Een wachtwoord in ruil voor een pen

Kantoormedewerkers geven hun wachtwoord weg nadat ze een goedkope pen aangeboden krijgen. Dit is de uitkomst van een onwetenschappelijk onderzoek zo meldt Webwereld. Bijna 90 procent van de 152 ondervraagden uit Londen gaf het wachtwoord zomaar weg. Vorig jaar lag dit percentage nog een stuk lager, namelijk op 65 procent. De organisatie van de InfoSecurity Europe 2003 conferentie, die deze maand weer van start gaat, heeft dit onderzoek uit laten voeren. Een soortgelijk onderzoek was vorig jaar ook gehouden en in vergelijking met dat onderzoek is de situatie alleen maar slechter geworden: mensen gaan nog lakser om met hun wachtwoorden en met andere zaken op het gebied van veiligheid.

Sleutels - veiligheid Interessante uitkomsten waren ook dat 80 procent van de ondervraagden vertrouwelijke informatie over het bedrijf mee zou nemen wanneer er van baan gewisseld zou worden. Verder zegt 75 procent de verleiding niet te kunnen weerstaan om salarisinformatie in te zien wanneer de mogelijkheid hiervoor zich toedient. 38 Procent van de mensen zou deze informatie binnen het bedrijf niet stilhouden. Werknemers gebruiken ook vaak hetzelfde wachtwoord voor al hun electronische zaken. Fraude wordt hierdoor wel erg gemakkelijk gemaakt, zo is de analyse van het InfoSecurity-team. Het artikel sluit af met een aantal interessante weetjes over de meest gebruikte wachtwoorden:

Het meest voorkomende wachtwoord in Londen is... 'password' (12 procent). De meest populaire categorie is met 16 procent de eigen naam, gevolgd door die van het favoriete voetbalteam (11 procent) en de geboortedatum (8 procent).

Reacties (71)

Verwijderd 20 april 2003 01:00

Een oud verhaal voor systeembeheerders.
Een wachtwoord heet dus wachtwoord omdat je erop kan wachten tot het woord bekent word.

Omdat een wachtwoord meestal een zwakke beveiliging is kun je beter andere extra zaken opzetten.
Logintijden afklemmen, voor vertrouwelijke zaken alleen inloggen vanaf een bepaalde PC, netwerken segmenteren (virtueel) zodat gegevensstromen gescheiden blijven, loggen van de toegang tot gegevens etc.

gluip @Verwijderd • 20 april 2003 08:30

Of: Hoe strikter de wachtwoord regels, des te meer post-its.

kodak @Verwijderd • 20 april 2003 02:13

Nou, de extra beveiligings zaken worden niet alleen ingezet omdat een wachtwoord zo snel bekend is.
Elke beveiliging heeft een zwak punt, daarom doet een goede systeembeheerder er verstandig aan om meerdere verschillende beveiligingen in te bouwen. Kijk eens goed naar het systeem en je zult zien dat een wachtwoord vaak niet de eerste beveiliging is waar je langs moet. Denk bijvoorbeeld aan sociale controle op de werkplek (een onbekende komt al niet zo snel bij een los systeem).

Adm.Spock @kodak • 20 april 2003 16:05

Totdat die onbekende het alarm 's nachts uitschakeld.

Steve @Verwijderd • 20 april 2003 01:26

Een wachtwoord heet dus wachtwoord omdat je erop kan wachten tot het woord bekent word.

Ehh, waar haal jij dat vandaan?

Volgens mij komt het voorvoegsel 'wacht' toch echt van dit:

wacht

II {de ~}
1 het waken

Het waken, verdedigen dus.

Verwijderd @Steve • 20 april 2003 01:49

Misschien is het ook sarcastisch bedoeld.

