Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 54 reacties
Bron: RSA Security

Een tegoedbon doet wonderen als het gaat om het winnen van het vertrouwen. Dat blijkt uit een 'live' phishing-experiment van RSA Security in Central Park in New York. Het bedrijf stuurde een onderzoeksteam voorzien van pen, papier en vragenlijst en gekleed in een 'I Love NY'-t-shirt op voorbijgangers af om zogenaamd onderzoek te doen naar het toerisme in de stad. Naast vragen over de stad, werd de respondenten gevraagd naar onder andere de namen van hun kinderen, hun huisdier en favoriete club. Mensen die de vragenlijst invulden zouden kans maken op een tegoedbon werd hen verteld.

Werkelijk doel van het onderzoek was het testen van de waakzaamheid van de consument als het vertrouwelijke informatie betreft. Bijna 85 procent van de 108 deelnemers gaf zijn volledige naam, adres en e-mailadres op, ruim 70 procent gaf de meisjesnaam van de moeder prijs, meer dan 90 procent noemde de geboortedatum en -plaats en bijna 55 procent vertelde hoe de online wachtwoorden bedacht werden. Degenen die geen antwoord gaven op de vraag hoe ze hun wachtwoord bedenken, gaven wel antwoord op bijvoorbeeld de vraag wat de meisjesnaam van hun moeder is, waaruit men kan afleiden dat consumenten zich vaak niet bewust zijn dat dergelijke informatie ook privacygevoelig is omdat het vaak mogelijk maakt iemands wachtwoord te herleiden of te achterhalen.

Chris Young, vice-president Authenticatiediensten van RSA Security, laat weten dat het beschermen van dergelijke gegevens absoluut noodzakelijk is: zo wordt de meisjesnaam van de moeder door creditcardbedrijven vaak gebruikt voor identificatie. Uit onderzoek van de Federal Trade Commission bleek onlangs nog dat identiteitsdiefstal en cybercrime alleen in de Verenigde Staten al jaarlijks voor 50 miljard dollar schade berokkenen. Momentum Research Group presenteerde onderzoeksresultaten waaruit naar voren kwam dat Amerikanen wantrouwender tegenover internet staan dan de meeste Europeanen.

Illustratie phishing / diefstal van identiteit
Moderatie-faq Wijzig weergave

Reacties (54)

Degenen die geen antwoord gaven op de vraag hoe ze hun wachtwoord bedenken, gaven wel antwoord op bijvoorbeeld de vraag wat de meisjesnaam van hun moeder is, waaruit men kan afleiden dat consumenten zich vaak niet bewust zijn dat dergelijke informatie ook privacygevoelig is omdat het vaak mogelijk maakt iemands wachtwoord te herleiden of te achterhalen.
Het is toch zoiezo niet slim dat soort semi-public informatie te gebruiken voor authenticatie?

Helaas 'adviseren' veel sites wel om zo'n vraag/antwoord in te stellen voor het geval je het wachtwoord vergeet.
Veel mensen realiseren zich echter niet dat die vraag even belangrijk is als hun wachtwoord.
Je wachtwoord sturen ze dan toch meestal op naar je mail-adres, dus met alleen de meisjesnaam van je moeder ben je er dan nog niet als phisher.
Helaas is het erger:
Bij American Express is je geboorte datum en de meisjesnaam van je moeder al voldoende identificatie om TELEFONISCH allerlei wijzigingen door te geven.
Nou kijk, dat is dus HET probleem van het bedrijf. Niet van de persoon in kwestie.

Zo kun je zelfs van Bush geld jatten. (googlepower!)
"Hi this is George W Bush.. I would like to change my address of my visa card.."
:Y)

