijk is wat er gevraagd wordt van je in de mail.

Dan kan je nog zo veel beveiligingen hebben en netjes je wachtwoorden (in ieder geval beperkt dat dan de impact ...) regelen etc. Maar de gebruiker zelf is nog altijd het grootste veiligheidsrisico, al die maatregelen helpen weinig als gebruiker op allerlei zaken zit te klikken.
Ben eens met wat je zegt, alleen zou ik je laatste opmerking toch nuanceren. Tuurlijk moet je goed opletten, maar ik denk echt dat wachtwoorden een groter ding zijn dan de meeste mensen denken.
Kijk naar https://haveibeenpwned.com, de meeste wachtwoorden zijn gewoon 'algemeen bekend'. Daarmee kan ik als hacker vervolgens je hele sociale identitiet achterhalen
Tuurlijk, maar je wachtwoorden netjes op orde hebben helpt weinig als je die op verkeerde plekken zit in te vullen. In mijn ervaring (is anekdotisch, weet ik) is de gemiddelde gebruiker (in nederland) sneller slachtoffer van malware/ransomware dan van identiteitsfraude (dat ze weten en over klagen, ook niet geheel onbelangrijk ...).

[Reactie gewijzigd door Zoop op 1 oktober 2018 11:22]

Mwah een password manager die je wachtwoorden offline met encryptie opslaat doe ik al. De key staat op een Usb stick die ik altijd bij me heb. (wachtwoorden online in een database opslaat dikke no no)

Mocht ik die kwijtraken kan ik alle wachtwoorden resetten. Mijn mail is al beveiligigd met 2FA.

Een yubbi key met 2fa zou nog veiliger zijn.
De nieuwe YubiKey 5 kan gebruik maken van password-less authentication met de nieuwe FIDO2 standaard. Nu is het natuurlijk wachten tot de grote providers (google, facebook, dropbox, etc...) dit gaan ondersteunen.
Ah dat is wel tof, even in de gaten houden! Passwordless is wel de juiste weg om te gaan imho.
1. Vinden de meeste normale mensen (lees geen tweakers zoals wij) al te complex om te gebruiken
2. Dat begrijpen diezelfde mensen ook niet
3. Weet niet op wat voor sites jij komt, maar die tig waar ik kom hebben dat nog steeds niet
4. Weer te complex voor mensen die geen gevoel voor ICT hebben
Het is niet zo moeilijk hoor, voor een "gewone particulier":
1. zet automatische updates aan => malware misbruikt bekende beveiligingsproblemen. Door stomweg automatische updates aan te zetten, is de meeste malware kansloos.
2. hergebruik geen wachtwoorden => bij een lek is maar een dienst getroffen, en niet alle diensten die je gebruikt

en als je het echt heel goed wilt doen:
3. zet MFA aan voor diensten die dat ondersteunen

enigste wat echt wat van je vraagt, is fishing voorkomen...
2. hergebruik geen wachtwoorden => bij een lek is maar een dienst getroffen, en niet alle diensten die je gebruikt
Maar hóé dan? Een gemiddelde internetgebruiker moet tientallen accounts hebben om een beetje rond te komen, dat gaat die echt niet onthouden. Een password manager dan maar? Dan is er veel keuze, maar hoe maakt men nou de beste keuze? Betaald, niet betaald, sommige hebben eerder lekken gehad, etc etc.

Voor een gemiddeld persoon is dit al te veel moeite, net als iets als het samenstellen van een computer. Dat laat die liever aan iemand anders over. Dat het moeilijk is valt inderdaad mee, maar volgens mij weegt het ontzettend veel mee hoeveel moeite het is om een goede beslissing te maken, en als die keuze moeilijk is te maken, zijn mensen eerder geneigd om verder te gaan zoals het altijd al was.

Voorlichting is één stap, maar het uitvoeren is nog een andere, en met het huidige klimaat van overal-een-account-voor en te veel passwordmanagers om op te noemen, kan ik wel begrijpen dat iemand zegt "laat maar".
Zie het als gaan shoppen voor een nieuwe jeans. Kies er eentje die je leuk lijkt, pas hem. Zit ie niet goed, probeer je de volgende ...

Eén password manager is er beter dan geen. Probeer een gratis versie of een betalende via proefperiode.
Eén password manager is er beter dan geen.
Dat is dus pertinent onjuist.
Het beste is GEEN password manager, tenzij je niet in staat bent om je sterke wachtwoorden te onthouden. Dan is een password manager beter dan zwakke wachtwoorden of overal dezelfde wachtwoorden.

Hetzelfde geldt voor het periodiek wijzigen van wachtwoorden. Dat is in de basis veiliger, maar omdat veel mensen dan vervallen in zwakke wachtwoorden is het in veel gevallen beter om periodieke wijziging van wachtwoorden niet af te dwingen en in plaats daarvan een sterk wachtwoord te promoten.
Een goede password manager is zeker wel beter dan geen.
Verschillende sterke wachtwoorden onthouden kan niemand. Je zit al snel op tientallen accounts. Als je bepaalde logica gaat gebruiken, worden je wachtwoord voorspelbaar, dus zwak.
Uiteindelijk is een password manager dus de enige manier om sterke verschillende wachtwoorden te gebruiken.

Zomaar een wachtwoord manager nemen zou ik ook niet doen, maar als je iets uit de top 5 neemt zit je wel goed.
En toch vind ik het zorgelijk dat de meeste mensen maar één database gebruiken. Immers wordt je container ontsleuteld met één master-wachtwoord, om toegang te krijgen tot al je wachtwoorden.

Laat ik voorop stellen: het is beter dan niets. Maar helemaal veilig is het niet. Compartimenten maken door een paar verschillende containers met unieke masterkeys te maken beschermt je beter bij eventuele ongemerkte diefstal omdat dan slechts een deel van de wachtwoorden bekend wordt bij een kraak.
Akkoord, dat is veiliger. Maar dat is een tweede stap. Wanneer je bijvoorbeeld erg veel accounts hebt of je privé van werk wilt scheiden, lijkt me dit een logische tweede stap.

Laat mensen een eerste stap zetten en hun veiligheid verhogen door te kiezen voor een password manager en ermee te starten.

Indien je van hen verwacht dat ze meteen meerdere databases / container aanmaken, gaan velen afhaken. Je vraagt hen te kunnen lopen vooraleer ze kunnen stappen. Op deze manier stel je zulke hoge eisen dat de massa afhaakt en bereik je weinig resultaat.
Hetzelfde (sterk) wachtwoord op verschillende accounts en diensten gebruiken wil ik je ten sterkste afraden !
ik had het ook niet over hetzelfde sterke wachtwoord.
wel over de inherente onveiligheid aan een enkele password manager
Ik heb meer dan honderden accounts. Ik kan en wil ze niet allemaal onthouden.
Het kan beginnen bij banken die alle tekens in wachtwoorden toestaan.
Bij verschillende banken kan je niet alle tekens gebruiken, waaronder vaak de spatie waardoor een zin niet mogelijk is. Daarnaast is het aantal tekens ook beperkt.
Het ergste daarvan is dat het een teken is dat de wachtwoorden niet op een goede manier opgeslagen worden. Als ze wel goed opgeslagen zouden worden, zouden die beperkingen niet nodig zijn...

Als dat opgelost is, dan kunnen mensen daadwerkelijk ook in de praktijk brengen wat wij ze leren...
Kom regelmatig systemen tegen met allerlei rare wachtwoord restricties. Dus zo'n zin-wachtwoord is zeker goed advies, het kan simpelweg niet altijd.
Kwam pas een webserver tegen die wachtwoorden van maximaal 14 karakters accepteerde, ook geen spaties (kan je wellicht oplossen met dashes of underscores, als die wel mogen).

Ik zie dit nog niet zo snel veranderen, wellicht bij de grotere belangrijkere partijen zoals banken enzo. Maar je blijft genoeg "oude meuk" houden.
In veel gevallen is het een te ver doorgevoerde cross site scripting/SQL Injection preventie. Als je maar geen haakjes, accolades en +, -, % etc toestaat, dan kan niemand problemen veroorzaken.

Een enterprise security regel die van heel hoog uit de boom is getoeterd. En eigenlijk alleen averechts werkt. Want het echte probleem voorkom je er vaak niet mee.

Zegt uiteindelijk niets over de manier hoe dingen zijn opgeslagen...
Fatsoenlijk je input sanitizen en dan kan er ook niemand problemen veroorzaken op SQL. Daarnaast wordt zon wachtwoord toch gehashed opgeslagen, dus zouden die karakters sowieso geen invloed moeten hebben op de DB. Enkel bij het invoeren en vergelijken van het wachtwoord dus, mag ik hopen dat daar sowieso rekening is gehouden met injection, wachtwoordregels of niet, injection kan je sowieso proberen op een formulier.

Als dat de reden is waarom ze bepaalde karakters niet toestaan, heb ik bij voorbaat er al niet veel vertrouwen is (beetje security through obscurity ding).

[Reactie gewijzigd door Zoop op 1 oktober 2018 11:40]

We zijn het volledig eens.
De overheid doet ook goedbedoelde pogingen om tips te delen. De consumentenbond stuurt ook regelmatig tips rond in hun e-mail updates. Een voorbeeld van overheidsinitiatief is https://www.alertonline.nl/tips, met concrete tips voor algemeen gebruik, ouders en werkgevers/werknemers.
En als je dan binnen een organisatie twee-traps verificatie invoert iedereen begint te zeuren dat het onzin is, lastig is en tijd kost.
Als je ze de operationele kosten van een datalek voorschotelt (mogelijk dag(en) bedrijf plat, schade door melding AP etc) en voorstelt om de kosten van hun salaris af te trekken indien het fout gaat, piepen ze wel anders. Het is nogal kort door de bocht, maar "dat is niet makkelijk" is ook een onzinnig argument omdat het geen relatie heeft met het probleem van veiligheid icm bedrijfsvoering en alleen nadelig is voor de gebruiker, die gewoon betaald wordt om het te doen.

edit: taal

[Reactie gewijzigd door Sloerie op 1 oktober 2018 10:30]

Inderdaad ja, zou mooi zijn als je kon dreigen met "dan betalen jullie de kosten maar".
Alles moet snel, makkelijk, veilig en zonder enig voorzichtigheid te gebruiken zijn (wat in de praktijk niet echt gaat, het gaat altijd ten koste van iets). De mogelijke impact van een security breach wordt veel ste licht over gedacht en gezien als een ver-van-me-bed-show (dat lost de IT-er maar op, of dat soort dingen gebeuren mij niet).