Verwijderd @Steve • 20 april 2003 01:40

Tuurlijk is het taalkundig niet correct.
Maar het klopt helaas in de praktijk wel

Verwijderd 20 april 2003 00:13

Dit onderzoek toont eigenlijk aan wat je kunt verwachten. Mensen kiezen hun passwoorden zo simpel mogelijk, want anders vergeet je het gewoon veel te snel. Voor alles 1 of 2 dezelfde passwoorden gebruiken is dan ook weer veel te riskant wanneer het over belangrijker, geheime info gaat. Het wordt met andere woorden hoog tijd voor de doorbraak van de bio-identificatie die je iris of vingerafdruk gebruikt. Meteen een stuk veiliger en ook handiger, want je iris verlies je niet zo snel

Hielko @Verwijderd • 20 april 2003 00:17

Maar zit jij er op te wachten dat criminelen je oog er uit steken om binnen te komen in een computersysteem, of dat ze je vinger er af hakken (als er gebruik wordt gemaakt van vingerafdrukken voor de identificatie)....

Dr. Boktor @Hielko • 20 april 2003 00:22

... je oog er uit steken om binnen te komen in een computersysteem ...

Dat zal zo'n vaart niet lopen (je hebt er dan immers nog zo weinig aan), maar ze kunnen je natuurlijk wel vrij makkelijk meenemen en je onder dwang je oog laten openen voor zo'n apparaat. Kun je dus niet meer per ongeluk het wachtwoord niet meer weten...

KompjoeFriek @Dr. Boktor • 20 april 2003 00:58

Ik vind dat je voor veiligheid ALTIJD een combinatie moet gebruiken voor toegang, zoals dat nou al een hele tijd gebruikt wordt. (Pas + Pin-code) dus iets Materieels & iets dat in je hoofd zit (en dan bedoel ik dus niet je oog oid

theXE @Dr. Boktor • 20 april 2003 11:16

Nou jah... Dat onder dwang meenemen van iemand om zijn/haar pass af te geven, heb ik al geoefend hoor, al gehoord van Splinter Cell..?? Ik ben door de test heen gekomen, haha..

Mentalist @Hielko • 20 april 2003 01:21

Maar zit jij er op te wachten dat criminelen je oog er uit steken om binnen te komen in een computersysteem, of dat ze je vinger er af hakken (als er gebruik wordt gemaakt van vingerafdrukken voor de identificatie)....

Dat is al eens getest (niet met uitgestoken ogen en afgehakte vingers nee, met een foto enzo

). Werkte niet, behalve dat het díe vinger/oog moet zijn moet die vinger/oog ook nog levend zijn. Afgehakte ledematen werken dus niet, foto's en kleivormpjes evenmin.

Enige probleem met iris- en vingerafdrukherkenning is nog : wat als je een snee in je vinger hebt of je een ontstoken (? oid) oog hebt. Sja, de oplossing is waarschijnlijk dezelfde als de oplossing voor iemand met geheugenverlies die z'n password kwijt is (als operator password recoveren/nieuw password instellen oid..).

gluip @Mentalist • 20 april 2003 08:27

Valt best allemaal mee. De meeste sensoren springen aan op het moment dat er warmte verschil wordt waargenomen. Opdat moment maken ze een scan van het vet wat op je huid aanwezig is.
Als de sensor niet na gebruik wordt afgeveegd werk een plastic zak met ijswater al prima (je wordt als de voorganger herkend). Bij de meeste systemen kom je erdoor heen. Stond dacht een half jaar geleden in de duitse c't een test overin, iets van 90% ging de fout in (ook professionele systemen trappen hierin).

Iris scans vielen prima te misleiden met een foto, maar je moest dan even het midden van de oog op de foto een gaatje knippen. Ook hier was het iets van 90% van de systemen die misleid konden worden.

Alleen spraakherkenning (speaker identification)kwam er als redelijk betrouwbaar uit.

Verwijderd @Hielko • 20 april 2003 00:19

Je kijkt teveel naar films

Kevinp 20 april 2003 00:08

geboortedatum is voor een buitenstaander nog knap lastig hoor. naam is al makelijker

name: Piet Puk
password: (piet)

dat is te doen.
Password is ook gemeen. er staan nl duidelijk type password. dus ze doen niets fout.

