AMSTERDAM – Uit eigen onderzoek, onder ruim 1500 Nederlanders, is gebleken dat mensen vaak onverantwoord omspringen met wachtwoorden. Meer dan een kwart van hen noteert wachtwoorden in een notitieblok en veertig procent van de Nederlanders weet nog altijd niet wat een wachtwoordmanager is.

Slechts drie procent van de respondenten gebruikt voor alle accounts hetzelfde wachtwoord. Dit percentage lag vorig jaar nog op vijf procent. Dat is een goede ontwikkeling. Toch geeft 47 procent van de ondervraagden nog altijd aan een groot gedeelte van hun wachtwoorden voor meerdere accounts te (her)gebruiken.

“Ik verbaas me daar niet over. Je hebt tegenwoordig zoveel verschillende accounts met zoveel verschillende regels dat je er helemaal kriegel van wordt”, vertelt Arjan van Hattum, Security Officer. “Deze veelvoud werkt onveilig gedrag in de hand doordat mensen wachtwoorden gaan hergebruiken of wachtwoorden in tekstbestanden op hun computer opslaan.” Hergebruikte wachtwoorden zijn volgens de Security Officer erg aantrekkelijk voor cybercriminelen: “Wachtwoorden hoeven maar één keer uit te lekken om toegang tot meerdere accounts te krijgen. Een wachtwoordmanager is er precies om dit probleem de wereld uit te helpen, terwijl je zelf nog maar één wachtwoord hoeft te onthouden”.

Dagelijks gebruik valt nog tegen

36 procent van de respondenten gebruikt helemaal niets om z’n wachtwoorden in op te slaan. Dat is een verbetering ten opzichte van de cijfers uit het voorbije jaar. Het percentage Nederlanders dat hun wachtwoorden zelf onthoudt lag destijds nog op 43 procent. Ook het percentage Nederlanders die onbekend zijn met een wachtwoordmanager is afgenomen, met vijf procent, ten opzichte van vorig jaar. Toch weet nog altijd veertig procent van de Nederlanders niet wat een wachtwoordmanager is. Volgens Van Hattum gaat het de goede kant op, maar hebben we nog een lange weg te gaan: “Wij hopen dat deze onderzoeksresultaten mensen nóg verder wakker schudden”. 

43 procent van de Nederlanders weet wél wat een wachtwoordmanager is. Toch maakt deze groep er om wat voor reden dan ook geen gebruik van. Slechts 24 procent weet precies wat een wachtwoordmanager is en maakt hier dagelijks gebruik van. “Dat meer dan driekwart van de bevolking geen gebruik maakt van een veilige manier om wachtwoorden te beschermen is zorgelijk maar ook onnodig. Veel gerenommeerde wachtwoordmanagers bieden gewoon een gratis versie van hun software aan. Pas als je gebruik wil maken van geavanceerdere features moet je ervoor gaan betalen”, aldus Van Hattum. “Goede voorbeelden daarvan zijn iCloud Keychain van Apple, 1Password, LastPass, Dashlane en Bitwarden.”

Meer weten over wachtwoorden?

Wilt u graag meer informatie of kunt u wel wat extra advies gebruiken? Geen probleem. We hebben nog twee artikelen met handige informatie:

Deel dit:

Reacties

  1. Hoed u voor papier says:

    Bij mij op het werk schrijven ze het wachtwoord helemaal niet op. Daar is hun wachtwoord 1234.

  2. Wat een gelul. Een kladblok met de wachtwoorden is superveilig vergeleken met een wachtwoord manager die gehackt kan worden en bovendien een “single point of failure” vormt. Ik raad alle low tech lieden aan om de wachtwoorden gewoon op te schrijven en als ze in een kluis of gesloten kast liggen dan kan er weinig mee gebeuren. Duizend keer veiilger dan in firefox. Realiseer je je dat firefox om de haverklap bijgwerkt wordt? Als ik als expert de hele source van Firefox heb doorgewerkt en er eindelijk vertrouwen in heb dat er geen vieze dingen in staan, komt mijn bank met de melding dat hij “te oud” is en daarom “niet te vertrouwen”. Het ideale scenario voor Russische hackers. Als er een tijdbom in geplaats wordt die na 14 dagen afgaat, kan men op zo’n manier in een klap alle browsers infilitreren. Wie garandeert trouwens dat die pressie om een wachtwoord manager te gebruiken uit onverdachte hoek komt?

