'Tegoedbon voldoende om wachtwoord te achterhalen'

Een tegoedbon doet wonderen als het gaat om het winnen van het vertrouwen. Dat blijkt uit een 'live' phishing-experiment van RSA Security in Central Park in New York. Het bedrijf stuurde een onderzoeksteam voorzien van pen, papier en vragenlijst en gekleed in een 'I Love NY'-t-shirt op voorbijgangers af om zogenaamd onderzoek te doen naar het toerisme in de stad. Naast vragen over de stad, werd de respondenten gevraagd naar onder andere de namen van hun kinderen, hun huisdier en favoriete club. Mensen die de vragenlijst invulden zouden kans maken op een tegoedbon werd hen verteld.

Werkelijk doel van het onderzoek was het testen van de waakzaamheid van de consument als het vertrouwelijke informatie betreft. Bijna 85 procent van de 108 deelnemers gaf zijn volledige naam, adres en e-mailadres op, ruim 70 procent gaf de meisjesnaam van de moeder prijs, meer dan 90 procent noemde de geboortedatum en -plaats en bijna 55 procent vertelde hoe de online wachtwoorden bedacht werden. Degenen die geen antwoord gaven op de vraag hoe ze hun wachtwoord bedenken, gaven wel antwoord op bijvoorbeeld de vraag wat de meisjesnaam van hun moeder is, waaruit men kan afleiden dat consumenten zich vaak niet bewust zijn dat dergelijke informatie ook privacygevoelig is omdat het vaak mogelijk maakt iemands wachtwoord te herleiden of te achterhalen.

Chris Young, vice-president Authenticatiediensten van RSA Security, laat weten dat het beschermen van dergelijke gegevens absoluut noodzakelijk is: zo wordt de meisjesnaam van de moeder door creditcardbedrijven vaak gebruikt voor identificatie. Uit onderzoek van de Federal Trade Commission bleek onlangs nog dat identiteitsdiefstal en cybercrime alleen in de Verenigde Staten al jaarlijks voor 50 miljard dollar schade berokkenen. Momentum Research Group presenteerde onderzoeksresultaten waaruit naar voren kwam dat Amerikanen wantrouwender tegenover internet staan dan de meeste Europeanen.

Illustratie phishing / diefstal van identiteit

IT-banen

Reacties (54)

Olaf van der Spek 9 november 2005 14:39

Degenen die geen antwoord gaven op de vraag hoe ze hun wachtwoord bedenken, gaven wel antwoord op bijvoorbeeld de vraag wat de meisjesnaam van hun moeder is, waaruit men kan afleiden dat consumenten zich vaak niet bewust zijn dat dergelijke informatie ook privacygevoelig is omdat het vaak mogelijk maakt iemands wachtwoord te herleiden of te achterhalen.

Het is toch zoiezo niet slim dat soort semi-public informatie te gebruiken voor authenticatie?

Helaas 'adviseren' veel sites wel om zo'n vraag/antwoord in te stellen voor het geval je het wachtwoord vergeet.
Veel mensen realiseren zich echter niet dat die vraag even belangrijk is als hun wachtwoord.

TD-er

@Olaf van der Spek • 9 november 2005 15:14

Je wachtwoord sturen ze dan toch meestal op naar je mail-adres, dus met alleen de meisjesnaam van je moeder ben je er dan nog niet als phisher.

bastiaank @TD-er • 9 november 2005 16:06

Helaas is het erger:
Bij American Express is je geboorte datum en de meisjesnaam van je moeder al voldoende identificatie om TELEFONISCH allerlei wijzigingen door te geven.

Carda @bastiaank • 9 november 2005 16:16

Nou kijk, dat is dus HET probleem van het bedrijf. Niet van de persoon in kwestie.

Zo kun je zelfs van Bush geld jatten. (googlepower!)