Beaves @Kevinp • 20 april 2003 00:26

Klopt, en bij bedrijven wordt de voornaam vaak als default password gebruikt bij het aanmaken van user accounts en dergelijke. Op zich is dat niet zo erg als de admin's maar niet vergeten om bij de eerste login een nieuw password van de gebruiker te eisen die daarnaast aan bepaalde voorwaarden moet voldoen (minimaal 6 karakters + 1 cijfer en het wachtwoord moet niet te makkelijk zijn bijvoorbeeld).

Op die manier heb je als bedrijf in ieder geval je best gedaan om het raden van passworden zo moeilijk te maken.

Dat mensen zomaar wachtwoorden weggeven is natuurlijk helemaal fout, ik denk dat duidelijke instructie dat dat niet mag misschien helpt maar dat betwijfel ik, zeker bij grote bedrijven waar de mensen de systeembeheerders niet kennen. Daardoor is het makkelijker om als hacker/cracker aan passworden te komen. ("Goede middag, met pietje van IT services, mag ik uw wachtwoord?").

edit:

Ik heb dan niet bij de echt grote bedrijven rondgelopen, maar het bedrijf waar ik werk heeft een aantal klanten waar toch een redelijk aantal mensen werken en daar gaat het in het algemeen zo.

Boss

@Beaves • 20 april 2003 00:40

Klopt, en bij bedrijven wordt de voornaam vaak als default password gebruikt bij het aanmaken van user accounts en dergelijke.

Ik weet niet bij welke bedrijven jij zoal hebt kunnen rondkijken op de IT afdeling, maar ik ben werkelijk in mijn hele leven nog een een bedrijf tegengekomen waar ze dat doen.

Passwords worden toch vaak nog random gemaakt hoor, zeker als je een paar 1000 accounts per jaar moet aanmaken.

Ik ken zelfs bedrijven waar de achternaam niet eens als login wordt gebruikt, maar ook een code. Op die manier is het nog moeilijker om te raden.

egeltje @Boss • 20 april 2003 11:34

Neem 1000 bedrijven en je hebt 1000 password policies...

Het maakt niet zo veel uit of ze nu wel of geen automatisch gegenereerd password systeem hebben. Belangrijk is dat de gebruiker het kan onthouden. Zeg nou zelf, een password als P4jlCd98mz is toch niet te onthouden? Dat ga je opschrijven! (Dat heeft CompuServe overigens wel netjes gedaan. neem twee bestaande woorden en plaats er een leesteken tussen.)

Zorg er gewoon voor dat je gebruikers zelf hun wachtwoord moeten kiezen en laat ze het om de drie maanden wisselen (waarbij je dingens als chocolade1 en drie maanden later chocolade2 er uit filtert).

BTB @Boss • 20 april 2003 13:01

Om de drie maanden wijzigen? Vreselijk. Als je mensen gaat dwingen hun password zo vaak te wijzigen, worden ze slordig in het bedenken ervan, dus worden het simpele passwords. Daarnaast zitten ze vervolgens met zoveel passwords in hun hoofd dat ze ze wel moeten gaan opschrijven.

dasiro @Boss • 20 april 2003 12:58

Zeg nou zelf, een password als P4jlCd98mz is toch niet te onthouden? Dat ga je opschrijven!

en DAAR komt nou die pen handig van pas

cavey @Boss • 21 april 2003 11:25

Zeg nou zelf, een password als P4jlCd98mz is toch niet te onthouden?

ehm, ben ik dan de enige die hier geen problemen mee heeft? Password memorizen en klaar...

je typt dat ding toch elke dag in (Je logt toch netjes uit, of je lockt je computer toch vaak genoeg -> moet je ook vaak genoeg opnieuw inloggen). Op gegeven moment is dat wel ingesleten in je vingers (probably met als voorwaarde dat je blind kan typen

)

[edit]
oops, dubbelpost lees ik net onderaan hetzelfde

gaat m'n karma...

Verwijderd @Boss • 22 april 2003 16:49

Reactie op BTB:

Vindt jij dit vaak? Ik doe op dit ogenblik al mijn vierde project in een support team en telkens in grote berdijven. Op alle vier de plaatsen moet het password om de 30 dagen verandert worden.

Persoonlijk vind ik 3 maanden zeer lang om een zelfde password te houden.

Verwijderd @Boss • 22 april 2003 12:32

Cavey,

Het gaat er niet om je het KUNT onthouden, maar of je het WILT onthouden. Veel mensen hebben te maken met verschillende applicaties (op het werk), met verschillende wachtwoorden. Zij willen zelf in staat zjin te bepalen welk wachtwoord ze hebben, en zullen proberen dat voor ieder systeem hetzelfde te houden. Als je voor ieder systeem zo'n onmogelijk wachtwoord geeft, hoef je echt alleen nog maar een agendaatje te jatten, en je kunt overal in, omdat de gebruiker daar al zijn wachtwoorden in heeft staan.

Er zijn ook nog mensen die niet iedere dag op het systeem inloggen, en die moeten hun wachtwoord ook kunnen onthouden.

Dat security overigens vaak met een korrel zout wordt genomen door gebruikers, geloof ik maar al te graag. Ik heb bij een helpdesk gewerkt, en soms kreeg ik documenten toegemaild met een probleem, en soms enorm vertrouwelijke gegevens. Ook doen gebruikers er vaak niet moeilijk over om hun wachtwoord aan een helpdeskmedewerker te geven. Als het goed is, kan een systeembeheerder niet zomaar bij de bestanden van een gebruiker komen, en al helemaal zijn wachtwoord niet zien. In Windows weet ik dat e.e.a. goed af is gevangen, maar hoe dat bij andere OSsen zit, weet ik niet.

Ik heb zelf 2 wachtwoorden: 1 simpel wachtwoord voor minder belangrijke zaken, en één belangrijker ding waarvan ik weet dat de beheerders mijn wachtwoord kunnen lezen (ben ik niet blij mee), en ik heb een niet te raden wachtwoord, wat ik alleen (en écht ik alleen) weet, voor mijn meer belangrijke gegevens.

Adm.Spock @Beaves • 20 april 2003 15:58

Wat denk je van naam:pietjep (van Piete Puk) en password:piet4321

Aantal mensen die dit veranderen als je het niet afdwingt in de policy. 2

Zo lek als een mandje.

Oplossing: Infroroodscan van het aangezicht van een persoon. Onmogelijk om dat te faken.

[edit]Hoezo, overbodig? Het gaat hier toch om de principiële onveiligheid van een wachtwoord? Ik geef een oplossing aan die (voorlopig) onmogelijk gekraakt kan worden.

n-i-x @Adm.Spock • 20 april 2003 21:46

Een oplossing die al betaalbaar is, is een apparaatje dat je duimafdruk leest, en kan herkennen.(Heb ik ooit eens in de computer idee gezien.)

Verwijderd @Adm.Spock • 21 april 2003 02:20

En als je de C't dan ook had gelezen, dan wist je dat die dingen in het algemeen doodsimpel te kraken zijn door middel van zakjes water enzo

Verwijderd 20 april 2003 00:26

en dan mag je mij vertellen waarom het erg is dat mensen mijn email op mijn werk lezen is toch zakelijk en niks nieuws voor medewerkers. van buitenaf er dan toegang tot krijgen is even wat moeilijker!

madcon @Verwijderd • 20 april 2003 00:34

Algemeen nieuws voor een hele afdeling zou geen ramp zijn, maar als het om vertrouwlijke personeelszaken ed zou gaan, is het een slechte zaak als dat op een makkelijke manier toegankelijk wordt.

Verwijderd @Verwijderd • 22 april 2003 12:38

Al ej niet blij bent met een collega, en de manager op de hoogte stelt, of als je een fraudezaak aan het licht wilt brengen, deel je dat liever niet met je collega's.

