Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 71 reacties
Bron: Webwereld, submitter: Vinz

Kantoormedewerkers geven hun wachtwoord weg nadat ze een goedkope pen aangeboden krijgen. Dit is de uitkomst van een onwetenschappelijk onderzoek zo meldt Webwereld. Bijna 90 procent van de 152 ondervraagden uit Londen gaf het wachtwoord zomaar weg. Vorig jaar lag dit percentage nog een stuk lager, namelijk op 65 procent. De organisatie van de InfoSecurity Europe 2003 conferentie, die deze maand weer van start gaat, heeft dit onderzoek uit laten voeren. Een soortgelijk onderzoek was vorig jaar ook gehouden en in vergelijking met dat onderzoek is de situatie alleen maar slechter geworden: mensen gaan nog lakser om met hun wachtwoorden en met andere zaken op het gebied van veiligheid.

Sleutels - veiligheidInteressante uitkomsten waren ook dat 80 procent van de ondervraagden vertrouwelijke informatie over het bedrijf mee zou nemen wanneer er van baan gewisseld zou worden. Verder zegt 75 procent de verleiding niet te kunnen weerstaan om salarisinformatie in te zien wanneer de mogelijkheid hiervoor zich toedient. 38 Procent van de mensen zou deze informatie binnen het bedrijf niet stilhouden. Werknemers gebruiken ook vaak hetzelfde wachtwoord voor al hun electronische zaken. Fraude wordt hierdoor wel erg gemakkelijk gemaakt, zo is de analyse van het InfoSecurity-team. Het artikel sluit af met een aantal interessante weetjes over de meest gebruikte wachtwoorden:

Het meest voorkomende wachtwoord in Londen is... 'password' (12 procent). De meest populaire categorie is met 16 procent de eigen naam, gevolgd door die van het favoriete voetbalteam (11 procent) en de geboortedatum (8 procent).
Moderatie-faq Wijzig weergave

Reacties (71)

Een oud verhaal voor systeembeheerders.
Een wachtwoord heet dus wachtwoord omdat je erop kan wachten tot het woord bekent word.

Omdat een wachtwoord meestal een zwakke beveiliging is kun je beter andere extra zaken opzetten.
Logintijden afklemmen, voor vertrouwelijke zaken alleen inloggen vanaf een bepaalde PC, netwerken segmenteren (virtueel) zodat gegevensstromen gescheiden blijven, loggen van de toegang tot gegevens etc.
Of: Hoe strikter de wachtwoord regels, des te meer post-its.
Nou, de extra beveiligings zaken worden niet alleen ingezet omdat een wachtwoord zo snel bekend is.
Elke beveiliging heeft een zwak punt, daarom doet een goede systeembeheerder er verstandig aan om meerdere verschillende beveiligingen in te bouwen. Kijk eens goed naar het systeem en je zult zien dat een wachtwoord vaak niet de eerste beveiliging is waar je langs moet. Denk bijvoorbeeld aan sociale controle op de werkplek (een onbekende komt al niet zo snel bij een los systeem).
Totdat die onbekende het alarm 's nachts uitschakeld. :+
Een wachtwoord heet dus wachtwoord omdat je erop kan wachten tot het woord bekent word.
Ehh, waar haal jij dat vandaan? :P
Volgens mij komt het voorvoegsel 'wacht' toch echt van dit:
wacht

II {de ~}
1 het waken
Het waken, verdedigen dus.
Misschien is het ook sarcastisch bedoeld.
Tuurlijk is het taalkundig niet correct.
Maar het klopt helaas in de praktijk wel :)
Dit onderzoek toont eigenlijk aan wat je kunt verwachten. Mensen kiezen hun passwoorden zo simpel mogelijk, want anders vergeet je het gewoon veel te snel. Voor alles 1 of 2 dezelfde passwoorden gebruiken is dan ook weer veel te riskant wanneer het over belangrijker, geheime info gaat. Het wordt met andere woorden hoog tijd voor de doorbraak van de bio-identificatie die je iris of vingerafdruk gebruikt. Meteen een stuk veiliger en ook handiger, want je iris verlies je niet zo snel :D
Maar zit jij er op te wachten dat criminelen je oog er uit steken om binnen te komen in een computersysteem, of dat ze je vinger er af hakken (als er gebruik wordt gemaakt van vingerafdrukken voor de identificatie)....
... je oog er uit steken om binnen te komen in een computersysteem ...
Dat zal zo'n vaart niet lopen (je hebt er dan immers nog zo weinig aan), maar ze kunnen je natuurlijk wel vrij makkelijk meenemen en je onder dwang je oog laten openen voor zo'n apparaat. Kun je dus niet meer per ongeluk het wachtwoord niet meer weten...
Ik vind dat je voor veiligheid ALTIJD een combinatie moet gebruiken voor toegang, zoals dat nou al een hele tijd gebruikt wordt. (Pas + Pin-code) dus iets Materieels & iets dat in je hoofd zit (en dan bedoel ik dus niet je oog oid ;) ).
Nou jah... Dat onder dwang meenemen van iemand om zijn/haar pass af te geven, heb ik al geoefend hoor, al gehoord van Splinter Cell..?? Ik ben door de test heen gekomen, haha.. :z
Maar zit jij er op te wachten dat criminelen je oog er uit steken om binnen te komen in een computersysteem, of dat ze je vinger er af hakken (als er gebruik wordt gemaakt van vingerafdrukken voor de identificatie)....
Dat is al eens getest (niet met uitgestoken ogen en afgehakte vingers nee, met een foto enzo :+). Werkte niet, behalve dat het díe vinger/oog moet zijn moet die vinger/oog ook nog levend zijn. Afgehakte ledematen werken dus niet, foto's en kleivormpjes evenmin.

