90 procent DigiD-gebruikers heeft zwak wachtwoord zonder sms

-

[ Voor 117% gewijzigd door Verwijderd op 19-10-2019 11:47 . Reden: Leeg ivm privacy ]

Ik denk dat het enige wat het rapport stelt is dat er in 90% van de gevallen geen gebruik wordt gemaakt van twee-traps authenticatie met SMS (of de moderne variant via de digid app). Ik kan me haast niet voorstellen dat ze daadwerkelijk de sterkte van de wachtwoorden bestudeerd hebben.

@duqu dat lijkt me iets om even te valideren, want nu onstaat er een aardige heisa omtrent "hoe weten ze of een wachtwoord zwak is", terwijl ik een zeer sterk vermoeden heb dat daar eigenlijk helemaal niet naar gekeken is en het hoogstens wat dubbelzinnig is opgeschreven waardoor je het op die manier kan interpreteren.

[ Voor 36% gewijzigd door Orion84 op 18-05-2017 13:14 ]

Het is dat nadrukkelijke "én" dat verwarring schept. Dat lijkt te impliceren dat er twee bevindingen zijn: "eenvoudige wachtwoorden" én "te weinig gebruik van de tweetraps feature". Maar als je dan verder leest en er staat dat het de verantwoordelijkheid van de organisatie is om het juiste niveau te kiezen (met of zonder sms), dan lijkt het toch vooral daarom te gaan en is "eenvoudig wachtwoord" hier enkel een aanduiding voor de methode zonder sms en niet een uitspraak over de wachtwoordkwaliteit.

@Verwijderd Dat eenvoudig wachtwoord slaat volgens mij niet op de kwaliteit van het wachtwoord maar op dat ze een wachtwoord eenvoudig vinden.

Op pagina 38 staat bijvoorbeeld:

Bijvoorbeeld slechts 10% van de raadplegingen met DigiD vindt
plaats met wachtwoord én SMS

Dus 10% doet het mét SMS en 90% doet het zonder SMS.

-

[ Voor 100% gewijzigd door Verwijderd op 19-10-2019 11:48 . Reden: Leeg ivm privacy ]

Hoi allen! Dank voor de opmerkingen. Ik heb 'zwak' gebruikt, omdat het in deze context vrijwel dezelfde betekenis heeft als 'eenvoudig'. Daarnaast heb ik de letterlijke passage uit het rapport in het artikel weergegeven. De vraag op welke manier de Rekenkamer de wachtwoorden heeft geanalyseerd heb ik aan een woordvoerder gesteld en ik wacht momenteel op antwoord. Zodra ik meer info heb, komt er een update.

MaVeNwg schreef op donderdag 18 mei 2017 @ 13:27:
[...]

En dan 'eenvoudig' in 'zwak' veranderen?

Ben benieuwd naar de reactie van de rekenkamer.

Hij zal het waarschijnlijk hebben over zin in de tweede alinea:

"Van de circa 250 miljoen maal dat gebruik wordt gemaakt van DigiD, is dat in 90 procent van de gevallen met een eenvoudig wachtwoord én zonder sms. In veel gevallen is dit lage betrouwbaarheidsniveau niet conform de regels, bijvoorbeeld bij het raadplegen van fiscale of donorgegevens."

Verwijderd schreef op donderdag 18 mei 2017 @ 13:23:
Nee dat lees ik er helemaal niet in. Het woord eenvoudig staat er duidelijk als bijvoegelijk naamwoord van het woord "wachtwoord":
[...]

Maar dat zou toch betekenen dat (vrijwel) iedereen die zonder SMS inlogt dat met een zwak wachtwoord doet?

Verwijderd schreef op donderdag 18 mei 2017 @ 13:23:
Nee dat lees ik er helemaal niet in. Het woord eenvoudig staat er duidelijk als bijvoegelijk naamwoord van het woord "wachtwoord":
[...]

Zo kan je het lezen en door de manier waarop die zin geschreven is, is dat inderdaad een logische interpretatie. Maar als je naar de context kijkt dan blijkt nergens uit dat er daadwerkelijk onderzoek is gedaan naar de wachtwoordkwaliteit en gaat het enkel over de keuze tussen 1- en 2-traps authenticatie.

Goed om te horen dat de vraag naar de Rekenkamer al is uitgezet om opheldering te krijgen. Ik ben benieuwd

En het feit dat 2FA alsnog kan worden afgedwongen door diensten zelf, wordt hier den ik ook niet in meegenomen.

Edit: Incorrect, gaat over totaal aantal inlogs zoals Orion opmerkt.

Dit probleem lijkt me makkelijk op te lossen door bij alle gebruikers inlogniveau standaard op middel of hoger te zetten.

[ Voor 48% gewijzigd door MaartenBW op 18-05-2017 14:00 ]

MaartenBW schreef op donderdag 18 mei 2017 @ 13:36:
En het feit dat 2FA alsnog kan worden afgedwongen door diensten zelf, wordt hier den ik ook niet in meegenomen.

Juist wel, het rapport is juist een rapport over die diensten, dat ze niet altijd het juiste niveau selecteren.

Wat dat betreft is de insteek van het artikel hier op Tweakers sowieso eigenlijk fout om het te herschrijven naar 90% van de gebruikers, want daar doet het rapport helemaal geen uitspraak over. Die 250 miljoen verzoeken hoeven helemaal niet uniform over de gebruikers verdeeld te zijn.

Ik verwacht eerlijk gezegd ook niet dat er enorm veel gebruikers zullen zijn die dat zelf afdwingen (altijd 2FA). Ik doe dat wel en hier op Tweakers zullen ongetwijfeld meer mensen rondlopen die zo verstandig zijn, maar voor de gemiddelde gebruiker is dat natuurlijk vooral onhandig en zien ze de toegevoegde waarde er veel kans niet van.

[ Voor 17% gewijzigd door Orion84 op 18-05-2017 13:50 ]