Verder is wettelijk bepaald dat jou mail persoonlijk is, en dat een werkgever mail op jou persoonlijke titel niet mag bekijken of inzichtelijk mag maken voor derden.

Verwijderd 20 april 2003 00:43

Ik meen ne te herinneren dat MS (kan ook een ander bedrijf geweest zijn) bezig was om een nieuw wachtwoord methode te ontwikkelen/in te voeren.

De techniek was om bij een tekening of plaatje in een door de gebruiker zelf bedachte volgorde bepaalde delen van het plaatje aan te klikken. Omdat mensen meer visueel ingesteld zijn was dit makkelijker te onthouden was de theorie.

Een goede theorie zou ik zeggen.

Verwijderd @Verwijderd • 20 april 2003 10:19

Bij een nieuwe MS login-techniek denk ik zoiets van"Voer hier de gegevens van uw creditcard in om in te loggen. Wachtwoord vergeten? Leg $5 onder de scanner en druk op start"

Cresso 20 april 2003 08:45

Wie zegt dat deze kantoormedewerkers hun echte password geven en niet zomaar iets verzinnen?

Verwijderd @Cresso • 20 april 2003 10:28

Juist!

Als zo'n flippo mij m'n wachtwoord vraagt dan gaat dit ongeveer zo:

Vul hier uw gebruikersnaam in: YOLOZAH
Vul hier uw wachtwoord in: GIMM3THEP3N

En voila... een mooie pen.

NitroX infinity 20 april 2003 10:12

Bijna 90 procent van de 152 ondervraagden uit Londen gaf het wachtwoord zomaar weg.

Lijkt me dat dit niet veel met ons te maken heeft. In Engeland is de werksfeer totaal anders en valt dit dus niet als globaal te zien. En dan nog, slechts 152 ondervraagden? Vind ik aan de zeer lage kant. Er zijn tienduizenden (zo niet, meer) kantoor medewerkers in Engeland, dan ga je op z'n minst 1000 ondervragen.

Verwijderd @NitroX infinity • 20 april 2003 12:50

dacht je dat dat uitmaakt? Gaat om het principe, en ik denk niet dat er veel verschil zit tussen UK en NL medewerkers....
Gaat niet zo zeer om werksfeer, maar om 'normale' menselijke reacties. Mensen hebben veel over voor 'gratis' dingen...

Percentage is misschien wat aan de hoge kant, maar ik denk dat men hier wel een punt aansnijdt.

Verwijderd @NitroX infinity • 21 april 2003 12:05

In Nederland zal het percentage nog veel hoger liggen, welke Nederlander wil er nou geen gratis pen?

Verwijderd 20 april 2003 13:16

Mijn baas maakt het helemaal bont. Hij problemen met zijn PC waardoor ik wat dingen moest aanpassen en had daarvoor zijn password nodig. Geeft hij mij een getal van 4 cijfers. Blijkt dat zijn Pincode te zijn voor zijn bankpasje! "da's makkelijk onthouden" zegt ie.

Ik ga nu dus een Policy schrijven om mijn baas tegen zichzelf te beschermen....

StefanTs @Verwijderd • 20 april 2003 23:35

als je em wilt beschermen moet je em zeggen zn pinpas aan jou te geven omdat jij er goed voor zorgt...

code heb je toch al...

Verwijderd 20 april 2003 00:07

Wat krijg je dan wel niet voor 2 pennen

tvdleur 20 april 2003 00:22

Sja, dat wisten we toch al wel met die wachtwoorden. Kom op: bij 75 % van de mensen waar ik kom die en probleem hebben hangt er een mooie uitvonding aan de monitor (het is geel en het heet post-it) waarop username, context en wachtwoord (bij voorkeur de vorige 2 ook nog doorgekrast) opstaan. En wij maar ons best doen om een zo veilig mogelijk netwerk neer te leggen

Op dit item kan niet meer gereageerd worden.

Een wachtwoord in ruil voor een pen

Lees meer

Reacties (71)

Sorteer op:

Weergave: