De Safe Internet Foundation (SIF) maakt zich zorgen over wat zij noemt 'de wildgroei' van wachtwoorden waarmee steeds meer digitale diensten hun toegang beveiligen. De veiligheid daalt daarmee, zo toont goed onderzoek aan.
Dat heeft de SIF zojuist bekendgemaakt, na een rapport over wachtwoordgebruik van PricewaterhouseCooper-afdeling Global Risk Management Solutions (GRMS).
Het rapportje is niet openbaar en binnenkort komt de SIF nog met een nadere bekendmaking van oplossingen voor het vastgestelde probleem met wachtwoorden. Het rapport ontvingen we wel. Daaruit wat citaten:
"Voor het gemak plakken gebruikers het wachtwoord op een post-it op het beeldscherm en veranderen ze het wachtwoord door simpelweg een 1 achter het oude wachtwoord te zetten."
"Ter illustratie heeft de Safe Internet Foundation in samenwerking met Security.nl een inventariserend onderzoek uitgevoerd naar de top tien van de binnen Nederland meest gebruikte wachtwoorden: 1. username = wachtwoord 2. voornaam, achternaam, naam kinderen of partner 3. huisdier 4. plaatsnaam 5. reeksen (qwerty, 123456) 6. favoriete drank/auto/sport/merk (breezer, Feyenoord, kentekenplaat) 7. namen, gevolgd door het geboortejaar of de leeftijd 8. geheim, wachtwoord 9. seizoen/maand (met name als gebruikers verplicht zijn om eens per seizoen/maand het wachtwoord moeten veranderen) 10. "god"
"Vaak zijn er in sites geen restricties aangebracht ten aanzien van het aantal pogingen dat door een bezoeker kan worden ondernomen om in te loggen. Dit maakt het toepassen van 'brute force attacks' (door middel van een softwareprogramma het wachtwoord proberen te 'raden') mogelijk.
User ID's en de bijbehorende wachtwoorden worden vaak ongecodeerd (niet versleuteld) via het Internet verzonden. Dit opent mogelijkheden voor hackers om door middel van 'sniffing' het dataverkeer te monitoren en het user ID en wachtwoord te onderscheppen.
In een aantal gevallen worden onbewust hints voor hackers op de site geplaatst, denk bijvoorbeeld aan de melding 'Log in met uw e-mailadres'. Hiermee is de helft van de te kraken combinatie al grotendeels weggegeven."
Uit het persbericht:
"Op internet vragen steeds meer websites, internetkranten, online-nieuwsbrieven en internetspaarrekeningen om wachtwoorden, usernames en andere toegangscodes. Ook buiten het web moeten gebruikers steeds meer pincodes en wachtwoorden onthouden, zoals de pincode bij de bank en op de mobiele telefoon en wachtwoorden voor het e-mail account en het bedrijfsnetwerk...
Gebruikers kunnen de wachtwoorden niet meer onthouden en gebruiken daarom te vaak dezelfde of te eenvoudige wachtwoorden.
Computergebruikers worden er, uit veiligheidsoverwegingen, op gewezen: # wachtwoorden niet op te schrijven; # regelmatig van wachtwoord te wisselen; # verschillende combinaties van karakters te gebruiken; # en geen wachtwoorden te gebruiken die uit hun leefomgeving komen.