hoeft hij over 3 jaar pas te doen :+
In dit geval ging het om een email account zonder backup email account waar het nieuwe wachtwoord naartoe gestuurd kon worden.
Sinds wanneer geef jij eerlijke antwoorden op dergelijk recovery vragen? Of geef je eerlijk antwoord aan mensen die je op straat aanhouden voor een kul marketing stuntje?
Als je een beetje internet bewust bent, heb je zat nicknames voorhanden om iedereen van waardeloze informatie te voorzien. Alleen informatie die je wilt verstrekken, is dan toevallig correct. Dat is veel sneller dan in discussie gaan over de vragen.
Een gemiddelde tweakers zal misschien geen eerlijk antwoord geven. De vraag daarbij is hoeveel gemiddelde tweakers zijn er? Ik zal m'n info misschien iet prijs geven maar mijn ouders bijvoorbeeld wel. Misschien zijn die mensen die het prijs geven zich van geen kwaad bewust. Een reden hiervoor is dat zij misschien te eerlijk zijn. Wat het ook is, men moet er bewsut van gemaakt worden dat wachtwoorden hetzelfde zijn als huissleutels maar dan zonder het fysieke. Misschien is dit wel een postbus 51 slogan oid?
Sinds wanneer geef jij eerlijke antwoorden op dergelijk recovery vragen?
Ik niet, anderen helaas wel.
Sinds wanneer geef jij eerlijke antwoorden op dergelijk recovery vragen?
Ik niet, anderen helaas wel.
Inderdaad, en dat zijn nog de passwordrecovery vragen...
Je wilt niet weten wat mensen als password gebruiken :/

Je zou de mensen die als systeem- en mailpassword hun voornaam, voorletter + achternaam, geboortedatum, naam van vrouw, kind, huisdier etc. gebruiken de kost moeten geven.
Ik heb bij een grote Nederlandse bank op het ITC Consultancy departement ooit eens nieuwe laptops geinstalleerd uitgeleverd, en had voor overzetten van de gegevens daarbij de systeem- en emailtoegangscodes van de individuele medewerkers nodig. Je schrikt je dood over wat je daarbij aan "wachtwoorden" voorbij ziet komen... dat heeft echt in 70% van de gevallen een "laat in dat geval een password uberhaupt maar zitten" gehalte... Als je ook maar iets van die mensen weet ben je binnen 2 minuten het systeem binnen, en in 60% van de gevallen ook nog eens met exact hetzelfde PW hun mailaccount.
En da's dus bij ITers met zwaaaar gevoelige info op hun machines... :X
Dat is dus de verkeerde kant op geredeneert.
Als ik zeg dat ik een simpel wachtwoord heb, dan kan dat qwerty, 123, 1234, 12345, mijn postcode, mijn geboortedatum, mijn naam, mijn gebruikersnaam, mijn huisdier.....
Zoals je ziet, zijn er ZAT wachtwoorden die, als je ze ziet "makkelijk" zijn, maar nogsteeds zijn ze niet makkelijk om te bedenken als je daar voor zo'n password: prompt zit :)
@borgz

je kon het in windows 98 schermbeveiling ook aanvinken (wachtwoord) en geen wachtwoord invullen. gewoon tegen de muis aan tikken en enter drukken. ik kwam er achter dat dit zeer effectief werkt aangezien iedereen toch wat in gaat typen
Of geef je eerlijk antwoord aan mensen die je op straat aanhouden voor een kul marketing stuntje?
Dat zijn er meer dan je op het eerste gezicht zou verwachten. Zie alleen al hoeveel "slachtoffers" er zijn die hun creditcard-nummers geven als er een leuk verhaaltje wordt opgehangen. En daar zitten mensen tussen waarvan je op het eerste gezicht zou verwachten.

Enige tijd geleden is m'n zus ook zo stom geweest, terwijl ze normaal zo assertief is dat het bijna irritant is.

Mensen realiseren zich niet voldoende dat er maar al te vaak informatie gevraagd wordt die totaal niet relevant is. En in veel gevallen kan dat op zich geen kwaad, maar in andere gevallen kan dat ook tegen je gebruikt worden...

Ik kan me niet herinneren dat ik ooit een enquette ingevuld heb zonder daarbij vragen over te slaan of zeer kritische vragen te stellen.
er staat toch niet dat dit onderzoek over jou ging?
Ik vind trouwens dat er nooit een goede vraag in het lijstje zit die past bij mijn paswoord :z

Stel : mijn paswoord is ILoveTweakers2 , vragen zoals ;

Naam van je huisdier ...
Naam van je moeder, vader ...
enz...

Dat past daar niet bij natuurlijk ...