Maar goed, andere kant van het plaatje ook niet vergeten. Zijn ook genoeg IT-ers die er eigenlijk te weinig verstand van hebben en daarom maar lukraak belachelijke wachtwoord restricties gaan opleggen. Of andere zaken gaan dicht stoppen (wat uiteindelijk de productiviteit negatief kan beïnvloeden), zo heb ik nog gewerkt bij een bedrijf die alles dicht stopte, inclusief USB poorten op de machine "want dan kan je een usb stick gebruiken en gevoelige info mee naar huis nemen". De toetsenborden en muizen werkte via ps/2. Allemaal belachelijke maatregelen. Ik kon wel gewoon vrij printen, dus desnoods zou ik gevoelige informatie kunnen uitprinten en zo naar huis nemen.

Dus niet vergeten dat er vaak 2 kanten zijn, ja de meeste gebruikers zijn idioten, maar genoeg beheerders zijn dat ook.
Ik ken laptops waar geen usb poorten op zitten (zelfs geen controller) of deze volledig zijn uitgeschakeld, maar dat is voor een iets ander publiek dan de gemiddelde gebruiker. Meestal wordt dit zelfs niet gedaan omdat de apparaten die aan bepaalde restricties moeten voldoen niet meegenomen kunnen worden uit ruimtes en daar policies voor zijn die dit verbieden en de werknemers dit respecteren omdat dat hun werk is. Policies (+ verplichte cursusen) werken meestal ook efficienter en goedkoper voor de meeste gebruikers en lopen vaak om minder weerstand uit dan de soort draconische dingen die je al noemt.

Als annecdote: Bij bedrijven (voornamelijk grotere) waar ik kom, zitten de smartcards permament in de laptops, zelfs als de personen weglopen en hun geunlockde laptops met mij alleen achterlaten. Verbetering kan zeker.

PS/2 is overigens niet beter, aangezien daar ook prima dataloggers voor te bouwen/beschikbaar zijn. :+
Inderdaad ja, zou mooi zijn als je kon dreigen met "dan betalen jullie de kosten maar".
Het was meer bedoelt als voorbeeldmaatregel. Je constateert net als ik dat er meestal geen idee is van de schade of problemen die een lek of hack met zich meebrengen en wat educatie zou op zijn plaats zijn.

[Reactie gewijzigd door Sloerie op 1 oktober 2018 13:24]

PS/2 is overigens niet beter, aangezien daar ook prima dataloggers voor te bouwen/beschikbaar zijn. :+
Precies, dat is wat ik ook aankaartte, plus dat er nog tal andere manieren zijn om bewust of onbewust data te lekken, mijn machine had (per uitzondering) toegang tot ongefilterd internet, dus al die andere maatregelen zijn dan sowieso al nutteloos. Maar nee, bij het uitzoeken van "nieuwe" hardware werd er naar 2e hands oude meuk gekeken omdat ps/2 poorten een vereiste waren (wtf), puur omdat ze usb niet vertrouwen, niet lang gewerkt daar.
Mijn team is net begonnen met twee-traps invoeren hier . Ik slaap er nu al beter van.

Vooral voor internetfacing diensten is het prettig om te weten dat je niet alleen maar een slingerende laptop of verkeerde publieke log-in weg bent van een datalek, of erger.
Ik vind dat laatste helemaal niet zo'n slecht idee en eigenlijk zelfs buiten de 'betutteling' vallen. Volgens mij leer je min of meer ook dat je links kijken, rechts kijken, links kijken, oversteken moet doen voordat je de straat oversteekt. Dat mag met 'belangrijkere' handelingen op het internet rustig geleerd worden. Als er maar 40% blijft hangen is dat al beter dan niets.
Gewoonweg elk stukje software of app je laten forceren een wachtwoord van minimaal 16 characters te laten invoeren met caps, digits en speciale tekens. Doe je dat niet? Geen toegang tot de software.
En dan gebruikt iedereen hetzelfde wachtwoord voor elke site. Dag veiligheid.

Laat juist die verplichte caps, digits en speciale tekens weg. Een lang wachtwoord (een zin, hoeft geen logische zin te zijn) is makkelijker te onthouden en lastiger te kraken dan een kort wachtwoord met allerlei vreemde tekens, welke niet te onthouden is.
Dat lang wachtwoord is uiteraard enkel en alleen veiliger als er een "domme" aanvaller het wachtwoord probeert te bruteforcen op de traditionele manier... Een slimmere aanvaller zet gewoon een dictionary in met NL/EN woorden en wat mangling rules.

Dat gezegd zijnde, een wachtwoordzin is natuurlijk nog altijd iets beter dan een kort wachtwoord.
Er zijn zoveel woorden en dan heb je nog de schrijfwijze van je wachtwoord. Hoofletters erin steken is niet moeilijk dus moet je ook nog eens elke combinatie van kleine en hoofdletters gaan testen. Een goede zin als wachtwoord is daarom nog altijd veiliger dan 12 willekeurige karakters met wat speciale tekens tussen.
Een goede zin als wachtwoord is daarom nog altijd veiliger dan 12 willekeurige karakters met wat speciale tekens tussen.
waarom precies?
https://www.xkcd.com/936/
Dit legt het het beste uit.

Je kan een dictionary gebruiken. Maar als ik 4 random woorden kies, heb je ook weinig aan de dictionary meer. Aangezien je geen melding krijgt dat je 1 woord goed hebt ofzo.... Plus dat je niet zeker weet of de gebruiker van het wachtwoord niet een naam, of eigen bedacht woord er tussen heeft zitten.
Natuurlijk. Dat xkcd linkje klopt. Maar volgens mij (en volgens mijn password manager) is een compleet random 12 karakter string net zo veilig als een wachtzin. Zelf laat ik meestal een random 24 karakter string genereren, denk er nauwelijks meer over na.
Behalve dat veel mensen bij het kiezen van zo'n wachtwoordzin waarschijnlijk de hoofdletter aan het begin van de zin, of elk woord gaan zetten, wat het aantal combinaties weer enorm beperkt.

Daarom durf ik te stellen dat het niet altijd veiliger is. In een deel van de gevallen waarschijnlijk wel, maar zeker niet altijd.
Een slimmere aanvaller zet gewoon een dictionary in met NL/EN woorden en wat mangling rules.
Als de aanvaller de taal niet weet, moet hij dus alle talen door en heb je een factor 20 aan sterkte erbij. Ga je woorden uit verschillende talen combineren, dan is die toename exponentieel. Alle goedwerkende "Mangling rules" moeten uitproberen, idem. Een klein beetje variatie helpt dus al héél veel.

Gegeven een wachtwoord(patroon) wordt er vaak achteraf beredeneerd waarom dat patroon niet sterk zou zijn want "als een tool zus en zo wachtwoorden genereerd dan raadt die dat patroon". Zo werkt entropie dus niet. Gooi de Japanse naam van je favoriete Manga-figuur in je wachtwoorden, en je bent al heel wat verder.
Op een willekeurige site, met willekeurige gebruikers is het natuurlijk niet van toepassing, omdat je daar inderdaad wel weinig van weet.

Maar bij specifieke aanvallen (bijv. jouw account hier op Tweakers), kan je er wel van uitgaan dat er een mogelijkheid is dat mensen gewoon een paar Nederlandse woorden aan elkaar plakken... En als je dan letterlijk de XKCD volgt, dan is het gewoon allemaal lowercase ;)
Zoals de XKCD uitlegt, is de entropie bij aan elkaar geplakte woorden níet erg slecht, ook als je geen extra variaties maakt. Zeg dat er in het Engels zo'n 100000 woorden zijn (beetje vage schatting, maar is ook niet precies te zeggen), dan heeft een woord zo'n ~17 bits aan entropie. Vier woorden geeft dan 66 bits entropie, dat is vergelijkbaar met een wachtwoord met 10 compleet willekeurige ascii-tekens. Niet extreem sterk, maar waarschijnlijk sterker dan het gemiddelde huis-tuin-en-keuken-wachtwoord.

Wat extra variatie is inderdaad beter. Gooi er een letter en cijfer voor (en dat hoeft niet heel verassend te zijn - het is puur om van 100% lowercase ascii af te zijn), of een naam of een niet-bestaand woord, en je entropie neem exponentieel toe.
En dat werkt alleen wanneer de site of het systeem het account niet blokkeert na 10 pogingen.
Ik had het uiteraard niet op brute-force via de officiële inlog van de site/systeem, maar over offline attacks. Brute-forcen op een live systeem heeft zelfs met een random 12 character wachtwoord niet veel nut (juist vanwege de lock-out die je zelf aanhaalt).
En dan gebruikt iedereen hetzelfde wachtwoord voor elke site. Dag veiligheid.
Ik denk dat je hier mooi de kern van het probleem beschrijft.

De schuld wordt in de schoenen van de gebruiker geschoven, omdat deze overal hetzelfde wachtwoord gebruikt.
Echter zou de verantwoording bij de (developers van) websites moeten liggen.
Als de gebruikersgegevens in de eerste plaats al niet buit of bruikbaar gemaakt kunnen worden is er niets aan de hand.

Helaas zijn er ondertussen al honderden miljoenen buitgemaakte accountgegevens inclusief wachtwoorden in omloop en is het dus wel het probleem van de gebruiker geworden. We lopen achter de feiten aan.