RuudBurger @bastiaank • 9 november 2005 18:52

"Hi this is George W Bush.. I would like to change my address of my visa card.."

hoeft hij over 3 jaar pas te doen

Olaf van der Spek @TD-er • 9 november 2005 15:16

In dit geval ging het om een email account zonder backup email account waar het nieuwe wachtwoord naartoe gestuurd kon worden.

miw @Olaf van der Spek • 9 november 2005 15:12

Sinds wanneer geef jij eerlijke antwoorden op dergelijk recovery vragen? Of geef je eerlijk antwoord aan mensen die je op straat aanhouden voor een kul marketing stuntje?
Als je een beetje internet bewust bent, heb je zat nicknames voorhanden om iedereen van waardeloze informatie te voorzien. Alleen informatie die je wilt verstrekken, is dan toevallig correct. Dat is veel sneller dan in discussie gaan over de vragen.

EnsconcE @miw • 9 november 2005 15:19

Een gemiddelde tweakers zal misschien geen eerlijk antwoord geven. De vraag daarbij is hoeveel gemiddelde tweakers zijn er? Ik zal m'n info misschien iet prijs geven maar mijn ouders bijvoorbeeld wel. Misschien zijn die mensen die het prijs geven zich van geen kwaad bewust. Een reden hiervoor is dat zij misschien te eerlijk zijn. Wat het ook is, men moet er bewsut van gemaakt worden dat wachtwoorden hetzelfde zijn als huissleutels maar dan zonder het fysieke. Misschien is dit wel een postbus 51 slogan oid?

Olaf van der Spek @miw • 9 november 2005 15:15

Sinds wanneer geef jij eerlijke antwoorden op dergelijk recovery vragen?

Ik niet, anderen helaas wel.

Cheetah @Olaf van der Spek • 9 november 2005 17:20

Sinds wanneer geef jij eerlijke antwoorden op dergelijk recovery vragen?
Ik niet, anderen helaas wel.

Inderdaad, en dat zijn nog de passwordrecovery vragen...
Je wilt niet weten wat mensen als password gebruiken

Je zou de mensen die als systeem- en mailpassword hun voornaam, voorletter + achternaam, geboortedatum, naam van vrouw, kind, huisdier etc. gebruiken de kost moeten geven.
Ik heb bij een grote Nederlandse bank op het ITC Consultancy departement ooit eens nieuwe laptops geinstalleerd uitgeleverd, en had voor overzetten van de gegevens daarbij de systeem- en emailtoegangscodes van de individuele medewerkers nodig. Je schrikt je dood over wat je daarbij aan "wachtwoorden" voorbij ziet komen... dat heeft echt in 70% van de gevallen een "laat in dat geval een password uberhaupt maar zitten" gehalte... Als je ook maar iets van die mensen weet ben je binnen 2 minuten het systeem binnen, en in 60% van de gevallen ook nog eens met exact hetzelfde PW hun mailaccount.
En da's dus bij ITers met zwaaaar gevoelige info op hun machines...

Cipri @Olaf van der Spek • 9 november 2005 19:18

Dat is dus de verkeerde kant op geredeneert.
Als ik zeg dat ik een simpel wachtwoord heb, dan kan dat qwerty, 123, 1234, 12345, mijn postcode, mijn geboortedatum, mijn naam, mijn gebruikersnaam, mijn huisdier.....
Zoals je ziet, zijn er ZAT wachtwoorden die, als je ze ziet "makkelijk" zijn, maar nogsteeds zijn ze niet makkelijk om te bedenken als je daar voor zo'n password: prompt zit

Verwijderd @Olaf van der Spek • 10 november 2005 13:51

@borgz

je kon het in windows 98 schermbeveiling ook aanvinken (wachtwoord) en geen wachtwoord invullen. gewoon tegen de muis aan tikken en enter drukken. ik kwam er achter dat dit zeer effectief werkt aangezien iedereen toch wat in gaat typen

tERRiON @miw • 9 november 2005 16:13

Of geef je eerlijk antwoord aan mensen die je op straat aanhouden voor een kul marketing stuntje?

Dat zijn er meer dan je op het eerste gezicht zou verwachten. Zie alleen al hoeveel "slachtoffers" er zijn die hun creditcard-nummers geven als er een leuk verhaaltje wordt opgehangen. En daar zitten mensen tussen waarvan je op het eerste gezicht zou verwachten.

Enige tijd geleden is m'n zus ook zo stom geweest, terwijl ze normaal zo assertief is dat het bijna irritant is.