:*)

Dus vraag ik me eigenlijk wel eens af : of mensen nu hun paswoord kiezen in functie van die vragen , of zij gewoon hun favoriet paswoord blijven gebruiken en zich niets aantrekken van die vragen bij sommige toepassingen ?

Betere oplossing vind ik zoals bijvoorbeeld in het nieuwe WindowsXP logon screen, waar je zelf vrijblijvend een willekeurige tip kan ingeven ...
Die vragen slaan dan ook niet op je wachtwoord zélf, maar dienen als mogelijkheid om je account weer te bemachtigen, mocht je je wachtwoord (in dit geval ILoveTweakers2) zijn -vergeten-.

Veel sites werken met het genereren van een nieuw wachtwoord, dat opgestuurd wordt naar je emailadres, maar in sommige gevallen is dit niet mogelijk (je bent bijvoorbeeld het wachtwoord van je mail account vergeten), en dan zijn deze zgn. recovery vragen van toepassing.

De bedoeling is dat je een vraag instelt met een antwoord waarvan jij de enige zou zijn die het antwoord weet (of in ieder geval een van de weinigen), zodat ze zonder je wachtwoord toch een manier hebben om je identiteit te verifiëren.

Stel, je bent je wachtwoord (ILoveTweakers2) vergeten voor je annihilator_1980@hotmail.com account vergeten. Opsturen naar je email account heeft geen zin (immers, hier kun je niet in), dus dan moet je antwoord geven op de vraag 'Wat is je lievelingseten'. Als je de vraag juist beantwoord ('Broodje poep'), dan mag je alsnog naar binnen, zonder ooit het originele wachtwoord te hebben geweten.

ECHTER, de meeste sites geven dan een lijstje met vooraf ingestelde vragen zoals de meisjesnaam van je moeder, wat normaliter moeilijk genoeg zou moeten zijn. Omdat algemeen bekend is wat voor dergelijke vragen deze sites stellen, beredeneren de onderzoekers dat het in principe genoeg zou moeten zijn om met bovenstaande gegevens een account te kraken.

Jammerlijk genoeg is dit waarschijnlijk daadwerkelijk het geval. Ik denk dat als je deze gegevens van 100 personen hebt, dat je de accounts van een paar wel binnen zult kunnen komen.
yooo anihidinges

// Stel : mijn paswoord is ILoveTweakers2 , vragen zoals ;
// Naam van je huisdier ...
// Dat past daar niet bij natuurlijk ...

Eeeej , maar daar heb ik dan weer een oplossing voor.

Loop naar de dierenwinkel , koop een cavia en noem hem iLoveTweakers2 ... probleem opgelost ....

simple questions deserve simple solutions :-)

pun intended....
mijn kat heet &$nfj(34JD

Ik verander z'n naam elke 2 maanden :+
Het gaat ook niet altijd om het password zelf, maar ook om password recovery dmv een vraag en antwoord.
Bij zulke vragen vul ik meestal gewoon een hoop rommel in. Wachtwoorden bewaar ik met een programma en zijn lang genoeg om niet handmatig in te willen voeren :)
Het is ook echt een probleem dat je voor alles en overal een gebruikersnaam en wachtwoord nodig hebt.

Het zou allemaal een stuk makkelijker zijn wanneer je iets van een paspoort of id-card zou hebben om jezelf online te legitimeren.

In het dagelijks leven doen en mogen we immers ook niet anders. Wat denk je bijvoorbeeld van een vingerafdruk, eye-scan of DNA-chip om jezelf te identificeren op het web.
En dit is echt geen Star Wars, het is allemaal te realiseren.

Tevens is het nog een feit dat veel mensen zich totaal niet bewust zijn van de gevaren en ellende die dit met zich mee kan brengen.
De bestaande technieken zijn afdoende voor het gebruik dat mensen hiervan maken. Zoals hierboven al uitgelegd is, kan je passwords kiezen die vrj lastig te raden zijn. Recovery vragen kan je ook op een andere manier inrichten. De voornaam van je moeder hoeft toch niet naar eer en geweten correct te worden ingevuld; een willekeurig passwoord zou ook volstaan.
Op die manier kan je toegang to informatie of diensten veilig stellen zonder dat je daar persoonlijke informatie voor hoeft op te geven. Ook op tweakers ben je bekend onder een nick, en je persoonlijke info pagina kan allerlei kul informatie bevatten. Mensen internet bewust maken helpt meer dan dan nog meer technologie. Vooral als die technologie weer andere problemen oplevert (verlies van anonimiteit bijvoorbeeld).
De bestaande technieken zijn afdoende voor het gebruik dat mensen hiervan maken.
Dat ben ik absoluut niet met je eens. Web-based authenticatie is vaak gewoon plaintext. Zelfs met SSL kan de server het wachtwoord nog in plaintext zien.
Browsers richten zich ook vooral op gebruiksgemak in plaats van op veiligheid.
Een self-signed certificaat of een fout certificaat accepteren is zo simpel als op enter drukken na een popup. De gebruiker zelf het initiatief laten nemen zou veel beter zijn.

Het gebruik van een uniek password op elke site is praktisch onmogelijk. In plaats daarvan zou authenticatie gebaseerd moeten zijn op public key encryption of een andere methode waarbij de server nooit jouw authenticatie kan 'replayen'.

Ook is het voor een trojan nog steeds mogelijk alle cached passwords uit een systeem te vissen. Ik heb nog geen plannen gezien om daar iets aan te doen (en ja, het is wel mogelijk).
Laat Microsoft nou net zo'n service hebben: http://www.passport.com

Maar zoals bij al dat soort initiatieven krijg je er zoiets niet snel doorheen geduwd..
Het lijkt me dat als je mensen naar een website lokt, en ze daar laat registreren met een account en wachtwoord, dat je zelden een uniek wachtwoord zult krijgen; en dus met datzelfde wachtwoord ook op andere sites kunt waar de gebruiker bekend is.
En ik vraag mij vaak al af waarom ze op een website mijn geboortedatum willen weten... laat staan in een live onderzoek! Sommige mensen hebben er niks van begrepen...
En ik vraag mij vaak al af waarom ze op een website mijn geboortedatum willen weten... laat staan in een live onderzoek! Sommige mensen hebben er niks van begrepen...

Grappig, dat je dit zegt, aangezien bij mijn weten het invullen op tweakers.net ook niet verplicht is en je dit toch wel gedaan hebt ;)

BRAINLESS01's profiel werd toegevoegd op zondag 17 oktober 2004 en voor het laatst gewijzigd op zondag 17 oktober 2004.

Naam: (niet ingevuld)
Email: (niet openbaar)
Geslacht: Man
Geboortedatum: 25 oktober 1975



Om antwoord op je impliciete vraag te geven: Voor marketing doeleinden (dan weet de site hoe de gemiddelde bezoeker eruit ziet. Hier kan dan weer content en reclame op worden aangepast).
Hmmm, waarom moet ik plots aan Paris Hilton denken... :+
Eh... omdat je dat altijd doet?
omdat je net haar home-videootje hebt gezien?
Ik denk dat veel mensen er nog aan moeten wennen dat persoonlijke informatie ook ten kwade gebruikt kan worden. ('Vroeger' bestond dat gevaar nog niet op deze schaal, dan had je bijv. iemands zegelring nodig om 'de kluis te openen')
Komt nog eens bij dat door middel van de zegelring identiteitsdiefstal wel degelijk mogelijk was.

Het enige wat je nodig had om brieven namens iemand te sturen was met behulp van een aardappel de afdruk van een ring in kaarsvet na te maken, de brief te verzegelen en hoppa, King Richard II heeft zojuist een brief naar Roi Louis XIV verstuurd waarin hij hem voor een 'fat bastard' uitmaakt.

(jaja, voordat er geschiedenisfreaks aan komen zetten dat deze nooit naast elkaar hebben geleefd; je snapt wat ik bedoel)
Ben ik met je eens, maar feit blijft dat het toen niet lucratief was dit op grote schaal te doen. Plus het namaken van een zegelring is niet het eenvoudigst (je moet dicht bij de persoon in kwestie kunnen komen).
(dat was m'n zwarte hoed).

