Category Archives: PIN

MOBIELE TELEFOON BEVEILIGING

Het schijnt dat meer dan de helft van de Amerikanen hun eigen mobiel niet afschermt met een PIN, ondanks dat ze er bankzaken mee regelen, op zakelijke netwerken komen en er gevoelige informatie op opslaan. Van de mensen die hun telefoon niet beschermen, zegt 44% dat teveel gedoe te vinden en 30% dat ze zich geen zorgen maken over de risico’s.

Twee derde van de onderzochte Amerikanen zijn permanent ingelogd met hun mobieltjes op applicaties als email en shopping apps en sociale netwerken.

De grote boosdoener is het gebrek aan gemak wanneer het gaat om beveiliging. 60% wenst een eenvoudiger vorm van authenticatie dan die nu gevraagd wordt.

Volgens Forbes is het daarom zeer te verwachten dat binnen drie jaar onze mobiltjes biometrisch beschermd zijn door middel vingerafdruk technologie, gezichtsherkenning en stemherkenning.

Authenticatie met wat ik weet

Alle veilige plekken online vragen om authenticatie – om te bewijzen dat je bent wie je zegt dat je bent. Er zijn diverse manieren om jezelf te authenticeren – door iets wat alleen jij weet (bijvoorbeeld een gebruikersnaam/ wachtwoord-combinatie), door iets wat alleen jij hebt (bijvoorbeeld een certificaat), door iets wat alleen jij bent (bijvoorbeeld je vingerafdruk of je iris) of door daar te zijn waar alleen jij kunt zijn (bijvoorbeeld een terminal).

Het meest voorkomend – en het meest problematisch – is je te authenticeren door iets wat jij weet. Het gaat dan om data die alleen jij weet en niemand anders. Immers als een ander deze data ook kent, kan die zich als jou authenticeren.

De meest voorkomende informatie die alleen jij weet is je wachtwoord of je PIN. Om er voor te zorgen dat alleen jij deze PIN of dat wachtwoord kent, is het zaak deze niet te delen. Dat lijkt voor de hand te liggen, maar uit onderzoek blijkt dat Britse werknemers al voor gemiddels 5 pond bereid zijn hun bedrijfswachtwoorden te verkopen. Hun Facebook-wachtwoord zouden ze ook verkopen, maar dan voor tien maal de prijs – 50 pond.

Vervolgens moet je wachtwoord ook niet teveel voor de hand liggen. Ook dat is niet eenvoudig getuige lijstjes met de Top-X wachtwoorden. In 2012 stond op nummer 1 het wachtwoord “password”. Op plaatsen 2 tot en met 5 vinden we de volgende wachtwoorden terug: “123456”, “12345678”, “abc123”, “qwerty”. In 2011 was de top-vijf bijna hetzelfde, met dien verstande dat “qwerty” vaker gebruikt werd dan “abc123”.

Met de keuze van onze PIN is het niet veel beter gesteld: bijna 11% van ons heeft de nummer 1 PIN-keuze als PIN: “1234”. 6% koos voor de op-een-na-populairste PIN: “1111” en bijna 2% pint met geheim nummer “0000”. De minst gekozen PIN is “8086” – 0,0007% gebruikt deze cijfercombinatie.

Niet alleen gebruikers zijn niet altijd even handig met de data die alleen zij behoren te weten. Ook professionals maken het soms derden gemakkelijker om deze informatie te achterhalen. Zo maken veel applicaties nog gebruikt van de zogenaamde controlevraag. Bijvoorbeeld Mastercard vroeg mij laatst naar de naam van de straat waar ik geboren ben. Dat is niet echt informatie waar alleen ik toegang toe heb, maar met behulp van het antwoord op deze vraag komt iemand wel bij de beheeromgeving van mijn creditcard. Andere online omgevingen vragen om de meisjesnaam van mijn moeder of de naam van mijn huisdier. Al deze informatie, net als de vragen naar mijn geboortedatum of huisadres die banken standaard stellen bij telefonische authenticatie, is bepaald geen geheime informatie. Mijn advies dan ook is om, als dat kan, flink te liegen bij het opgeven van de te controleren informatie, zodat alleen jij weet wat je gelogen hebt – die informatie is wel uniek.

Het meest recente voorbeeld van professionele onhandigheid komt van Facebook en Google. Die geven niet alleen aan of een ingegeven wachtwoord juist of onjuist is, maar ook of het wachtwoord ooit eens het actuele wachtwoord van de gebruiker is geweest. Aangezien gebruikers gemiddeld 6,5 wachtwoorden gebruiken om binnen te komen bij gemiddeld 25 webomgevingen, ligt het voor de hand dat een oud wachtwoord van deze gebruiker bij een andere applicatie nog wel actueel is. Daarmee is wat Google en Facebook doen meer dan het alleen melden dat het wachtwoord ooit gebruikt is. Eigenlijk zeggen ze: “Dit password had kunnen werken. Probeer nu LinkedIn.”