Mensen realiseren zich niet voldoende dat er maar al te vaak informatie gevraagd wordt die totaal niet relevant is. En in veel gevallen kan dat op zich geen kwaad, maar in andere gevallen kan dat ook tegen je gebruikt worden...

Ik kan me niet herinneren dat ik ooit een enquette ingevuld heb zonder daarbij vragen over te slaan of zeer kritische vragen te stellen.

Verwijderd @miw • 9 november 2005 15:23

er staat toch niet dat dit onderzoek over jou ging?

MPAnnihilator @Olaf van der Spek • 9 november 2005 15:18

Ik vind trouwens dat er nooit een goede vraag in het lijstje zit die past bij mijn paswoord

Stel : mijn paswoord is ILoveTweakers2 , vragen zoals ;

Naam van je huisdier ...
Naam van je moeder, vader ...
enz...

Dat past daar niet bij natuurlijk ...

Dus vraag ik me eigenlijk wel eens af : of mensen nu hun paswoord kiezen in functie van die vragen , of zij gewoon hun favoriet paswoord blijven gebruiken en zich niets aantrekken van die vragen bij sommige toepassingen ?

Betere oplossing vind ik zoals bijvoorbeeld in het nieuwe WindowsXP logon screen, waar je zelf vrijblijvend een willekeurige tip kan ingeven ...

Eskimo0O0o @MPAnnihilator • 9 november 2005 15:29

Die vragen slaan dan ook niet op je wachtwoord zélf, maar dienen als mogelijkheid om je account weer te bemachtigen, mocht je je wachtwoord (in dit geval ILoveTweakers2) zijn -vergeten-.

Veel sites werken met het genereren van een nieuw wachtwoord, dat opgestuurd wordt naar je emailadres, maar in sommige gevallen is dit niet mogelijk (je bent bijvoorbeeld het wachtwoord van je mail account vergeten), en dan zijn deze zgn. recovery vragen van toepassing.

De bedoeling is dat je een vraag instelt met een antwoord waarvan jij de enige zou zijn die het antwoord weet (of in ieder geval een van de weinigen), zodat ze zonder je wachtwoord toch een manier hebben om je identiteit te verifiëren.

Stel, je bent je wachtwoord (ILoveTweakers2) vergeten voor je annihilator_1980@hotmail.com account vergeten. Opsturen naar je email account heeft geen zin (immers, hier kun je niet in), dus dan moet je antwoord geven op de vraag 'Wat is je lievelingseten'. Als je de vraag juist beantwoord ('Broodje poep'), dan mag je alsnog naar binnen, zonder ooit het originele wachtwoord te hebben geweten.

ECHTER, de meeste sites geven dan een lijstje met vooraf ingestelde vragen zoals de meisjesnaam van je moeder, wat normaliter moeilijk genoeg zou moeten zijn. Omdat algemeen bekend is wat voor dergelijke vragen deze sites stellen, beredeneren de onderzoekers dat het in principe genoeg zou moeten zijn om met bovenstaande gegevens een account te kraken.

Jammerlijk genoeg is dit waarschijnlijk daadwerkelijk het geval. Ik denk dat als je deze gegevens van 100 personen hebt, dat je de accounts van een paar wel binnen zult kunnen komen.

Evil_Ed @MPAnnihilator • 9 november 2005 16:38

yooo anihidinges

// Stel : mijn paswoord is ILoveTweakers2 , vragen zoals ;
// Naam van je huisdier ...
// Dat past daar niet bij natuurlijk ...

Eeeej , maar daar heb ik dan weer een oplossing voor.

Loop naar de dierenwinkel , koop een cavia en noem hem iLoveTweakers2 ... probleem opgelost ....

simple questions deserve simple solutions :-)

pun intended....

srblackbird @Evil_Ed • 9 november 2005 19:03

mijn kat heet &$nfj(34JD

Ik verander z'n naam elke 2 maanden

trogdor @MPAnnihilator • 9 november 2005 15:32

Het gaat ook niet altijd om het password zelf, maar ook om password recovery dmv een vraag en antwoord.

darkfader @Olaf van der Spek • 9 november 2005 15:17

Bij zulke vragen vul ik meestal gewoon een hoop rommel in. Wachtwoorden bewaar ik met een programma en zijn lang genoeg om niet handmatig in te willen voeren

Verwijderd 9 november 2005 14:48

Het is ook echt een probleem dat je voor alles en overal een gebruikersnaam en wachtwoord nodig hebt.