Nu m'n groene: interessant om te weten hoe vaak het vroeger eigenlijk gebeurde, in vergelijking met nu. Wellicht is identiteitsdiefstal helemaal niet zo gegroeid, afgezet tegen de wereldbevolking.
Zegelring heb je het wel over honderden jaren terug, daar hoeven mensen niet aan te wennen, want de mensen die de zegelring nog als authenticatie mee hebben gemaakt zijn inmiddels al redelijk vergruisd.
nou is dit nou voldoende om een wachtwoord te achterhalen? IMHO zegt dit niet zo heel veel..
ik denk dat de hele post vrij weinig zegt eerlijk gezegd. beetje angst aanpraten op de consument zeker de laatste statement dat men schat dat in de US voor 50 miljard schade voorkomt uit cyber-criminaliteit. imo is dit meer aansporen van de amerikaanse overheid dat men geld nodig heeft om hier iets tegen te doen. en mede met dit soort posts helpen we ze dus een handje.
daarnaast is dit toch ook niets nieuws dat men zo paswoorden opgeeft, daarbij geven ze niet eens letterlijk hun paswoord op alleen een mogelijke.
De gemiddelde tweaker zal zijn naam of geboortedatum niet als pswd gebruiken, helaas heeft de rest van de aardkloot tegenwoordig ook een emailadres met wachtwoord en allerlei andere online accounts zonder te beseffen wat een okayish wachtwoord is...
waakzaamheid van gebruikers ... op de helpdesk waar ik stage loop krijg ik veel telefoontjes binnen waar de mensen standaard al hun gebruikersnaam en wachtwoord geven voor een of ander klein probleempje. als ik zou willen denk ik dat ik dat ik van toch wel 80% van de medewerkers het wachtword zou kunnen krijgen als ik zeg dat ik het nodig heb om het "incident" op te lossen
Helaas is de bewustwording van security een proces dat jaren duurt, en bij veel bedrijven nog niet eens begonnen is. Het is zo voor gebruikers niet duidelijk wat de daadwerkelijke nut en impact is van security.

En om dit proces wel goed in te richten, zeker bij grotere bedrijven, gaat er nogal wat aan ten grondslag omtrent procesinrichting. Advisering van externe partijen, edoch duur, is vaak aan te raden, omdat deze hiervoor specialisme in huis hebben. Helaas vraagt dit om een combinatie van inzicht in bedrijfsprocessen en security, iets wat nog te schaars is tegenwoordig.
gelijkaardig bij mij.
Ik help zo wel eens mensen met bijvoorbeeld hun website.
Je zou eens moeten weten hoeveel ftp usernames en passwoorden ik heb terwijl ik er *nooit* om gevraagd had.
Gelukkig word tegenwoordig veel internet verbinding geleverd met een 'standaard' wachtwoord van hun ISP wat de meeste thuis mensen toch niet wijzigen, en meestal in de trend van 'xh6HJ89vj-kio1' dus dat is al moeilijker ;)

Maar meestal zijn de wachtwoorden zelf bedacht door mensen erg simpel, aangezien ik regelmatig ADSL/Kabel installeren bij particulieren, weet ik vele wachtwoorden.

Zelf ben ik veel voorzichtiger; vertrouw zelf mijn moeder mijn wachtwoorden niet toe; er is/was maar 1 persoon die ik mijn wachtwoord voor inloggen/e-mail gaf, en die is er niet meer ;(.

Veder heb ik vele voornamen en achternamen, en telefoon nummer, adres vul ik nooit in bij enquetes, etc. Bij e-mail geef ik altijd aliasen op die toch na 1 maand verwijderd worden 8-), scheelt weer in spam.
Veder heb ik vele voornamen en achternamen, en telefoon nummer, adres vul ik nooit in bij enquetes, etc. Bij e-mail geef ik altijd aliasen op die toch na 1 maand verwijderd worden , scheelt weer in spam.
Komen die DOT.TK domeinen toch nog ergens voor van pas :+
Er zou toch een beeletje moeten gaan rinkelen, ik bedoel over het algemeen zijn onderzoeken anoniem, en als er dan wat te winnen valt is 1 emailadres genoeg ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True