Je kan je afvragen of hele systeem van identificatie dmv een combinatie username|email adres + wachtwoord is in zijn huidige vorm nog wel verantwoord is.
Daar is two-factor authentication ook voor bedacht. Maar dat vinden veel mensen te ingewikkeld of teveel werk.
Dat is dus juist niet goed. Juist het vaak wijzigen en het forceren van een bijzonder wachtwoord met veel eisen zorgt er voor dat men juist of het wachtwoord met een postitje lekker op hun monitor plakt, of iets als Welkom1234567! Kiest ...
Je hebt gelijk. Ik kom het dagelijks tegen. Mensen zijn hardleers en er moet eerst iets gaan gebeuren voordat men nadenkt over de lengte/sterkte van een wachtwoord.
En vind je dat vreemd? Als je ziet dat zelfs IT'ers nog de idiote dingen over 'sterke' wachtwoorden geloven. Sterke wachtwoorden is relevant voor zaken die offline gebruteforced kunnen worden. Ik hoop toch dat Google niet 100000 pogingen toestaat om in mijn e-mail te komen, dus bruteforcen is daar al geen optie. Wat dus belangrijk is, is dat je geen wachtwoord hebt die voorkomt in de top X meest gebruikte wachtwoorden. Maar al dat gedoe met speciale tekens is gelul. Die kennen degene die een dictionary attack doen ook wel.

Oftwel als wachtwoord is "wmlkom" een sterker wachtwoord als "W3lk0m!", ook al voldoet die tweede aan alle standaard tickboxes over wat een goed wachtwoord is en die eerste niet.
En vind je dat vreemd? Als je ziet dat zelfs IT'ers nog de idiote dingen over 'sterke' wachtwoorden geloven. Sterke wachtwoorden is relevant voor zaken die offline gebruteforced kunnen worden. Ik hoop toch dat Google niet 100000 pogingen toestaat om in mijn e-mail te komen, dus bruteforcen is daar al geen optie.
Het probleem is dat we het met "hopen" moeten doen. "Weten" zou beter zijn.

Je hebt op zich gelijk. Net zoals we onze bankpassen beveiligen met een PIN-code van 4 cijfers kunnen we onze accounts ook met eenvoudige wachtwoorden beveiligen, op voorwaarde dat er aanvullende maatregelen zijn. Zoals dat je maar drie keer mag proberen en dan wordt je kaart ingenomen door de PIN-automaat.
Ik zou willen dat het ook zo werkte voor computerwachtwoorden.

Op internet mogen we er niet van uit gaan dat het zo werkt. De praktijk is helaas dat de meeste sites niks aan brute-force bescherming doen. Een deel van de verklaring is dat je eigenlijk een tweede factor nodig hebt om het goed te doen, zoals een PIN-pas. Anders kan de eerste de beste lolbroek al je gebruikers blokkeren door een paar keer verkeerd in te loggen.
Ik heb meegemaakt dat een college niet door ging omdat studenten naar de PC van de docent liepen en een paar keer opzettelijk een verkeerde wachtwoord intikte zodat de account werd geblokkeerd en de docent niet bij z'n lesmateriaal kon.
Je zou verwachten dat inloggen vanaf een andere computer dan nog wel lukt.
Je hebt gelijk. Ik kom het dagelijks tegen. Mensen zijn hardleers en er moet eerst iets gaan gebeuren voordat men nadenkt over de lengte/sterkte van een wachtwoord.
Correctie: Veiligheidsexperts zijn hardleers en er moet iets gaan gebeuren voordat men inziet dat langere en sterkere wachtwoorden afdwingen ten koste gaat van de veiligheid. Hoe lastiger beveiliging is, des te vindingrijker men wordt in het omzeilen ervan. Een sterk wachtwoord is waardeloos wanneer het op een post-it staat dat op het beeldscherm geplakt is. (Of met de sterke wachtwoorden van 50+ andere systemen en websites in een schriftje dat naast het toetsenbord ligt.)
[...]
Correctie: Veiligheidsexperts zijn hardleers en er moet iets gaan gebeuren voordat men inziet dat langere en sterkere wachtwoorden afdwingen ten koste gaat van de veiligheid.
Discussie over de lengte van wachtwoorden is om om de hete brij heen draaien. We hebben ook geen discussies over de juiste lengte (of het veiligheidsniveau) van onze voordeursleutel. Het onderliggende probleem is dat mensen niet genoeg inzicht hebben om een redelijke inschatting van de veiligheid te maken.
Van onze huissleutels weten we dat ze voldoende zijn om de meeste mensen buiten te houden, maar dat een professionele inbreker in een paar seconde binnen is. En dat je ook het ruitje naast de deur kan intikken.

We hangen veel te veel veiligheid op aan wachtwoorden en consumenten PC's terwijl de gebruikers geen intuitie hebben de veiligheid en de beperkingen. Als we dat probleem kunnen oplossen dan verdwijnt de discussie over veilige wachtwoorden vanzelf.
Dat werkt niet. Hoe moeilijker de wachtwoorden moeten zijn, hoe groter de kans dat mensen voor alles hetzelfde gaan gebruiken. Is er dan 1x een hack, dan zijn al die mensen ook weer meteen de pineut.
Dat is net een zeer slecht idee. Er zijn voldoende studies die aantonen dat het verplichten van complexiteit de wachtwoorden net minder sterk maakt. De enige goede eis is een lang wachtwoord, maar dan loop je weer tegen veel te veel diensten aan die geen lange wachtwoorden accepteren. Overlaatst kwam ik nog een financiële instelling tegen waar mijn wachtwoord niet langer dan 24 karakters mocht zijn.
Ik weet niet of het nog steeds zo is, maar ik weet dat banken een aantal jaar geleden er aan vast hielden dat je wachtwoord niet langer dan 16 karakters mocht zijn. Toen ik daar een vraag aan toe wijdde kreeg ik doodleuk te horen dat het systeem er niet op gebouwd was om sterker op te slaan.
(beetje offtopic, maar die 24 deed me aan dit denken)

Ben zelf webdeveloper, moest werken aan bestaande website gehost op een server van een andere partij. FTP/SSH gegevens onbekend, dus nieuw wachtwoord aanmaken via CP.
Genereer een 24 karakter wachtwoord.
Probeer in te loggen > authentication failed.
Nog eens geprobeerd, nog niet.
Helpdesk gebeld, wachtwoord mag maximaal 14 lang zijn, en heeft dus enkel de 1e 14 karakters van ons 24 karakter lange wachtwoord opgeslagen.
Doh
Dit. Silent corruption. Kom het ook vaak tegen icm mijn password manager. Soms wordt het stilletjes afgeknipt. Soms snapt hij bepaalde bijzondere tekens niet. Quotes en dollar-tekens zijn hier in ieder geval vaak terugkerende voorbeelden van. Sommige websites geven een fout, anderen slikken het wel maar slaan het onjuist op.

Aangezien ik geen zin heb om elke keer de generation policy te veranderen heb ik nu als standaard 16 willekeurige alfanumerieke characters. Lang genoeg om ook met de beperkte character set veilig te zijn, en bijna altijd niet te lang om geweigerd te worden. Behalve websites die vervolgens eisen dat er wel leestekens in voorkomen, maar vervolgens weer quotes oid gaan weigeren 8)7
En iedereen gaat naar de concurrent
Veel beter als je altijd gewoon magic (inlog) links naar je email kan laten sturen (in elke webapp, net als slack), dan is je email box gewoon je master password, en heb je geen password manager en meerdere passwords meer nodig.
Totdat iemand toegang tot je mailbox krijgt.
tja maar das toch het zelfde probleem met een password manager, en met elke manier van secret management? Het voordeel is dat je in ieder geval geen slap wachtwoord meer kunt kiezen, of kunt hergebruiken, alleen voor je inbox, maar dat scheelt weer een berg wachtwoorden onthouden.

dan heb je dus eigenlijk een passwordmanager voor leken, precies het probleem wat hier beschreven wordt wordt opgelost volgens mij?
Je mailbox, of althans de mailserver waar jij je mailbox op hebt staan is een aantrekkelijk doelwit, waarvan de beveiliging afhankelijk is van de gebruikte apparatuur/ software/ kennis en kunde van de systeembeheerder. De beveiliging kan heel goed geregeld zijn, maar ook heel slecht.
Een passwordmanager met wachtwoordkluis op een USB-stick is veel lastiger. Zelfs met online storage zal de beveiliging van een passwordmanager beter geregeld zijn dan die van de gemiddelde emailserver.

Maar in principe heb je gelijk dat je met inlog links in emails een stuk beter beveiligd bent dan de gemiddelde gebruiker nu is. Zeker wanneer je de gebruikte emails meteen verwijdert, zodat een toevallige 'bezoeker' van de mailserver niet ziet hoe je wachtwoordbeheer in elkaar zit.
De leraren vallen ook onder die vier uit de tien.

De scholen van mijn kinderen hebben mooie statements op papier, maar vervolgens krijgen ze wel de opdracht van een leraar om ergens een account aan te maken omdat je dan zo mooi dit of dat kunt maken voor een schoolopdracht. Het zijn vaak van die sites waar je 3x gratis iets kunt samenstellen maar voor je account wel adresgegevens en telefoonnummer moet invoeren.