Het zou allemaal een stuk makkelijker zijn wanneer je iets van een paspoort of id-card zou hebben om jezelf online te legitimeren.

In het dagelijks leven doen en mogen we immers ook niet anders. Wat denk je bijvoorbeeld van een vingerafdruk, eye-scan of DNA-chip om jezelf te identificeren op het web.
En dit is echt geen Star Wars, het is allemaal te realiseren.

Tevens is het nog een feit dat veel mensen zich totaal niet bewust zijn van de gevaren en ellende die dit met zich mee kan brengen.

miw @Verwijderd • 9 november 2005 15:03

De bestaande technieken zijn afdoende voor het gebruik dat mensen hiervan maken. Zoals hierboven al uitgelegd is, kan je passwords kiezen die vrj lastig te raden zijn. Recovery vragen kan je ook op een andere manier inrichten. De voornaam van je moeder hoeft toch niet naar eer en geweten correct te worden ingevuld; een willekeurig passwoord zou ook volstaan.
Op die manier kan je toegang to informatie of diensten veilig stellen zonder dat je daar persoonlijke informatie voor hoeft op te geven. Ook op tweakers ben je bekend onder een nick, en je persoonlijke info pagina kan allerlei kul informatie bevatten. Mensen internet bewust maken helpt meer dan dan nog meer technologie. Vooral als die technologie weer andere problemen oplevert (verlies van anonimiteit bijvoorbeeld).

Olaf van der Spek @miw • 9 november 2005 15:12

De bestaande technieken zijn afdoende voor het gebruik dat mensen hiervan maken.

Dat ben ik absoluut niet met je eens. Web-based authenticatie is vaak gewoon plaintext. Zelfs met SSL kan de server het wachtwoord nog in plaintext zien.
Browsers richten zich ook vooral op gebruiksgemak in plaats van op veiligheid.
Een self-signed certificaat of een fout certificaat accepteren is zo simpel als op enter drukken na een popup. De gebruiker zelf het initiatief laten nemen zou veel beter zijn.

Het gebruik van een uniek password op elke site is praktisch onmogelijk. In plaats daarvan zou authenticatie gebaseerd moeten zijn op public key encryption of een andere methode waarbij de server nooit jouw authenticatie kan 'replayen'.

Ook is het voor een trojan nog steeds mogelijk alle cached passwords uit een systeem te vissen. Ik heb nog geen plannen gezien om daar iets aan te doen (en ja, het is wel mogelijk).

Verwijderd @Verwijderd • 9 november 2005 15:09

Laat Microsoft nou net zo'n service hebben: http://www.passport.com

Maar zoals bij al dat soort initiatieven krijg je er zoiets niet snel doorheen geduwd..

Verwijderd 9 november 2005 14:53

Het lijkt me dat als je mensen naar een website lokt, en ze daar laat registreren met een account en wachtwoord, dat je zelden een uniek wachtwoord zult krijgen; en dus met datzelfde wachtwoord ook op andere sites kunt waar de gebruiker bekend is.

BRAINLESS01 9 november 2005 14:39

En ik vraag mij vaak al af waarom ze op een website mijn geboortedatum willen weten... laat staan in een live onderzoek! Sommige mensen hebben er niks van begrepen...

Eskimo0O0o @BRAINLESS01 • 9 november 2005 15:38

En ik vraag mij vaak al af waarom ze op een website mijn geboortedatum willen weten... laat staan in een live onderzoek! Sommige mensen hebben er niks van begrepen...

Grappig, dat je dit zegt, aangezien bij mijn weten het invullen op tweakers.net ook niet verplicht is en je dit toch wel gedaan hebt

BRAINLESS01's profiel werd toegevoegd op zondag 17 oktober 2004 en voor het laatst gewijzigd op zondag 17 oktober 2004.

