Twee derde van de gebruikers verandert hun wachtwoord niet, zelfs niet na een datalek
Gebruikers zijn vaak nogal uitgesproken over hun ongenoegen in de nasleep van een datalek, en je zou kunnen stellen dat dit volkomen begrijpelijk is. Door u aan te melden voor een dienst, vertrouwt u de provider immers uw gegevens toe en als deze niet zo goed worden beschermd als u zou moeten, heeft u het volste recht om van streek te zijn. Het blijkt echter dat, hoewel veel mensen bereid zijn om naar sociale media te gaan om hun woede te uiten over het bedrijf dat een inbreuk heeft geleden, ze niet allemaal bereid zijn om eenvoudige stappen te nemen om zichzelf te beschermen.
Table of Contents
Slechts een derde van de gebruikers die getroffen zijn door datalekken, wijzigt hun wachtwoord
Er zijn meer dan een paar manieren om wachtwoorden van mensen op te slaan, en in de nasleep van een beveiligingsincident is het erg belangrijk om te achterhalen welke methode voor wachtwoordopslag de inbreukmakende provider heeft gebruikt. Als de inloggegevens correct zijn opgeslagen (dwz gehasht en gezouten met een robuust hash-algoritme), zullen de hackers die ze stelen het moeilijk hebben om ze te gebruiken om de accounts van mensen te compromitteren. Als ze daarentegen in platte tekst worden opgeslagen, zijn de risico's veel groter.
Hoe dan ook, gebruikers wordt altijd geadviseerd om hun wachtwoord uit voorzorg te veranderen. Uit een onderzoek van onderzoekers van Carnegie Melon University blijkt echter dat de meeste mensen er gewoon geen moeite voor hebben.
Tweehonderdnegenenveertig mensen stemden ermee in om deel te nemen aan de enquête, waaruit bleek dat slechts één op de drie gebruikers van een inbreukmakende dienst bereid is hun wachtwoord te wijzigen nadat ze het incident hebben vernomen. De deelnemers hadden speciale software op hun thuiscomputers die hun browsegeschiedenis en de strings die ze invoerden in de HTML-velden van websites voor de periode tussen januari 2017 en december 2018 vastlegden. Drieënzestig gebruikers hadden accounts op de websites en applicaties die betrokken waren bij de negen grootste datalekken die in die periode werden aangekondigd, en slechts 21 van hen veranderden hun wachtwoord nadat ze op de hoogte waren gebracht van het incident.
Het moet gezegd dat dit een relatief kleine subset van gebruikers is, en het trekken van algemene conclusies op basis van deze gegevens alleen is waarschijnlijk niet het beste idee. De cijfers zijn echter zorgwekkend, vooral als je ziet hoe mensen zich gedragen wanneer ze besluiten hun wachtwoord te wijzigen.
Mensen kunnen nog steeds geen sterke, unieke wachtwoorden maken voor hun accounts
Zelfs degenen die hun gecompromitteerde wachtwoorden hadden gewijzigd, hadden niet veel haast om het te doen. Van de 21 gebruikers wisselden er slechts 15 binnen drie maanden na de aankondiging van het datalek hun wachtwoord uit. Dit is verre van het enige probleem.
Zoals je misschien al geraden had, wees de enquête op het probleem van het hergebruik van wachtwoorden voor de zoveelste keer. De onderzoekers schatten dat de 21 gebruikers die hun wachtwoord op het gehackte domein hadden gewijzigd, gemiddeld 30 accounts met vergelijkbare wachtwoorden hadden. Slechts 14 mensen besloten om een aantal van hen ook te beschermen, en gemiddeld veranderden ze slechts vier extra wachtwoorden. Bovendien waren de nieuwe wachtwoorden niet echt nieuw. Bijna 70% van de nieuw toegewezen wachtwoorden was even sterk of zwakker dan de originele en de meeste waren afgeleid van de oude.
Wie is de schuldige?
Het is vrij duidelijk dat de situatie niet bepaald ideaal is. Mensen begrijpen de risico's die zijn verbonden aan gecompromitteerde wachtwoorden niet. Blijkbaar weten ze ook niet hoe gevaarlijk aanvallen met inloggegevens kunnen zijn, en ze lijken niets verkeerds te vinden aan het gebruik van dezelfde wachtwoorden voor tientallen verschillende accounts.
Het zou gemakkelijk zijn om gebruikers de schuld te geven op dezelfde manier als zij de serviceproviders de schuld geven wanneer een datalek plaatsvindt, maar de waarheid is dat mensen gewoon niet voldoende opgeleid zijn om te weten hoeveel risico ze lopen bij hun continue gebruik van gecompromitteerde of zwakke wachtwoorden. Serviceproviders moeten gebruikers laten weten waar ze mee te maken hebben en wanneer er een inbreuk plaatsvindt, moeten ze zo transparant mogelijk zijn over de mogelijke gevolgen.
Veel mensen denken dat de enige manier om het wachtwoordprobleem op te lossen zou zijn om het helemaal weg te werken en een nieuw authenticatiemechanisme te vinden om het te vervangen, maar het is duidelijk dat we nog ver verwijderd zijn van het bereiken van dit. Ondanks al zijn nadelen, zitten we voorlopig vast aan het wachtwoord en moeten we een manier vinden om het zo goed mogelijk te gebruiken.