En hoe vaak je niet mailtjes krijgt die per ongeluk naar alle leerlingen worden gestuurd omdat leraren niet voldoende kijken voordat ze op verzenden drukken...
En niet te vergeten dat die dingen steevast in Flash ofzo zijn gebouwd.
Dat komt dan weer door de beperkte middelen in het onderwijs, daar zijn al hele stakingen voor uitgevochten. Zo'n leraar krijgt het gewoon niet voor elkaar om degelijk lesmateriaal aan te bieden en gebruikt uit armoe een dergelijke website om toch zijn vak te kunnen uitoefenen. Mensen zoeken soms zelf naar oplossingen, ik ken collega's die het plannen van een graafmachine in een eigen whatsapp groepje doen omdat de planningtool van de baas te wensen over laat. Is dit wenselijk? Absoluut niet. Werkt het? Ja, voor de collega's wel. Dat de baas niet weet waar zijn graafmachine naar toe is en wanneer die terug komt, tja...
Het is in zo veel gevallen echt puur luiheid en koppigheid. Ik kreeg onlangs de vraag van een grote klant om in haar app iets in te bouwen dat in plaintext het username en password opslaat, om ervoor te zorgen dat wanneer een session refresh faalt de gebruiker opnieuw te kunnen inloggen. Wanneer ik weigerde werden ze geïrriteerd want ja de gebruiker moet toch de beste ervaring hebben! Ik heb ze nog eens duidelijk op de feiten gedrukt, en gezegd dat het geen goeie ervaring is voor de gebruiker dat de inloggegevens van hun klanten niet veilig worden opgeslagen, en dat dat serieuze imagoschade tot gevolg kon hebben. Veiligheid van data staat zowel bij gebruikers als bij service-aanbieders lang nog niet op 1.
Ik heb in het verleden ook (native) mobiele apps gebouwd en dit soort discussies tot in den treure gevoerd. Ja, het is vervelend, helemaal mee eens. Maar anderzijds, het opvoeden van dit soort mensen/klanten is van vitaal belang voor jouw code als hun project.
Het hangt heel erg van de mensen af, veel mensen weten simpel weg niet wat zij zouden kunnen of moeten doen om dingen veiliger te maken. Het is het zelfde als een auto tot de verplichte APK keuring er was waren tweedehands auto's in sommige gevallen levensgevaarlijk of gewoon niet geschikt om de weg mee op te gaan maar de meeste mensen wisten simpel weg niet meer dan drie pedalen, een stuur en een handrem even kijken of de motor er mooi uitzag en het zal wel goed zijn.

De overheid nog de opleiding zijn geschikt als oplossing om mensen beter te beschermen online. De overheid en ICT is al jaren geleden bewezen werkt simpel weg niet. En zelfs op gerenommeerde IT opleidingen in Nederland zie je dat veel van de materialen sterk verouderd zijn en de les stof vaak niet aansluit bij de laatste ontwikkelingen. Ik kan me dan ook niet voorstellen dat de steeds maar slechter wordende opleidingen in Nederland mensen goed zouden kunnen helpen bij het beter begrijpen van het inperken van online risico's.

Mensen moeten simpel weg leren dat zij verantwoordelijkheid hebben, ook als het gaat om online veiligheid. Je wachtwoord niet steeds veranderen is geen probleem, ook het zelfde wachtwoord gebruiken voor veel diensten is geen probleem. Wel is het dan je eigen schuld als je vervolgens tot de conclusie komt dat men misbruik maakt van jouw account. Ook de keuze om geen virus scanner te gebruiken is volledig aan jouw maar ook hier is het niet de schuld van de overheid dan wel het onderwijs als jij ook na dat een virus voor problemen heeft gezorgd er nog voor kiest hier niets aan te doen en geen virus scanner installeert.
Het altijd maar leunen op een externe partij (als het even kan de overheid) om mensen te vertellen dat als zij geldzaken regelen online zij misschien ook eens zouden moeten kijken naar hun online veiligheid is totale onzin. Mensen hebben zelf verantwoordelijkheid en het is helemaal geen zaak van de overheid om dit soort dingen voor mensen te regelen of om mensen te onderwijzen in het gebruik van een systeem dat zij zelf hebben aangeschaft zonder voldoende kennis om het veilig te gebruiken.
Ieder jaar weer verliezen mensen (delen van) ledematen door het verkeerd gebruik van kettingzagen. Het is net zo min de rol van de overheid of het onderwijs om mensen te wijzen op de gevaren van de kettingzaag als het hun rol is om mensen te onderwijzen in het veilig gebruik van hun computer.
Mensen moeten simpel weg leren dat zij verantwoordelijkheid hebben, ook als het gaat om online veiligheid. Je wachtwoord niet steeds veranderen is geen probleem, ook het zelfde wachtwoord gebruiken voor veel diensten is geen probleem. Wel is het dan je eigen schuld als je vervolgens tot de conclusie komt dat men misbruik maakt van jouw account. Ook de keuze om geen virus scanner te gebruiken is volledig aan jouw maar ook hier is het niet de schuld van de overheid dan wel het onderwijs als jij ook na dat een virus voor problemen heeft gezorgd er nog voor kiest hier niets aan te doen en geen virus scanner installeert.
Technisch gezien ben ik het met je eens, maar ik weet niet hoe haalbaar het is in de praktijk. Je kan iemand ook niet zonder opleiding in een F-16 zetten en zeggen dat hij verantwoordelijk moet vliegen. De enige verantwoordelijke actie is uitstappen. Als je van je baas een F-16 krijgt om naar je klanten te gaan, dan heb je niet veel keuze en zal een flink deel van de werknemers proberen om op te stijgen, met voorspelbare gevolgen.
Mensen hebben zelf verantwoordelijkheid en het is helemaal geen zaak van de overheid om dit soort dingen voor mensen te regelen of om mensen te onderwijzen in het gebruik van een systeem dat zij zelf hebben aangeschaft zonder voldoende kennis om het veilig te gebruiken.
Totdat anderen er last van krijgen. Veilige autorijden is ook je eigen verantwoordelijkheid, maar als je samen met anderen de weg op gaat dan heeft de overheid daar regels voor. Er zijn zowel regels voor de auto (APK enzo) als voor de bestuurders als voor de wegen waar ze op rijden als voor de brandstof die in de auto' s gaat. Al die regels gaan uiteindelijk over het beschermen van anderen.
Ieder jaar weer verliezen mensen (delen van) ledematen door het verkeerd gebruik van kettingzagen. Het is net zo min de rol van de overheid of het onderwijs om mensen te wijzen op de gevaren van de kettingzaag als het hun rol is om mensen te onderwijzen in het veilig gebruik van hun computer.
Het onderwijs is geen plek om mensen te wijzen op gevaren? Dat heb je vast niet zo bedoeld.
Daarbij bemoeit de overheid zich, direct of indirect, wel degelijk met kettingzagen en het gebruik daarvan.

https://www.arboportaal.nl/onderwerpen/beschermende-kleding
https://efesc.org/european-chainsaw-certificate/
"ISO 11681-1:2011 Machinery for forestry -- Portable chain-saw safety requirements and testing"

Het is niet nodig dat de overheid alles helemaal dicht timmert, maar een zeker minimum veiligheidsniveau eisen zou wel mogen.
Als kok vind ik het ook onbegrijpelijk dat mensen zich niet méér willen verdiepen in koken en een lekkere, betere maaltijd op tafel zetten.

Mensen moeten zich in elk aspect van hun leven specialiseren (opvoeden van kinderen, financieel, professioneel, ICT, eten, politiek etc. etc.)

Het is niet realistisch om te verwachten dat mensen dat allemaal doen. Hoe belangrijk het ook is.
Het verschil met (digitale) veiligheid en jouw voorbeeld is dat het gebrek aan (kennis/gedrag/houding) op het gebied van digitale veiligheid ernstige nadelige gevolgen voor jezelf of anderen kan hebben.

Als ik een autoriteit in mijn vakgebied (chefkok) ben en digitale veiligheid me een worst (woordgrapje) kan interesseren, bestaat de kans dat anderen hiervan de dupe worden. Denk aan een phishing e-mail verspreid via mijn LinkedIn of mailbox waardoor een kennis een deel van zijn of haar fotocollectie of boekhouding verliest. Of de studiebeurs van mijn kinderen die in rook op gaat omdat ik mijn bankgegevens afgeef aan die vriendelijke support medewerker. Om maar niet te spreken over scenarios als afpersing wanneer een hacker wat privé kliekjes van jou en je man/vrouw vindt.

Wanneer ik besluit om me niet méér te verdiepen in lekker koken heb ik hooguit een vrouw en kinderen die liever buiten de deur eten of besluiten om het koken over te nemen.
Tja, en toch hoor je er niet zo gek vaak over. Mijn ouders zijn beiden niet best digitaal onderlegt, ondanks dat ze nu alles online (moeten) doen. is nog nooit misgegaan. Ook bij mij niet, ondanks dat ik geen genie ben op IT gebied. Ik zeg niet dat het daardoor onbelangrijk is, echt niet, maar er is gewoon maar heel beperkt ruimte om mensen dingen te leren, kost heel veel tijd en heel veel geld, en iemand moet dat betalen. Zolang mensen het zelf niet zo heel interessant vinden, gaat ook niemand zich laten scholen erin. Ik weet nog goed hoe ik gedwongen werd op school om te sporten en boeken te analyseren, en ik heb er de grootst mogelijke hekel aan gekregen omdat het MOEST en ik het niet interessant vond.

Iemand die zijn bankgegevens zomaar afgeeft vergelijk ik bijna met iemand die heroïne gebruikt ;-) Dat niveau (om niet te doen) heeft bijna iedereen onder de knie, en die paar mensen (soms bejaarde mensen die aan de deur opgelicht worden) waarbij dat gebeurt help onderwijs echt helemaal niets. Dan vertrouw je mensen, en er zijn zelfs mantelzorgers die stelen van hun eigen vader of moeder, niemand die er controle over kan hebben.

In Amerika (en in Europa zijn we ook niet heilig) eet 40% van de McDonalds klanten minimaal 4x per week ongezond Fastfood. Mensen gaan gewoon zomaar 10 jaar eerder dood door dat gedrag :-) Of iemand dan een keer weet wat ik verdien vind ik veel minder interessant.

PS, wel erg leuk dat je het hebt over het afpersen door middel van Privé kliekjes :-) mooie typo in dit voorbeeld.
Alle diensten zouden verplicht two-factor authenticatie aan moeten zetten, dan kan je desnoods hetzelfde wachtwoord gebruiken.
En wat als je ervoor kiest om geen GSM/Smartphone te hebben ?
Dan heb je een probleem.
Dan kun je gebruik maken van fysieke tweefactorauthenticatie (zoals een Yubikey), software op je computer om 2FA te doen (Authy), een tablet met een webcam om TOTP codes te scannen, etc. en als laatste optie mensen zo'n dongel laten gebruiken zoals de Rabobank dat ook doet.

Als je dan kiest geen ander device te gebruiken heb je daar een nadeel aan (dongel is onhandig) maar ben je nog wel veilig.

Tweefactorauthenticatie over ouderwetse SMS/telefoon is sowieso niet veilig, Andere vormen van 2FA wisselen in veiligheid maar zijn altijd nog veiliger dan geen 2FA. Het grootste probleem op dit moment is dat iedere website zijn eigen set aan standaarden bijhoudt (de een doet wel TOTP maar geen U2F, de DigiD heeft weer een eigen app, enzovoorts). Als websites en diensten dit soort protocollen meer gelijk zouden trekken zouden de grootste obstakels van 2FA verdwijnen.
En wie moet dat onderwijzen?
De huidige leerklachten m/v op de basisschool zijn niet geschoold in digitale zaken. Laat staan kunnen zij daar les in geven.
De lagere schoolcomputers worden ook vaak maar door 'hobby' ouders onderhouden.

Op de middelbare scholen is het meestal wel beter geregeld, maar de slechte basis is helaas al gelegd op de basisschool.
Dan ben ik wel heel benieuwd over welke 'her en der tweaks' je het hebt. Ik werk zelf ook als programmeur, maar veiligheid interesseert hier echt geen ene moer.

Voor mijn eigen veiligheid is het enige wat ik doe af en toe mijn software upgraden om te zorgen dat security patches worden eegenomen.

Elke tip is welkom :)
Een vriend van mij een MTSer; Ik heb geen anti-virus want ik kom niet op verkeerde sites...
Dat vind ik flink naïef...
Er zijn hier op Tweakers.net ook een aantal personen die vinden dat antivirus niet nodig is wanneer je oplet op wat je doet. Mensen die beweren jarenlang zonder antivirus op hun computer te kunnen werken zonder enig probleem te hebben.
Eenzelfde argument hoor je ook al jaren van de gebruikers van een bepaald computermerk overigens :) .
Ik heb al eens eerder geopperd dat we best van het schoolwezen en/of de overheid iets moeten kunnen verwachten in het onderwijzen van mensen in een digitaal tijdperk. Je kan dit zien als betutteling, maar veiligheid online is mijns inziens net zo belangrijk als het basisschool fietsexamen. Je kan er ook niet vroeg genoeg mee beginnen.
Dit wordt deels ook al gedaan. Alleen het probleem op dit moment, is dat sommige leraren wel begrijpen wáárom online veiligheid essentieel is, maar ze snappen niets van de platformen waar de kinderen zich op bevinden. De één heeft een Apple telefoon, de ander Samsung - maar juist in dat segment ook goedkope versies zoals een huawai, of hoe je dat ook schrijft. En sommige kinderen mogen niet eens achter de computer van hun ouders, omdat die willen dat ze per sé buiten gaan spelen.
Daar leer je dus ook niets over online veiligheid.

Dus ja, mee eens dat je vroeg moet beginnen, maar het zal even duren voordat alle ouderen ook hiervan het belang gaan zien. En dan óók nog eens concreet weten wat je moet / kan doen op ieder beschikbaar platform.

[Reactie gewijzigd door dwarfangel op 1 oktober 2018 11:21]

Inderdaad, prachtige vergelijking. Voor jou is als software engineer is het een van de belangrijkste zaken. Maar voor een automonteur is dit anders, die bekijkt of de auto door de apk komt. De schoonmaker zorgt dat er gele bordjes staan op plaatsen waar het glad is tijdens en na het schoonmaken. En een PCS7 engineer denkt er over na zodat iemand zijn vingers niet kwijtraakt bij software wijzigingen terwijl degene met de machines werkt geen idee heeft hoe deze software in elkaar zit.
Je moet de verantwoordelijkheid niet bij een leek neerleggen maar de normen en regulering bij degene die ervoor gestudeerd hebben.
We kunnen als IT-ers ook de hand in eigen boezem steken en er voor gaan zorgen dat eindgebruikers zich hier niet druk over hoeven te maken. Als automobilist hoef je ook niet de details te weten van wat er allemaal onder de motorkap gebeurt. Een paar controlelampjes en een snelheidsmeter is het enige wat je echt nodig hebt. Dat is de enige kennis die je moet leren en alles wat verder nodig is wordt door professionals gedaan. IT staat na heel veel decennia nog steeds in de kinderschoenen, terwijl de industrie op zich toch al behoorlijk oud is. Zelfs de meest gebruikersvriendelijke upgradeprocedure is voor veel gebruikers te technisch.
Voordat ik mijn mening geef wil ik met klem vermelden dat je volledig gelijk hebt.

Probleem waar veel mensen (ik ook) tegen aanlopen is niet dat ze een wachtwoord voor een site of voor een emailaccount moeten hebben maar voor zo'n beetje iedere scheet die je laat een account nodig hebt. Webwinkels bijvoorbeeld. (en nu gaan we even denkbeeldig doen) Je hebt een winkel voor je kleding, voor je elektronica (en pc rommel) Voor je fietsonderdelen (in mijn geval dan) een BOL.com account en zo kunnen we nog wel ff doorgaan. En dan voor iedere webshop een ander ww aanmaken. Dan raak ik de tel ook kwijt. En dan heb ik het nog over de gedachte dat ik voor elke categorie product maar één webshop heb. wordt ik horendol van. Op een bepaald punt voer ik maar wat in en klik ik later op wachtwoord vergeten.

Op het gebied van verdere privacy heb ik hetzelfde gevoel als jij tho. Installeer een paar addons in je browser en je bent al een heel eind. Maar veel mensen worden bang en denken van ja maar hoe regel ik dit allemaal. en hoe kunnen mijn gegevens nu gestolen worden? Die kennis zit er niet in bij veel mensen. Tis dat ik zelf ooit een ICT opleiding heb gedaan (heb wel een diploma maar ben wat anders gaan studeren) dat ik me veel voorkomende dingen kan bedenken. Maar veel mensen weten dat gewoon niet. En daarom is jou laatste alinea zo immens belangrijk. Mensen moeten zich ervan bewust worden. je hoeft niet met powershell te kunnen werken maar gewoon het begrip van het internet. Waar is jouw data naartoe. wie kan erbij. hoe lopen die verbindingen allemaal. Hoe kom je erachter waar de zwakke plekken in de verdediging zitten. dat soort dingen.
Ik vraag me soms ook af in hoeverre het nuttig is om daar ver “hardcore” in te gaan voor redelijk triviale zaken en of dat niet averechts werkt. Je account bij een webshop die gekraakt wordt is eigenlijk vervelend om 3 zaken: webshops die achteraf betalen aanbieden (wat vaak ook nog eens zonder extra controles gewoon werkt als je het afleveradres wijzigt, dat slaat helemaal nergens op.) zonder dat je dat kan blokkeren, webshops die je betaalmethode zoals credit card onthouden zonder bij elke bestelling tenminste te vragen om CVC-code en ten slotte is je bestelgeschiedenis inzichtelijk. Dat laatste is vervelend gezien het niemand iets aangaat wat je waar bestelt, maar het is vaak niet echt een ramp - afhankelijk van de shop. Dat eerste twee zijn wel een groot probleem en daar kunnen mensen echt van in de problemen komen.

Voor de doorsnee webshop die dat soort methodes niet aanbiedt is het de vraag in hoeverre het de balans beïnvloedt tussen veiligheid en bezwarend/afschrikwekkend voor de gebruiker waardoor je je, wellicht enigszins controversieel, moet afvragen of het zin heeft om tegen de doorsnee consument te roepen dat ze ook voor dat soort dingen geen basiswachtwoord met een lichte variatie per shop kunnen gebruiken maar ook dat uniek en tig tekens moet zijn voor elke shop. Let wel dat dit basiswachtwoord uiteraard niet bij gevoelige zaken hergebruikt moet worden. Maar een wachtwoord voor verschillende shops met lichte variaties is voor veel mensen best te doen, unieke sterke wachtwoorden per shop vaak niet. Dan moet je je afvragen wat je liever hebt, dat ze zichzelf iets veiliger maken met een compromis of dat ze het zo complex vinden dat ze toch weer teruggrijpen naar volledige password recycling omdat ze het niet snappen of te vaak problemen ondervinden...

Voor gevoelige zaken is een sterk uniek wachtwoord, en het liefst ook een unieke username/email erbij (maakt het vinden van de account veel moeilijker), van groot belang. Om het redelijk simpel te houden voor de gemiddelde noob vraag ik me echter af of het wel nut heeft bij de triviale zaken en daar niet beter voor een compromis kan kiezen. Ja het is niet optimaal, maar het is op dit moment nog altijd beter dan niets doen omdat men het ervaart als te moeilijk, complex en onhandig.

De ideale oplossing is lastig te vinden, daar absolute veiligheid nog altijd het gebruiksgemak negatief beïnvloedt. En vice-versa moet voor gebruiksgemak een compromis gezocht worden. Zoeken naar een werkbare methode die sub-optimaal is maar wel al een stuk veiliger is dan hoe de mensen er nu vaak mee omgaan is een mooie tussenstap. (En ja, wachtwoordmanagers zijn redelijk gebruiksvriendelijk - maar ook niet de heilige graal en ook die hebben zwaktes.)

Dat en gewoon je betaalmethode niet in de webshop opslaan is ook een slim plan. ;) Geen CC-gegevens, geen “PayPal Authorisation”, geen “betaal achteraf met autoincasso”. Gewoon iDeal, PayPal na login of ter plekke je CC-gegevens invullen en daarmee basta.

Unieke users en wachtwoorden per shop is nog altijd het beste, maar als je mensen wilt beveiligen zijn beginnen met kleine stapjes voor dit soort dingen vaak beter dan ze meteen in het diepe gooien. Langzaam evolueren in plaats van een drastische wijziging afdwingen.

Uiteraard is een ander alternatief het op z’n minst gebruik maken van 2FA - zeker als je je wachtwoord recyclet. Echter, ik weet niet waarom, maar ook dat is verrekte lastig aan de man te brengen en helaas ondersteunen de meeste websites het totaal niet. Heck, zelfs Tweakers heeft nog altijd geen 2FA optie omdat men het kennelijk niet belangrijk genoeg acht omdat het maar een kleine dataset beschermt zoals je privéberichten...