  3. WR says:

    F-secure wachtwoordmanager komt slecht uit de consumentenbond test van januari 2021. Dat had ik toch wel anders ingeschat.

  4. Peter says:

    Ik gebruik geen wachtwoord manager en ik hoef ook niets te onthouden. Bovendien is mijn wachtwoord supersterk en niet te brute forcen. De truc:

    1. Kies eerste een zeer sterk wachtwoord met cijfers, letters en leestekens 20 of meer tekens lang
    2. Normaal log je eerst in bij een website en je kiest dat zeer sterke wachtwoord.
    3. Stel, je keert terug naar diezelfde website om in te loggen. Maar je logt niet met je oude gegevens in, maar klikt op “wachtwoord vergeten”.
    4. Je krijgt een activatielink naar je e-mailadres, klikt daarop, en je stelt opnieuw een zeer sterk wachtwoord in dat anders is dan de vorige.
    5. Je logt met je nieuwe wachtwoord in.

    Ook nu hoef je je wachtwoord (bijvoorbeeld (87ki+7687%765$^%4) niet te onthouden. Elke keer genereer je met een wachtwoord generator een nieuw uniek sterk wachtwoord en ga je naar “wachtwoord vergeten” van de website toe.

    Voordelen:

    1. Je hoeft wachtwoorden nooit te onthouden.
    2. Je kunt de sterkste wachtwoorden genereren die heel veel websites accepteren.
    3. Het stelen van je wachtwoord is zinloos als je vaak inlogt, want je hebt steeds een nieuwe.
    4. Je hebt geen wachtwoord manager nodig om je wachtwoorden op te slaan.
    5. Je kunt zeer sterke wachtwoorden kiezen die niet zijn te brute force via een aanval.
    6. Aangezien elke website steeds een ander sterk wachtwoord heeft, is een aanval die zich richt op hergebruikte wachtwoorden zinloos geworden.

    • Piet says:

      Als de elektronische briefkaart, email is niet meer dan dat, met die activatie link door een ander gelezen wordt heb je een probleem. Als je pech hebt dan is het ook nog slecht geimplementeerd en is de activatie link vaker te gebruiken.

      Email is ONVEILIG en openbaar. Het kan wel via een beveiligde verbinding verstuurd worden, maar gegarandeerd is dat niet, een briefkaart wordt ook via afgesloten busjes verstuurd (hoop je); maar op elke tussenliggende en begin en eindpunt server is de email, elektronische briefkaart, gewoon door iedereen die toegang heeft tot de server, c.q. de sleutel heeft van het postkantoor, te lezen.

    • Alex says:

      Lekker omslachtig, en die truc kun je niet gebruiken voor je e-mail, dus je verschuift het probleem alleen maar.

    • Els says:

      Goede tip! Dankjewel. Dit ga ik zeker gebruiken

  5. jurriaan Nijkerk says:

    wij voeren op dit moment voor identificatie op websites een pilot uit met iDin. iDin is een identificatiemethode van de banken uit de stal van iDeal. Voorlopige conclusie. Razendsnel, je hoeft niets meer te onthouden en veilig. Je bepaalt zelf welke identiteitsgegevens worden verstrekt. Informatie: http://www.idin.nl .

    • Trump says:

      Bij ons gebruiken we dat inmiddels ruim een jaar voor onze klanten. Technisch prima. Hou er rekening mee dat bedrijven (als klant) het wel kennen, maar de meeste personen (als klant) het niet kennen en velen het wantrouwen, daarom afhaken of je organisatie bellen (meer helpdesk medewerkers nodig). Het heeft onze organisatie veel omzet gekost en we hebben extra personen moeten aannemen bij de supportdesk. Het kan dus even tijd kosten voordat het voordeel groter is dan het nadeel. Hangt erg van het soort klant af.

  6. Trump (fake name ofc) says:

    Wat je al aan zag komen, gebeurt nu. Grote bedrijven als Microsoft en grote internet beveiligingsbedrijven zijn al gehackt.
    Hoe weet je zeker dat password managers niet gehackt kunnen worden (van buiten af of van binnen uit)?

    Hoe dan ook, ik hanteer het volgende:
    Voor iedere site gebruik ik een apart email alias.
    Deze aliassen zijn voor mij herkenbaar, maar de buitenwereld kan ze op geen enkele manier herleiden tot hetzelfde account.

    De aliassen hoef ik niet op te schrijven of uit mijn hoofd te kennen vanwege een bepaalde structuur. Ja, en toch niet herleidbaar voor derden of AI-programma’s.

    Per site een apart wachtwoord. Ook met een bepaalde structuur die lastig (niet onmogelijk) te achterhalen is als je er 50 van me ziet. Maar de combinatie e-mailadres en ww ga je niet achterhalen omdat deel 1 niet bij elkaar te rapen is.

    Tot zover mijn methode. Geen password manager, niks opschrijven en alles uniek.

    Verdere gebruik ik nog het volgende.
    2fa voor zover mogelijk
    Op mobiel gezichtsherkenning.

    1 betaalapp op mij mobiel. (Alleen applepay). Je hebt geen pasje meer nodig. Creditcard als reserve voor het buitenland, maar is over 2 jaar ook niet meer nodig verwacht ik. Meer betaal apps is heeeel soms wel handig, maar niet echt nodig. Normale betalingen kunnen voor 90% thuis op de pc uitgevoerd worden. Reguliere afschrijvingen altijd automatisch.

    2fa via dongel ia het veiligst. Heb ik niet, dus daarom via sms en alleen mail als het niet anders kan. QR-code ook liever niet.

    Geen gmail. Wel safari en DuckDuckGo (is inmiddels redelijk acceptabel), soms startpage.com.

    Geen windows (was ik wel jaren fan fan, maar nu niet meer).
    Geen android.

    Mijn gezinsleden (wat een deftig woord) mogen gebruiken wat ze willen, maar ze kunnen alleen op gedeelde netwerkschijven (externe ssd, inmiddels) met Apple producten.

    Geen documenten of foto’s op interne schijven.

    Centrale backup naar Backblaze (inmiddels al een jaar of 6).

    Cold case disks (oude harddisks) die ik afwisselend back up (eenmaal per jaar en op andere hd’s eenmaal per half jaar. Dit als extra veiligheid bij totale internet fall-out, wereldwijde virussen of versleutelings hack waarbij je moet betalen voor ontsleuteling.

    VPN, adblockers en anttracker (zit nu in safari). Of VPN echt helpt vraag ok me af, maar ja, veel bedrijven hebben er baat bij om dat aan te prijzen.

    Het is wat extreem, maar in 2020 wel genoeg hoop ik.
    Over 10 jaar lachen we om deze knulligheden en is dit niet meer voldoende.

    Ik zou het waarderen als er goede aanvullingen in een reply toegevoegd worden.

  7. DK says:

    Een multomapje met per site een bladzijde met inlog + ww. Zelfs als een inbreker precies weet waar hij moet zijn is het hem teveel werk om de goede bladzijde op te zoeken. Wat heb je aan een passwordmanager als je op een andere pc inlogt. Ik ken ook mensen di evoor diensten die ze zelden gebruiken standaard aanklikken dat ze hun wachtwoord vergeten zijn. Via de mail maken ze dan weer een tijdelijke nieuwe aan.

  8. PH says:

    Lekenvraag: een passwordmanager werkt via de cloud om op alle apparaten bruikbaar te zijn toch?
    “De cloud” geeft mij nog steeds het gevoel dat ik mijn data wegzet op een plek waar ik geen enkele controle meer over heb. Een server ergens op de aardbol, beheer door onbekenden, ik heb geen enkel zicht op wat er allemaal met en achter mijn data gebeurt.
    Om die reden sla ik mijn documenten en foto’s lokaal op en backup ze ook op (imo veilig opgeborgen) externe schijven.

    Kortom, wat ik me afvraag: hoe veilig is “de cloud” en daarmee een wachtwoordmanager die in de cloud draait?

