Onderzoek: mensen wijzigen zelden hun wachtwoorden na een datalek

Onderzoek: mensen wijzigen zelden hun wachtwoorden na een datalek

Mensen wijzigen na een datalek zelden hun wachtwoorden en als ze dit al doen zijn de nieuwe wachtwoorden vaak niet sterker dan de oude, zo blijkt uit onderzoek van onderzoekers aan twee Amerikaanse universiteiten (pdf). Voor het onderzoek werden gegevens verzameld van de computers van 249 mensen. Het ging om alle wachtwoorden waarmee deze deelnemers op online diensten inlogden.

Van de deelnemers aan het onderzoek hadden er 63 een account op een website die slachtoffer van een datalek werd. Deze websites waarschuwden hun gebruikers over het datalek, maar dit had weinig effect op de deelnemers aan het onderzoek. Na de aankondiging van het datalek wijzigden 21 van de 63 hun wachtwoord en vijftien deden dit binnen drie maanden na de aankondiging. Wanneer gebruikers hun wachtwoord wijzigen is dit meestal niet in een sterker wachtwoord. Daarnaast blijkt dat het oude en nieuwe wachtwoord vaak veel op elkaar lijken.

Tevens lieten de onderzoekers zien dat veel mensen hun wachtwoorden in de één of andere vorm hergebruiken voor meerdere websites. Wanneer een wachtwoord bij één website werd gelekt worden dezelfde of soortgelijke wachtwoorden bij andere websites niet aangepast. Deelnemers aan het onderzoek die hun wachtwoord op een gecompromitteerde website wijzigden hadden gemiddeld dertig accounts met dezelfde of soortgelijke wachtwoorden.

Van de 21 deelnemers die hun wachtwoorden op de gecompromitteerde website wijzigden, veranderden er veertien tenminste één soortgelijk wachtwoord binnen een maand op een andere website. Gemiddeld werden er binnen deze maand na het wijzigen van het initiële wachtwoord vier wachtwoorden op andere websites aangepast.

Wachtwoordsterkte

Een ander deel van het onderzoek keek naar de sterkte van de oude en nieuwe wachtwoorden. Hiervoor werden de wachtwoordwijzigingen van alle 249 deelnemers over een periode van twee jaar gemonitord, ongeacht of ze met een datalek te maken hadden gekregen. Bij 70 procent zorgde de wijzigingen voor wachtwoorden die net zo sterk of zwakker waren.

“Onze resultaten suggereren dat de huidige datalekmeldingen niet effectief zijn, omdat de meeste gebruikers die zijn getroffen niet afdoende reageren om hun risico zowel op het gecompromitteerde domein als andere domeinen te verhelpen”, aldus de onderzoekers. Die stellen dat er meer moet worden gedaan, zij het via datalekmeldingen of andere manieren, om gebruikers zover te krijgen dat ze hun wachtwoorden wijzigen, zowel op de gecompromitteerde website en met name op andere sites, aangezien dat nu over het algemeen wordt genegeerd.

Lees hier verder. © Security.nl

Peter Hickendorff

Reacties zijn gesloten.