Enige probleem met iris- en vingerafdrukherkenning is nog : wat als je een snee in je vinger hebt of je een ontstoken (? oid) oog hebt. Sja, de oplossing is waarschijnlijk dezelfde als de oplossing voor iemand met geheugenverlies die z'n password kwijt is (als operator password recoveren/nieuw password instellen oid..).
Valt best allemaal mee. De meeste sensoren springen aan op het moment dat er warmte verschil wordt waargenomen. Opdat moment maken ze een scan van het vet wat op je huid aanwezig is.
Als de sensor niet na gebruik wordt afgeveegd werk een plastic zak met ijswater al prima (je wordt als de voorganger herkend). Bij de meeste systemen kom je erdoor heen. Stond dacht een half jaar geleden in de duitse c't een test overin, iets van 90% ging de fout in (ook professionele systemen trappen hierin).

Iris scans vielen prima te misleiden met een foto, maar je moest dan even het midden van de oog op de foto een gaatje knippen. Ook hier was het iets van 90% van de systemen die misleid konden worden.

Alleen spraakherkenning (speaker identification)kwam er als redelijk betrouwbaar uit.
Je kijkt teveel naar films :p
geboortedatum is voor een buitenstaander nog knap lastig hoor. naam is al makelijker

name: Piet Puk
password: (piet)

dat is te doen.
Password is ook gemeen. er staan nl duidelijk type password. dus ze doen niets fout.
Klopt, en bij bedrijven wordt de voornaam vaak als default password gebruikt bij het aanmaken van user accounts en dergelijke. Op zich is dat niet zo erg als de admin's maar niet vergeten om bij de eerste login een nieuw password van de gebruiker te eisen die daarnaast aan bepaalde voorwaarden moet voldoen (minimaal 6 karakters + 1 cijfer en het wachtwoord moet niet te makkelijk zijn bijvoorbeeld).

Op die manier heb je als bedrijf in ieder geval je best gedaan om het raden van passworden zo moeilijk te maken.

Dat mensen zomaar wachtwoorden weggeven is natuurlijk helemaal fout, ik denk dat duidelijke instructie dat dat niet mag misschien helpt maar dat betwijfel ik, zeker bij grote bedrijven waar de mensen de systeembeheerders niet kennen. Daardoor is het makkelijker om als hacker/cracker aan passworden te komen. ("Goede middag, met pietje van IT services, mag ik uw wachtwoord?").

edit:

Ik heb dan niet bij de echt grote bedrijven rondgelopen, maar het bedrijf waar ik werk heeft een aantal klanten waar toch een redelijk aantal mensen werken en daar gaat het in het algemeen zo.
Klopt, en bij bedrijven wordt de voornaam vaak als default password gebruikt bij het aanmaken van user accounts en dergelijke.
Ik weet niet bij welke bedrijven jij zoal hebt kunnen rondkijken op de IT afdeling, maar ik ben werkelijk in mijn hele leven nog een een bedrijf tegengekomen waar ze dat doen.

Passwords worden toch vaak nog random gemaakt hoor, zeker als je een paar 1000 accounts per jaar moet aanmaken.

Ik ken zelfs bedrijven waar de achternaam niet eens als login wordt gebruikt, maar ook een code. Op die manier is het nog moeilijker om te raden.
Neem 1000 bedrijven en je hebt 1000 password policies...

Het maakt niet zo veel uit of ze nu wel of geen automatisch gegenereerd password systeem hebben. Belangrijk is dat de gebruiker het kan onthouden. Zeg nou zelf, een password als P4jlCd98mz is toch niet te onthouden? Dat ga je opschrijven! (Dat heeft CompuServe overigens wel netjes gedaan. neem twee bestaande woorden en plaats er een leesteken tussen.)

