Meerderheid blijkt wachtwoord te makkelijk weg te geven
Organisatoren van de Infosecurity Europe Conference 2004 in Groot Brittannië hebben een straatonderzoek gehouden naar de veiligheid en verkrijgbaarheid van de passwords van willekeurig gekozen mensen. De resultaten zijn op z'n minst opmerkelijk te noemen.
Zo blijkt het gros van de mensen hun passwords te kiezen uit de namen van familieleden, huisdieren of favoriete sportclubs. Tot zover overigens niets bijzonders.
Veel schokkender bleek de grote bereidheid van mensen om hun passwords weg te geven. Daartoe gingen de onderzoekers in Liverpool de straat op, om daar willekeurig mensen te benaderen met de vraag of ze vrijwillig hun password wilden doorvertellen. Hierbij werd er ook naar willekeur een 'beloning' uitgereikt in de vorm van een chocoladereep. En wat bleek: maar liefst 71 procent van de ondervraagden z'n passwords vrij; en soms nog wel meer dan dat. Van het totaal aantal ondervraagden gaf 37 procent zonder blikken of blozen z'n password weg. Na enig aandringen, meestal in de vorm van wat taktisch gestelde vragen, kwam nog eens 34 procent over de brug met z'n passwords, veelal vergezeld van een verklaring hoe ze deze passwords hadden gekozen.
Een klein lichtpuntje: 'slechts' 53 procent bezwoer dat ze nooit hun password zouden weggeven aan iemand die hen telefonisch zou benaderen, zelfs niet als de beller zich bijvoorbeeld voordeed als iemand van de IT-afdeling van de eigen werkgever. Vier van de tien mensen gaven tevens toe dat ze op de hoogte waren van de passwords van hun collega's en 55 procent zou het eigen password afstaan aan de eigen werkgever, indien deze daarom zou vragen.
Twee op ieder drie mensen zeiden dat ze passwords voor het werk en voor privézaken, zoals online bankieren, deelden. Daarbij hebben de ondervraagden gemiddeld vier verschillende passwords tot hun beschikking. Eén ondervraagde meldde dat hij meer dan 40 verschillende passwords tot z'n beschikking had; hij werkte dan ook als systems administrator. Hij vertelde er wel bij dat deze allen werden beheerd met een door hem zelf geschreven scriptfile, welke was beveiligd met één 'master-password'...
Van de ondervraagden zei 51 procent z'n passwords gemiddeld eens per maand te wijzigen. 16 procent deed dat vaker of juist minder vaak, 13 procent zei dat zelden te doen en 20 procent deed dat zelfs nooit. De mensen die hun passwords wel regelmatig wisselden, hielden dit meestal bij in een text-file, zodat ze deze niet zouden vergeten.
En dan het meest gebruikte password. Was dit bij een soortgelijk onderzoek, een jaar geleden uitgevoerd, nog PASSWORD, nu is de eerste plek overgenomen door ADMIN. Dit laatste wordt volgens de onderzoekers vooral veroorzaakt door het toenemende bezit van zaken als PDA's, routers en modems, die vaak met dit standaard password worden uitgeleverd.