  9. WK says:

    Ik maak gebruik van lastpass en ben er dolgelukkig mee. Ja, als regels veranderen op websites moet je de verwijzing naar de loginpagina aanpassen; en ja, we moeten ook mee in de meervoudige beveliging met een authenticator of een SMS code. Maar als de regels veranderen pas ik mijn in lastpass opgeslagen verwijzingen én wachtwoorden meteen weer aan. Fluitje van een cent. Daarbij kun je overal lastpass gebruiken, want het is een clouddienst, een website, zonder dat je ook maar iets op je pc hoeft te installeren. Veilig, makkelijk, en inmiddels heb ik er al tientallen wachtwoorden in opgeslagen. Regelmatig een lastpass testje draaien of je keuzes aan veranderingen toe zijn, en je hebt de veiligst mogelijke wachtwoordprocedure in je vingers. Nog veiliger natuurlijk is het internet niet op gaan, maar ja….

  10. Marcel says:

    Wat beveiliging betreft is het nog geeneens heel slecht denk ik om de (goede) wachtwoorden in een schriftje te zetten (mits natuurlijk veilig bewaard).
    Beter is natuurlijk een wachtwoord manager.
    Het is altijd wel gedoe om een goed wachtwoord te genereren voor de diverse websites, ze hebben allemaal hun eigen regels. Recentelijk werden mijn random gegenereerde wachtwoorden geweigerd omdat een obscuur regel werd overtreden. Het zou fijn zijn als er een soort standaard taal was voor een wachtwoord die gebruikt kan worden voor de wachtwoord managers. Een voorbeeld voor mijn wachtwoordmanager:
    dus[dusl]{16}
    Deze gebruik ik voor een bank, dus een wachtwoord:
    * met minstens 1 cijfer
    * met minstens 1 hoofdletter
    * met minstens 1 speciale karakter
    * met 16 andere cijfers, hoofdletters, kleine letters en speciale karakters.
    Dat zou het een stuk makkelijker maken

  11. Nico says:

    Ik heb meer vertrouwen in een eigen document (beveiligt met wachtwoord) waarin de wachtwoorden
    versleuteld in mijn eigen code opgeslagen liggen, dan in welke wachtwoordmanager dan ook.

    Als ik hacker zou zijn, zou ik een wachtwoordmanager dienst beginnen.

  12. Jaap Schipper says:

    Ik gebruik de wachtwoord manager van Chrome, wat is daar dan mis mee?

    • Alex says:

      Die gebruikt geen hoofdwachtwoord. Als je even wegloopt bij je computer en je vergeet hem te vergrendelen kan een ander je wachtwoorden zien. Je kunt beter die van Firefox gebruiken.

  13. schmrtz says:

    De keychain van Apple is compleet waardeloos als je een keer op een device van een ander wilt inloggen. Gebruik ik daarom niet. Ik heb stevige wachtwoorden voor mijn clouddiensten en banken enzo, en voor alle pakweg 150 andere diensten en winkels gebruik ik welbewust al eeuwen hetzelfde mailadres en wachtwoord, want altijd te onthouden, ook na jaren niet gebruikt. En so what? Of het zijn gratis diensten, of criminelen kunnen zich helemaal blind bestellen, maar moeten dan zelf betalen. Als ze dat willen, be my guest. Dus wat is nou het probleem?

  14. Huub says:

    Het wordt tijd voor een irisscan.

  15. Victor says:

    En geen verwijzing naar XS4all Key ?
    Dat voelt niet goed.

    • René says:

      Dat viel mij ook gelijk op!! Raarrr. Geen enkele verwijzing. Ik denk dat in de overname door kpn iemand hier vergeten is dat xs4all deze dienst ook aanbied :)

  16. Rien Mertens says:

    tja, en nog steeds is er geen eenvoudig bruikbare PORTABELE keymanager die gewoon werkt op het merendeel van de operating systemen.

    Zelfs niet eens compatibel met bla en nog wat, maar niet OOK voor Linux, dat is kennelijk al teveel gevraagd.

    • HvR says:

      Zelf gebruik ik tot grote tevredenheid Enpass, enpass.io
      Beschikbaar voor Linux, Mac, Windows en mobiele platformen. Centrale, encrypte database in cloud naar keuze en al mijn devices syncen daarmee. Alleen voor de IOS versie moest ik betalen, voor diverse laptop os’en niet.