Zorg er gewoon voor dat je gebruikers zelf hun wachtwoord moeten kiezen en laat ze het om de drie maanden wisselen (waarbij je dingens als chocolade1 en drie maanden later chocolade2 er uit filtert).
Om de drie maanden wijzigen? Vreselijk. Als je mensen gaat dwingen hun password zo vaak te wijzigen, worden ze slordig in het bedenken ervan, dus worden het simpele passwords. Daarnaast zitten ze vervolgens met zoveel passwords in hun hoofd dat ze ze wel moeten gaan opschrijven.
Zeg nou zelf, een password als P4jlCd98mz is toch niet te onthouden? Dat ga je opschrijven!
en DAAR komt nou die pen handig van pas :+
Zeg nou zelf, een password als P4jlCd98mz is toch niet te onthouden?
ehm, ben ik dan de enige die hier geen problemen mee heeft? Password memorizen en klaar...

je typt dat ding toch elke dag in (Je logt toch netjes uit, of je lockt je computer toch vaak genoeg -> moet je ook vaak genoeg opnieuw inloggen). Op gegeven moment is dat wel ingesleten in je vingers (probably met als voorwaarde dat je blind kan typen :z )

[edit]
oops, dubbelpost lees ik net onderaan hetzelfde :/
gaat m'n karma...
Cavey,

Het gaat er niet om je het KUNT onthouden, maar of je het WILT onthouden. Veel mensen hebben te maken met verschillende applicaties (op het werk), met verschillende wachtwoorden. Zij willen zelf in staat zjin te bepalen welk wachtwoord ze hebben, en zullen proberen dat voor ieder systeem hetzelfde te houden. Als je voor ieder systeem zo'n onmogelijk wachtwoord geeft, hoef je echt alleen nog maar een agendaatje te jatten, en je kunt overal in, omdat de gebruiker daar al zijn wachtwoorden in heeft staan.

Er zijn ook nog mensen die niet iedere dag op het systeem inloggen, en die moeten hun wachtwoord ook kunnen onthouden.

Dat security overigens vaak met een korrel zout wordt genomen door gebruikers, geloof ik maar al te graag. Ik heb bij een helpdesk gewerkt, en soms kreeg ik documenten toegemaild met een probleem, en soms enorm vertrouwelijke gegevens. Ook doen gebruikers er vaak niet moeilijk over om hun wachtwoord aan een helpdeskmedewerker te geven. Als het goed is, kan een systeembeheerder niet zomaar bij de bestanden van een gebruiker komen, en al helemaal zijn wachtwoord niet zien. In Windows weet ik dat e.e.a. goed af is gevangen, maar hoe dat bij andere OSsen zit, weet ik niet.

Ik heb zelf 2 wachtwoorden: 1 simpel wachtwoord voor minder belangrijke zaken, en één belangrijker ding waarvan ik weet dat de beheerders mijn wachtwoord kunnen lezen (ben ik niet blij mee), en ik heb een niet te raden wachtwoord, wat ik alleen (en écht ik alleen) weet, voor mijn meer belangrijke gegevens.
Reactie op BTB:

Vindt jij dit vaak? Ik doe op dit ogenblik al mijn vierde project in een support team en telkens in grote berdijven. Op alle vier de plaatsen moet het password om de 30 dagen verandert worden.

Persoonlijk vind ik 3 maanden zeer lang om een zelfde password te houden.
Wat denk je van naam:pietjep (van Piete Puk) en password:piet4321

Aantal mensen die dit veranderen als je het niet afdwingt in de policy. 2 :?

Zo lek als een mandje.

Oplossing: Infroroodscan van het aangezicht van een persoon. Onmogelijk om dat te faken.

[edit]Hoezo, overbodig? Het gaat hier toch om de principiële onveiligheid van een wachtwoord? Ik geef een oplossing aan die (voorlopig) onmogelijk gekraakt kan worden.
Een oplossing die al betaalbaar is, is een apparaatje dat je duimafdruk leest, en kan herkennen.(Heb ik ooit eens in de computer idee gezien.)
En als je de C't dan ook had gelezen, dan wist je dat die dingen in het algemeen doodsimpel te kraken zijn door middel van zakjes water enzo :Y)
en dan mag je mij vertellen waarom het erg is dat mensen mijn email op mijn werk lezen is toch zakelijk en niks nieuws voor medewerkers. van buitenaf er dan toegang tot krijgen is even wat moeilijker!
Algemeen nieuws voor een hele afdeling zou geen ramp zijn, maar als het om vertrouwlijke personeelszaken ed zou gaan, is het een slechte zaak als dat op een makkelijke manier toegankelijk wordt.
Al ej niet blij bent met een collega, en de manager op de hoogte stelt, of als je een fraudezaak aan het licht wilt brengen, deel je dat liever niet met je collega's.

Verder is wettelijk bepaald dat jou mail persoonlijk is, en dat een werkgever mail op jou persoonlijke titel niet mag bekijken of inzichtelijk mag maken voor derden.
Ik meen ne te herinneren dat MS (kan ook een ander bedrijf geweest zijn) bezig was om een nieuw wachtwoord methode te ontwikkelen/in te voeren.

De techniek was om bij een tekening of plaatje in een door de gebruiker zelf bedachte volgorde bepaalde delen van het plaatje aan te klikken. Omdat mensen meer visueel ingesteld zijn was dit makkelijker te onthouden was de theorie.

Een goede theorie zou ik zeggen.
Bij een nieuwe MS login-techniek denk ik zoiets van"Voer hier de gegevens van uw creditcard in om in te loggen. Wachtwoord vergeten? Leg $5 onder de scanner en druk op start" ;)
Wie zegt dat deze kantoormedewerkers hun echte password geven en niet zomaar iets verzinnen?
Juist!

Als zo'n flippo mij m'n wachtwoord vraagt dan gaat dit ongeveer zo:

Vul hier uw gebruikersnaam in: YOLOZAH
Vul hier uw wachtwoord in: GIMM3THEP3N

En voila... een mooie pen.
Bijna 90 procent van de 152 ondervraagden uit Londen gaf het wachtwoord zomaar weg.
Lijkt me dat dit niet veel met ons te maken heeft. In Engeland is de werksfeer totaal anders en valt dit dus niet als globaal te zien. En dan nog, slechts 152 ondervraagden? Vind ik aan de zeer lage kant. Er zijn tienduizenden (zo niet, meer) kantoor medewerkers in Engeland, dan ga je op z'n minst 1000 ondervragen.
dacht je dat dat uitmaakt? Gaat om het principe, en ik denk niet dat er veel verschil zit tussen UK en NL medewerkers....
Gaat niet zo zeer om werksfeer, maar om 'normale' menselijke reacties. Mensen hebben veel over voor 'gratis' dingen...

Percentage is misschien wat aan de hoge kant, maar ik denk dat men hier wel een punt aansnijdt.
In Nederland zal het percentage nog veel hoger liggen, welke Nederlander wil er nou geen gratis pen? :+
Mijn baas maakt het helemaal bont. Hij problemen met zijn PC waardoor ik wat dingen moest aanpassen en had daarvoor zijn password nodig. Geeft hij mij een getal van 4 cijfers. Blijkt dat zijn Pincode te zijn voor zijn bankpasje! "da's makkelijk onthouden" zegt ie. |:(

Ik ga nu dus een Policy schrijven om mijn baas tegen zichzelf te beschermen....
als je em wilt beschermen moet je em zeggen zn pinpas aan jou te geven omdat jij er goed voor zorgt...


code heb je toch al...
ze moeten gewoon random wachtwoorden maaken, en dan alle medewerkers die de 1e week ofzo iedere keer in laten typen. en dan vergeet je het gewoon niet meer.
zo werkte dat ook met mijn internet pass, in het begin heb ik dat ding heel vaak ingetypt (was iets in de richtig van "JG5f5gF5") en nu (half jaar later) kan ik het nogseeds zo intypen.
maar dan moeten ze de kladblaatjes waar die wachtwoorden opstaan aan het eind van die week wel vernietigen
Handig, hoef ik alleen in de "test-week" even langs te lopen. Hier en daar een foto van de werkplek (met kladblaadje :P) en je hebt alle wachtwoorden. Woei!
Bio-chips zijn wel een aardig idee, werkt in ieder geval weer wat drempel-verhogend, al zou die werknemer nog weten waar ze die Bio-chip hebben ingeplant dan zal je toch iets meer dan een Bic-pen moeten geven voor hij hem eruit laat snijden.
Een haalbaar idee is gewoon de toegang tot het kantoorpand behoorlijk te beveiligen en toegang tot het systeem van buitenaf heel erg te beperken. Eventueel aangevuld door policies waarbij gebruikers die niets met bepaalde gegevens hoeven te doen er ook gewoon geen toegang toe krijgen.
En als een werknemer ander werk neemt? Gewoon nog een chip erin?
Leuk als je vaak van baan wisselt:
- Heb je op je duim geslagen met een hamer?
x Nee, te vaak van baan gewisselt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True