[Reactie gewijzigd door WhatsappHack op 1 oktober 2018 15:50]

Een beetje wachtwoord management is niet heel moeilijk. Ik gebruik een combinatie van cijfers, acroniemen en speciale tekens. Deze wachtwoorden zij lang en niet te kraken met een dictionary brute Force. Als geheugensteun gebruik ik een versleuteld document waar dus geen hele wachtwoorden en gebruikersnamen in staan. Deze zitten in het koppie. Met andere woorden als iemand die in handen krijgt dan heeft die er helemaal niks aan. Ik wil niet van 1 wachtwoord manager afhankelijk zijn. De enige juiste manier is een dergelijk systeem verzinnen. Dan nog zien weg te blijven van key loggers en dergelijke. Moeilijk, nee, alhoewel sommige mensen...

[Reactie gewijzigd door dezwarteziel op 1 oktober 2018 20:56]

Dit onderzoek pretendeert heel wat, terwijl het eigenlijk bar weinig inhoudt.

Een enkele keer wordt een phishingmail niet door mijn spamfilter tegengehouden. Ook al levert mij dat hoogstens wat ergernis op, zou ik volgens dit onderzoek worden gerekend tot de 74% van de internetgebruikers die "slachtoffer zijn van cybercrime".

Ik gebruik al jaren antivirussoftware, hou mijn systeem up to date, gebruik complexe wachtwoorden, en let bij het inloggen op het slotje. Ik zie geen noodzaak of praktische mogelijkheid voor nog meer maatregelen om nooit meer phishingmails te zien te krijgen, en dus zou ik worden gerekend tot de 40% "hardleersen" die na "getroffen zijn door cybercrime" "niets hebben gedaan om herhaling te voorkomen".

Na het lezen van dit artikel en de gelinkte tekst voel ik me eigenlijk vooral slachtoffer van clickbait. Welke maatregelen moet ik treffen om me daartegen te beschermen?
Je hebt toch wel iets gedaan om jezelf te beschermen?
Dan slaat het artikel niet op jouw.
Ik zie geen noodzaak of praktische mogelijkheid voor nog meer maatregelen
Dat is de hele zaak in een notendop.
Of het nu terecht is of niet, de meeste mensen zien geen noodzaak en geen praktische mogelijkheden om meer te doen. Zo maken de meeste mensen nog steeds geen gebruik van een password manager. Ze denken dat hun eenvoudige wachtwoorden wel goed genoeg zijn en weten niet eens wat een password manager is.
Je hebt toch wel iets gedaan om jezelf te beschermen?
Dan slaat het artikel niet op jouw.
In de gelinkte tekst staat: "Nederlanders hebben niet de wil om hun online veiligheid te verbeteren: bijna vier op de tien willen dit niet."

Daar staat dus niet dat vier op de tien helemaal niets hebben gedaan om zich te beschermen, alleen dat ze niet bereid zijn om hun online veiligheid te verbeteren, en dat kan voor veel van de ondervraagden best het geval zijn omdat ze, zoals ik, daar al alles aan hebben gedaan dat hun zinnig lijkt.
Dit onderzoek pretendeert heel wat, terwijl het eigenlijk bar weinig inhoudt.
Dit pretendeert dat je de inhoude van het onderzoek kent. Maar die lijkt niet online te staan. Dus waarop baseer je dat het onderzoek bar weinig inhoudt en heel wat zou pretenderen?
Een enkele keer wordt een phishingmail niet door mijn spamfilter tegengehouden.
En met jou bevinding ben je representatief?

En waarom meen je dat die 74% dan op jou situatie zou slaan? Want in het bericht staat geen relatie tussen een spamfilter dat bij iemand goed werkt en dat je dan wel of niet tot die 74% zou behoren die
thuis weleens te maken heeft gehad met een vorm van cybercrime.
Ik gebruik al jaren antivirussoftware, hou mijn systeem up to date, gebruik complexe wachtwoorden, en let bij het inloggen op het slotje. Ik zie geen noodzaak of praktische mogelijkheid voor nog meer maatregelen om nooit meer phishingmails te zien te krijgen
Maar het onderzoek gaat helemaal niet alleen over phishingmails. Ergens lijkt je prima aan de uitkomst te voldoen: de Nederlander die van mening is dat die het wel goed genoeg voor elkaar heeft omdat die nu weinig last heeft van phishingmails, wat aan beveiliging doet en dus nauwelijks of niet wil verbeteren?
Raar he, als je de apps die je op je telefoon installeert blind moet vertrouwen omdat je besturingssysteem dat de meest logische oplossing vindt.
Meeste Nederlanders zitten op facebook en/of gebruiken whatsapp en geven vrijwillig al hun data weg.
Facebook en WhatsApp hebben nooit mijn wachtwoord of gegevens gebruikt om geld van mijn rekening af te halen of via marktplaats nep kaartjes te verkopen.

Sterker nog, op websites Facebook gebruiken als single sign-on is beter dat op tientallen websites dezelfde email/wachtwoord combinaties te gebruiken.

Ik ben zelf schuldig aan die laatste taktiek, en als ik nou eens een goede wachtwoord manager zou kennen die ik op al mijn devices zou kunnen gebruiken om veilig in te loggen op LinkedIn, snapchat, Facebook en al die apps op mijn telefoon zou ik dat graag op die manier willen aanpakken.

Of (en dit klinkt echt heel eng) een soort EU of NLse overheid goedgekeurde SSO die NIET gekoppeld is aan persoonlijke gegevens. Dus geen DigiD, maar juist een instrument dat een doodlopende straat is qua dataverzameling maar wel een veilige SSO methodiek. (hoewel 100% veiligheid nooit bestaat, wie wil hier zijn vingers aan branden?)
Jij bent het product ze verkopen jou gewoon :)

Jij bent meer waard dan wat er financieel bij je te halen valt. Bovendien ben je dermate te manipuleren dat jij jouw geld gewoon indirect aan de geeft.
Ik snap dit ik het product ben als ik op Facebook inlog, maar dat is geen internetcriminaliteit.
Je kunt het dubieus vinden (vind ik ook), maar zijn ken ik heel veel bedrijven die je manipuleren om je zoveel mogelijkheid geld afhandig te maken.

Dit artikel gaat over internetcriminaliteit en of de gemiddelde Nederlander misschien niet iets beter zijn best kan doen om niet zomaar slachtoffer te worden. Mijn punt is dat een dubieuze onderneming als Facebook zelfs kan helpen als de gemiddelde Nederlander de SSO van Facebook gebruikt voor de veiligheid (en ten koste van de privacy) - en dat ik graag zou zien dat een andere partij deze SSO monopolie van Facebook kan overnemen.
het gaat om jou gegevens.
Als je veel naar computers kijkt of naar harde schijven word dat ook aangeboden op Facebook.
De data van waar jij naar hebt gekeken staat dan zogezegd in je browser, en kan facebook je advertenties aanbieden die meer naar jou recente zoek opdrachten gericht zijn.

voor jou kan dat ook handig zijn want zo kom je misschien een bedrijf tegen die dergelijke producten goedkoper aanbied.

Dus word er effectiever geadverteerd, echter als jij niet wilt dat het op deze manier jou data word gebruikt is het bijna onmogelijk om dit te stoppen als je er eenmaal in zit.

ook kan het het nog negative gevolgen hebben als je meerdere apparaten hebt...
Vriendin zoek naar lingerie op jou computer en jij krijgt vervolgens allemaal lingerie modellen op je Facebook etc op andere apparaten waar jij op ingelogd ben. en jij krijgt een rare blik als ze bij je zit op de bank en ziet dat...
is lastig uit te leggen dan XD ( heb ik een keer gehad, kon er toen wel om lachen maar op het werk was dat wat lastiger... )
Tweakers: Bijna vier op de tien Nederlanders willen geen stappen ondernemen om hun eigen veiligheid op internet te vergroten. Zelfs slachtoffers van internetcriminaliteit nemen daarna vaak geen maatregelen, volgens onderzoek.
Het is wel lachwekkend he, echt je gaat NIKS doen net na dat je een slachtoffer ben geworden van internetcriminaliteit, wow, nee heb totaal geen medelijden met zulke mensen.

Maar vraag me af hoe veel ouders hun kinderen beschermen, en zeggen je krijgt pas als je 15 a 16 ben een smartphone, zo dat je verstandiger ben (ieder geval hoort te wezen) en dus minder snel stomme beslissingen neem op internet met je mobiel, al is het maar de Apps die je installeer en hoe veel gegevens jij deelt met die App en andere, en dat het steeds vaker voor komt dat kinderen dood of gewond raken omdat ze bezig zijn met hun mobiel en niet bezig zijn met het verkeer.
Mobieltje zelf is gevaarlijker dan internet criminaliteit XD
en dan de fabrikanten aanklagen omdat ze dit produceren en krijg je reclames net als met alcohol.
gebruik maar met mate.
word er nog meer btw opgelegd omdat mensen verslaaft raken etc.

ik zie het al helemaal gebeuren.

Dit is een beetje de pen de schuld geven van wat er word geschreven.
De gebruiker is verantwoordelijk voor zijn gegevens dan in dit geval.
maar het is ook lastig uit te leggen zonder technische termen wat het allemaal inhoudt en wat daar aan gedaan kan worden.
Dus wat men niet begrijpt word niks mee gedaan.
Ook als ze het wel begrijpen, als ik het duidelijk heb uit gelegd aan hun, doen ze het nog niet,
omdat het werk en tijd kost, en daar hebben ze geen zin in.

Maar ben met je eens dat de gebruiker medeverantwoordelijk is, maar ook de smartphone maker, omdat die heel goed weet hoe verslagvent hun product is net als de App makers, en ook vind ik dat de ouders medeverantwoordelijk zijn, aangezien zo goed als ieder ouder weet hoe verslavend smartphones/tablets en sociale media is ondertussen, het is nu de grootste verslaving wereld wijd die er is, en vind ook dat er duidelijk er op hoort te staan hoe verslavend het is, en dat zulke apparaten eigenlijk niet mag verkocht woorden aan jonge kinderen net als drank en drugs en alles wat verslavend is.
Je weet dat Facebook paar dagen geleden heeft laten weten getroffen te zijn door een flinke hack? Naar eigen zeggen ±50 miljoen accounts affected (en nog eens 40 miljoen accounts waar preventief alle sessions gekilled zijn). Dus 90 miljoen accounts, en wellicht is de waarheid nog wel enger... Een hack waarbij security tokens buit gemaakt zijn, waardoor de aanvallers zich kunnen voordoen alsof ze zijn ingelogd met jouw account? Dus ook misschien wel die single sign-on optie kunnen misbruiken?

Ik zou toch niet al te veel willen vertrouwen op dit soort diensten die een ENORME database zijn vol met gegevens die heel veel waard zijn. Dat is wat mij betreft juist nogal een grote red flag...
Yep, daar ben ik mee bekend.

Daarom is voor mij de vraag:
Kan ik beter zelf usernames/wachtwoorden aanmaken per website (en ja, dan doe ik veel dezelfde combinaties) - en loop ik dan meer risico?
Of leg ik al mijn eieren in het mandje van Facebook?

Ik denk zelf dat een hack bij Facebook altijd een mogelijkheid is, maar ik dat via Facebook de kans dat mijn wachtwoord gegevens lekker kleiner is dan (ik noem maar wat) Voetbal International of NS.nl

Bovendien, als dat lek bekend wordt (en dat wordt het heel snel) dan hoef ik mijn 1 update te doen, die van Facebook en hopen dat de criminelen niet heel snel allerlei websites hebben geprobeerd. Toen LinkedIn, en heel recent British Airways mijn gegevens lekte had ik een ander (maar groter?) probleem: op allerlei websites kon je in theorie inloggen op mijn gegevens.
Natuurlijk zijn banken voorzichtiger, en maak ik zelf een onderscheid tussen de username/wachtwoorden die ik gebruik voor 'gevoeliger' logins zoals mijn webmail.
Maar nog altijd krijg ik nav die LinkedIn hack weleens een mailtje dat iemand ergens een wachtwoord heeft gewijzigd op een dienst die ik nooit meer gebruik en verder geen schade toebrengt. Maar ik ben echt het overzicht kwijt van de honderden websites waar ik ooit op ben ingelogd. Vliegthuismaatschappijen, reisbureaus, webshops, online forums, mobile apps die je 1x gebruikt heb, apps op je televisie. En als je het nog dommer dan ik aanpakt ook nog je DigiD, bankzaken, Uber, professionele diensten, de dierentuin/pretpark, school van je kinderen, je alumni pagina etc. etc. etc.

Het is gewoon niet te doen unieke wachtwoorden te verzinnen, en ik weet zelf eigenlijk niet waar ik moet beginnen om echt met een veilig gevoel online diensten te gebruiken.
Ik zou zeggen, start met het gebruiken van een wachtwoord manager... Hoef je maar 1 wachtwoord te onhouden, de wachtwoord manager doet de rest. Er zijn er al zat genoemd in de reacties ondertussen :)
Doe wat onderzoek wat de voor- en nadelen zijn van de mogelijke opties en kies degene die het best past bij hoe jij internet gebruikt.

Extra "tip":
Neem een email adres bij (bijvoorbeeld) transip, waar het mogelijk is een catch all adres aan te maken. Op die manier kan je bij elk account een:
- Uniek email adres
- Uniek wachtwoord gebruiken

En alles toch in 1 "hoofd" email account binnen laten komen.

Mocht er een site/dienst gehacked worden, hebben ze een uniek email adres (nergens anders te gebruiken) met een uniek wachtwoord. Zo kunnen ze ook niet met jouw email gaan vissen bij andere diensten. En als je spam of vreemde email ontvangt weet je ook gelijk waar het vandaan is gekomen.
.....Ik ben zelf schuldig aan die laatste taktiek, en als ik nou eens een goede wachtwoord manager zou kennen die ik op al mijn devices zou kunnen gebruiken om veilig in te loggen op LinkedIn, snapchat, Facebook en al die apps op mijn telefoon zou ik dat graag op die manier willen aanpakken.....
Ik gebruik KeepassX en Keepass2Android en kan hiermee op al mijn devices inloggen. Bevalt prima.
KeepassX wordt niet meer actief ontwikkeld. Je kan best KeepassXC gebruiken in de plaats, dat is een fork van KeepassX waar wél actief aan wordt gewerkt. (https://keepassxc.org/project/)

[Reactie gewijzigd door inferno96 op 1 oktober 2018 14:20]

Ik ben zelf schuldig aan die laatste taktiek, en als ik nou eens een goede wachtwoord manager zou kennen die ik op al mijn devices zou kunnen gebruiken om veilig in te loggen op LinkedIn, snapchat, Facebook en al die apps op mijn telefoon zou ik dat graag op die manier willen aanpakken.
Bitwarden misschien? Het is maar een suggestie, er zullen er vast meer zijn.
https://bitwarden.com/
Mijn feestboek account weet niet mijn echte naam, en niet mijn echte geboortedatum. Dus ik denk dat het wel meevalt.
Dat weten ze wel maar niet dankzij jezelf....
Als je vrienden hebt die op facebook zitten (IRL vrienden bedoel ik) is de kans vrijwel 100% dat ook jouw naam en adres ergens in de database van Zuckerberg staat.
Sorry dat werkt niet, omdat je vrienden nog steeds op je vriendenlijst staan.
Feestboek kan heel goed met data omgaan, zoals allerlei informatie combineren dan weet feestboek beetje over je.
Niet alleen dat, klik je een keer op nee omdat je niet mee eens bent dan werkt het niet. Daarbij heeft juist de coockie wet en nu ook avg een averechts effect doordat iedereen maar op 'accepteren' drukt om van de melding af te zijn.

Het internet wordt juist steeds meer onbewust.
Hangt helemaal van de app af... Ik heb meerdere apps gebruikt die een bepaald recht vroegen wat ik weigerde waarna het gewoon werkte of alleen die ene sub functionaliteit niet.
Juist AVG is wat beter naar wat ik zie. Kom niet meer zo vaak websites tegen met zoiets als 'als je deze website gebruikt ga je akkoord met..', en veel meer controle welke cookies je prima vind (functioneel vs advertenties)
Als ze het goed implementeren, ja.

Heb al meer dan eens een muur aan tekst gezien met tientallen vinkjes die je aan en uit kan zetten en elk een alinea tekst waarvoor het is, daar zit niemand toch op te wachten.
de meeste sites gaan wel door maar heb zelfs een keer gehad dat ik op de cookie banne nee klikte en meteen de site werd af gegooit...
Je moet dan ook niet vertrouwen op die cookieinstellingen van zo’n site, maar het zelf afregelen. Dan weet je zeker dat ze niet sneaky alsnog allerlei meuk opslaan.
Strakke opmerking, wat mij betreft is dit zeker één van de redenen van de huidige argeloosheid van mensen t.a.v. digitale veiligheid.
Het is je reinste economische papegaaien-propaganda. Je mag geen root-permissies hebben op je eigen computer omdat terrorist/pedo/cybercrime maar als je ergens op OK drukt (n.b. een denkbeeldige knop, de suggestie leeft al sinds Win95) dan moet je natuurlijk wel de mogelijke consequenties daarvan snappen.
In mijn ogen weet niemand die dat probeert goed te praten waar hij het over heeft, tenzij diegene in het belang van derden praat.

Waarom mogen er in de play-store notepad-apps staan die toegang tot je fotoalbum vereisen en je als gebruiker tegelijkertijd 100% softwarematig afhankelijk bent van die store? Is dat niet gewoon het creeren en exploiteren van achterdeurtjes mbv kunstmatige schaarste in de beschikbare software voor een platform? Als het zo moet kun je stoppen met kletsen over veiligheid en privacy. Of moet je die tegenwoordig "aanschaffen" ? Daarmee is het gewoon aantoonbaar dat zelf de baas zijn beter is.

[Reactie gewijzigd door blorf op 1 oktober 2018 11:12]

Wat een rare opmerking. Net alsof de meeste dreiging uit gaat van apps in de Apple of Play store. Dat lijkt me zelf erg sterk eerlijk gezegd.
Lijkt...

De afwezigheid van alternatieven vormt een ernstig veiligheidsprobleem. Die moet je slikken, anders doet je app het niet.

[Reactie gewijzigd door blorf op 2 oktober 2018 10:54]

Wie zijn deze "hardleerse Nederlanders?" Komt dit door onmacht, desinteresse, nalatigheid of incompetentie?

In mijn ervaring is het vaak zo dat de meeste mensen het vaak niet willen weten, stellig vast houden aan "de oude manier" of ze vinden je incompetent, dus klopt het niet wat je zegt. Het bericht komt over als iets te makkelijk gezegd, wat is de nuance?

edit: nuance aangebracht in mijn eigen reactie :)

[Reactie gewijzigd door SkyStreaker op 1 oktober 2018 09:30]

Dat heeft niets met leeftijd te maken. Dat jongere de tech kunnen gebruiken betekend nog niet dat ze het ook daadwerklijk snappen.
Dat ben ik helemaal met je eens, daarom zoek ik de nuance, mijn ervaring stoort alleen nogal in mijn interpretatie van het verhaal.
De jongeren die ik ken willen alles gratis hebben en downloaden allerlei zooi op pc en android toestel. Dat doen de senioren die ik ken absoluut niet. Die betalen of gebruiken de tool / muziek / film niet.
Aan de hand van de reacties, heb ik mijn initiële reactie genuanceerd, jullie hebben helemaal gelijk :)
Ik ben ook benieuwd naar de nuance. Echter heb ik een heel andere perceptie dan jij hebt :-)
De "Senioren" (op zich ook een duiding die nuance kan gebruiken) willen vaan wel, maar hebben geen idee waar te starten. De jongere generatie geeft vaker blijk van een een behoorlijke dosis gemakzucht.
"Mijn PC is toch veilig want ik heb een antivirus."
"Mijn telefoon/tablet/smarttv/settop/... is toch veilig want het is geen PC en alleen PCs kunnen virussen krijgen."
Dat komt echt gewoon door slecht onderwijs, we bereiden mensen nog altijd niet goed genoeg voor. Vorig jaar nog eens na een reünie een lesje informatica mee mogen draaien. Dat is serieus nog steeds dezelfde totaal niet diepgaande basisshit als 20 jaar geleden. Dat weten die kinderen allemaal van thuis af al. Er wordt ook in het hele boek bijna geen aandacht besteed aan beveiliging en zaken als phising herkennen... Noppes, nada. Dat soort lesmateriaal moet écht hoognodig geactualiseerd worden.
"Het aantal mensen dat thuis te maken kreeg met ict-dreigingen is toegenomen van 65,6 procent in 2017 tot 74 procent. In 56 procent van de gevallen ging het om phishing"

Maar 56% van de gevallen gaat om phishing, en slechts 74% heeft met ICT-dreigingen thuis te maken. Dus maar 42% krijgt phishing spam op hun prive account(s)? Dat lijkt me een erg lage schatting. Ofwel de rest heeft goede spam filters ingesteld, of ze weten niet wat phishing mailtjes zijn.

(Edit: Neem tenminste aan dat, wanneer het een 'dreiging' is ze bedoelen dat niet die 42% in phishing mailtjes is getrapt)

[Reactie gewijzigd door Skyclad op 1 oktober 2018 09:12]

Veel mail providers regelen de spam filters ook al voor je, zo ben ik mij eigenlijk ook niet bewust van dat ik in zeg het afgelopen jaar op mijn privé account phishing mails ontvangen zou hebben. Ongetwijfeld stonden er wel in mijn spam box, maar dat regelt gmail automatisch...
Kan zijn dat veel mensen nooit het spam filter bekijken. Op Gmail krijg ik zowieso weinig spam, maar op mijn spam hotmail account (speciaal voor sites waar je een email adres moet achterlaten maar die ik niet vertrouw) zit er vaak genoeg spam (phishing en andere) in de spam folder, en soms ook tussen de gewone mailtjes.
Overal een wachtwoord, overal 2FA, een wachtwoord van 8miljoen tekens enz. enz. is ook veel te veel gedoe. Bedenk iets wat simpeler werkt.
Drie sloten openen om je eigen huis in te kunnen is ook veels te veel gedoe. Een slot open als je een raam open wil zetten, en alle ramen sluiten en op slot doen als je even een half uurtje het huis uit gaat, om ze weer open te moeten zetten als je terugkomt is ook echt veels te veel gedoe! Ze moeten iets bedenken wat simpeler werkt...

Natuurlijk is het allemaal veel gedoe. Meer veiligheid betekent onvermijdelijk inleveren op gebruiksgemak. Maar als je veiligheid wil, dan moet je accepteren dat dat moeite kost. Voor de voordeur vinden we het normaal. Voor electronische apparaten zeuren we erover.

Voor wachtwoorden kun je een wachtwoordmanager gebruiken. Die moet je dan wel voldoende beveiligen, want anders heb je er nog niets aan. Dan heb je alleen het 2FA ongemak over, maar dat moet je gewoon leren accepteren, net zoals je het normaal vindt dat je twee of drie sloten op je voordeur hebt. Als je de sleutel van je bankrekening gewoon aan je sleutelbos had hangen, dan zou je het ook wel prettig vinden als de bank bij een transactie eerst even controleerde of de persoon met de sleutel in z'n hand wel geautoriseerd was.
Een slot dichtdraaien is een makkie. (zelfs drie)

Maar al die wachtwoorden met $%#%#% voorwaarden al dan niet met een wachtwoordmanager of 2FA voor vrijwel elke site is gewoon niet gebruiksvriendelijk.

Het is allemaal veel gedoe. Voor de voordeur is het een makkie. Voor electronische apparaten komen ze naar jaren nog niet veel verder dan wachtwoorden of nog meer wachtwoorden.
Als bijbaan kom ik bij mensen thuis om computergerelateerde problemen op te lossen en advies te geven waaronder veiligheid.

Veel mensen waarbij ik kom (40+) weten soms niet het bestaan van 2FA of denken dat het lastig is in gebruik en qua wachtwoorden is het vaak helemaal een drama. Als ik dit tegenkom leg ik mensen het belang van veilige wachtwoorden/ 2FA uit en stel ik dit met ze in waarna ze er begrip voor hebben. Het is vooral een gebrek aan kennis over dit onderwerp (kan het ze niet kwalijk nemen). Gelukkig dat verschillende bedrijven waaronder Apple en Google de stap om 2FA aan te zetten naar consumenten wel makkelijker gemaakt hebben waardoor ik zie dat deze vaak wel ingeschakeld is.
40+, je wordt in dit land wel steeds jonger als oud en onwetend weggezet.....wij '40' plussers hebben internet uitgevonden ;-)
Haha, gelukkig zijn er uiterzonderingen ;)
Dit onderwerp heeft zelfs niet eens zoveel met leeftijd te maken. Het verhaal dat alle jongeren internet automatisch snappen en allemaal expert zijn is een mythe. Jongeren leren precies dat wat ze nodig hebben om mee te komen, zoals het omgaan met Facebook / Snapchat / Netflix, maar onderzoek wees recent uit dat er van algeheel digitaal begrip weinig sprake is. Ook jongeren gaan vaak slecht om met wachtwoorden en veiligheid, en ze zijn helemaal niet zo bekend met hoe internet en computers in bredere zin werken. Ze hebben enige "gebruikskennis", zeg maar.

Dit speelt dus gewoon bij alle mensen die niet specifiek een meer diepgravende interesse hebben in internet en computers en er dus meer verantwoordelijk mee omgaan; ongeacht leeftijd. Sterker nog, jongeren zullen waarschijnlijk minder snel hulp zoeken omdat ze het "horen te snappen" en / of niets geven om online veiligheid, waar de vijftigplussers hun onkunde vaker inzien en wél hulp vragen.
2FA is leuk, totdat je je telefoon reset of door een brakke update stuk gaat.

Daaag 2FA gegevens, daaag toegang tot account.

[Reactie gewijzigd door RoestVrijStaal op 1 oktober 2018 11:31]

In dergelijke situaties kun je met een nieuwe telefoon via SMS weer opnieuw toegang krijgen tot je accounts en de 2FA apps weer opnieuw instellen of via een herstlemailades. Simpelweg paniek hoeft er niet te zijn zolang je alternatieve herstelmethodes ingesteld hebt. Het kost inderdaad wel wat meer werk, maar wel te doen. Daarnaast kan je 2FA apps ook op meerdere apparaten installeren waaronder een tablet, dat voorkomt ook al een gedoe. Al moet je tablet dan ook niet kapot gaan, maar dan heb je nog wel de bovenstaande methodes tot beschikking ;)
Als ik bij m'n eigen vrienden, familie en collega's kijk is er echt niemand die iets van pc veiligheid en updaten van software af weet. Men heeft geen flauw idee hoe ze een programma update moeten downloaden en installeren. Van updaten komt dan in de praktijk niets terecht. Het interesseert ook niemand iets. Dus er verandert ook niets. Ik ben een roepende in de woestijn.
Punt is dat je ook al 'kenner' niet altijd weet wat er op de achtergrond gebeurd. Waarom krijg ik van sommige apps wekelijks updates me als enige omschrijving 'bugfixes en stabiliteits fixes'
Geen idee wat ze hebben aangepast, vorige versie werkte prima....dus waarom updaten?

Virus scanners met nieuwe definities zijn ander verhaal, maar dat staat er dan ook vaak gewoon bij
Ook OS updates, gebeurt toch ook best vaak dat daar weer andere bugs inzitten en was het veiliger om op de oude versie te blijven zitten..enzovoort.

Dus het is wel makkelijk om het alllemaal aan gebrek aan kennis bij de gebruiker te wijten, maar de software bakkers maken er ook wel vaak een potje van....

edit:typo

[Reactie gewijzigd door Dream_ON op 1 oktober 2018 10:15]

Klopt inderdaad. Voor de meeste mensen zijn computers net zoiets als auto's ze worden gebruikt en men verwacht dat ze het altijd doen. Onderhoud (updates) zijn lastig want het kost tijd, nét op jet moment dat je het apparaat wil gebruiken. Ik onderhoud de laptop van mijn zus want anders zou het een drama worden. Soms update ze zelf een programma en dan wordt er vaak een of andere meuk mee geïnstalleerd omdat ze een vinkje niet heeft afgevinkt.
Om de parallel met de auto nog even vast te houden, de overheid moet de infrastructuur veiliger maken, niet de onwetende burger als onwillig bestempelen.
Luiheid en gemak dient de mens. Mensen zijn geneigd de weg van de minste weerstand te kiezen.
Naast natuurlijk het feit dat de meeste mensen amper weten hoe een computer aan moet...
Dan kunnen ze alsnog hulp inroepen, dat valt ook onder er iets aan willen doen. Nu heb ik het gevoel dat ze dat ook al niet doen onder het motto het overkomt mij vast niet een tweede keer (hoe vaak wint iemand 2x keer de staatsloterij?).
Ik denk niet eens dat het alleen bij Nederlanders zo is. Denk zelfs dat het verder in de wereld NOG beroerder is dan die 4 op de 10.

Maar goed, is een beetje mens eigen he, niets doen tot het echt niet meer anders kan:

IPv4 zijn bijna op, implementatie laat al ff op zich wachten grootschalig.
Als de wereld verder opwarmt dan verzuipen wat eilanden etc etc

De mens is gedoemd om onder zijn eigen succes ten onder te gaan.
IPv4 adressen zijn al op, maar dat blijkt toch stiekem geen probleem te zijn, aangezien niet elke koelkast een publiek toegankelijk IP adres nodig blijkt te hebben.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True