Naam: (niet ingevuld)
Email: (niet openbaar)
Geslacht: Man
Geboortedatum: 25 oktober 1975

Om antwoord op je impliciete vraag te geven: Voor marketing doeleinden (dan weet de site hoe de gemiddelde bezoeker eruit ziet. Hier kan dan weer content en reclame op worden aangepast).

Verwijderd 9 november 2005 16:26

Hmmm, waarom moet ik plots aan Paris Hilton denken...

Verwijderd @Verwijderd • 9 november 2005 17:04

Eh... omdat je dat altijd doet?

mccAin @Verwijderd • 9 november 2005 17:17

omdat je net haar home-videootje hebt gezien?

naaa 9 november 2005 16:08

Gelukkig word tegenwoordig veel internet verbinding geleverd met een 'standaard' wachtwoord van hun ISP wat de meeste thuis mensen toch niet wijzigen, en meestal in de trend van 'xh6HJ89vj-kio1' dus dat is al moeilijker

Maar meestal zijn de wachtwoorden zelf bedacht door mensen erg simpel, aangezien ik regelmatig ADSL/Kabel installeren bij particulieren, weet ik vele wachtwoorden.

Zelf ben ik veel voorzichtiger; vertrouw zelf mijn moeder mijn wachtwoorden niet toe; er is/was maar 1 persoon die ik mijn wachtwoord voor inloggen/e-mail gaf, en die is er niet meer

.

Veder heb ik vele voornamen en achternamen, en telefoon nummer, adres vul ik nooit in bij enquetes, etc. Bij e-mail geef ik altijd aliasen op die toch na 1 maand verwijderd worden

, scheelt weer in spam.

Philip_Janssen @naaa • 14 november 2005 18:24

Veder heb ik vele voornamen en achternamen, en telefoon nummer, adres vul ik nooit in bij enquetes, etc. Bij e-mail geef ik altijd aliasen op die toch na 1 maand verwijderd worden , scheelt weer in spam.

Komen die DOT.TK domeinen toch nog ergens voor van pas

iTec 9 november 2005 15:14

maar wat doet RSA nu met dat lijstje...

*kuch te koop op eBay

numm!e 9 november 2005 17:23

In diverse landen maakt de achternaam van je moeder (mits bekend natuurlijk) deel uit van je eigen achternaam.

Maar eigenlijk vind ik dit onderzoek weinig ophef waard. Want als ik offline zit te zonnen in Central Park vind ik deze info verstrekken helemaal niet zo'n ophef waard.... door mijn rijgedrag schudt ik eventuele achtervolgers al snel af *hehe*

Pietervs

Bedrijfsnieuws

9 november 2005 17:27

Er was vorig jaar een onderzoek waaruit bleek dat gebruikers hun wachtwoord al afgaven voor een pen of een reep chocola.
Blijkbaar zit hier dus ook inflatie in...

Verwijderd 9 november 2005 14:40

nou is dit nou voldoende om een wachtwoord te achterhalen? IMHO zegt dit niet zo heel veel..

n4m3l355

Bedrijfsnieuws

@Verwijderd • 9 november 2005 16:30

ik denk dat de hele post vrij weinig zegt eerlijk gezegd. beetje angst aanpraten op de consument zeker de laatste statement dat men schat dat in de US voor 50 miljard schade voorkomt uit cyber-criminaliteit. imo is dit meer aansporen van de amerikaanse overheid dat men geld nodig heeft om hier iets tegen te doen. en mede met dit soort posts helpen we ze dus een handje.
daarnaast is dit toch ook niets nieuws dat men zo paswoorden opgeeft, daarbij geven ze niet eens letterlijk hun paswoord op alleen een mogelijke.

Yodah @Verwijderd • 9 november 2005 14:49

De gemiddelde tweaker zal zijn naam of geboortedatum niet als pswd gebruiken, helaas heeft de rest van de aardkloot tegenwoordig ook een emailadres met wachtwoord en allerlei andere online accounts zonder te beseffen wat een okayish wachtwoord is...

Op dit item kan niet meer gereageerd worden.

'Tegoedbon voldoende om wachtwoord te achterhalen'

Lees meer

IT-banen

Reacties (54)

Sorteer op:

Weergave: