Nieuws
identify
Waarom leren we kinderen wél hoe ze hun fiets op slot zetten, maar niet hoe ze een goed wachtwoord kiezen?
Als kind leer je een paar basisregels in het leven: voor je naar buiten gaat trek je een jas aan, je kijkt links-rechts-links voordat je oversteekt, en je zet je fiets op slot. Over digitale gevaren leren we echter verbazingwekkend weinig.
Merijn de Jonge
Founder & CEO
Nieuws
identify
Waarom leren we kinderen wél hoe ze hun fiets op slot zetten, maar niet hoe ze een goed wachtwoord kiezen?
Als kind leer je een paar basisregels in het leven: voor je naar buiten gaat trek je een jas aan, je kijkt links-rechts-links voordat je oversteekt, en je zet je fiets op slot. Over digitale gevaren leren we echter verbazingwekkend weinig.
Merijn de Jonge
Founder & CEO

Begin vandaag met het onmogelijk maken van kwetsbare wachtwoorden

Of plan een online kennismaking
Hartelijk dank voor je aanvraag! We nemen binnen 1 werkdag contact met je op.
Vul alle velden voordat je het formulier verstuurd

Dit artikel deelde ik eerder via de Digital Trust (DTC) Community.

In mijn presentatie op het Digital Trust Community Event was één van de vragen die ik stelde: Waarom leren we onze kinderen niet hoe ze hun digitale identiteit moeten beschermen? Want deze vaardigheden zijn niet alleen belangrijk voor hun jeugd - ze nemen deze gewoontes mee naar school en later naar werk. Jong geleerd is oud gedaan; we hebben allemaal dezelfde gefaseerde aanpak nodig die we bij andere zaken, zoals verkeerseducatie, zo vanzelfsprekend vinden.

En, als bonus: wat moeten we er nu aan doen om dit fout aangeleerde gedrag te veranderen?

We leren kinderen fietsen, maar niet digitaal veilig zijn

In de fysieke wereld beginnen we vroeg met veiligheidslessen. Kleuters leren dat ze niet zomaar de straat over mogen steken. Op de basisschool doen ze een fietsexamen. Als jong volwassenen krijgen ze zowel theorie- als praktijklessen voor het autorijden. Maar voor hun digitale leven? Weinig. Terwijl een kind van 8 jaar tegenwoordig al zijn eigen tablet heeft en accounts aanmaakt voor spelletjes.

Het gevolg is dat we als volwassenen allemaal zijn opgegroeid zonder digitale veiligheidsinstincten. Die dezelfde zwakke wachtwoorden gebruiken die ze als tiener bedachten. Die niet doorhebben dat hun Minecraft-wachtwoord van vroeger nu ook toegang geeft tot hun werkmail.

We behandelen digitale veiligheid alsof het een technisch probleem is dat volwassenen vanzelf wel oplossen. Maar niemand wordt geboren met wachtwoordkennis. Net zoals niemand vanzelf weet hoe je veilig de weg oversteekt.

Het probleem: 70 digitale identiteiten, geen enkele veilig

De grote uitdaging is dat terwijl we in de fysieke wereld maar een handvol sleutels nodig hebben, we in de digitale wereld gemiddeld 70 tot 100 digitale sleutels nodig hebben omdat onze data online rondzwerft op een groot aantal accounts. Dit aantal is sinds de jaren '90 geleidelijk gegroeid - van dat ene Hotmail-adres naar een wildgroei aan accounts. Je moet soms zelfs een account aanmaken als je in Frankrijk op een camping wil overnachten. Voor veiligheid zou elk van die accounts een uniek wachtwoord moeten hebben - net zoals, bijvoorbeeld, elke fiets een eigen sleutel heeft.

Onze metingen bij Nederlandse gemeenten laten zien dat we heel slecht zijn in wachtwoorden: 70% van de accounts gebruikt hergebruikte wachtwoorden en 20% heeft een zwak wachtwoord, zoals 'Welkom2023'. Van deze wachtwoorden is 16,7% al gestolen. De combinatie van deze cijfers is verontrustend: als je overal hetzelfde wachtwoord gebruikt en dat wachtwoord wordt gestolen van één website, hebben criminelen meteen toegang tot al je andere accounts - van je werkmail tot je zorgverzekering.

Hoe sterker het wachtwoord, hoe vaker het wordt hergebruikt. Dit is begrijpelijk - ons brein is er niet op gemaakt om voor elk account een nieuw complex wachtwoord te bedenken en onthouden. Maar niemand heeft ons ooit geleerd hoe we dit wél kunnen oplossen.

Waarom techniek alleen geen oplossing is

De technische innovatie op het gebied van authenticatie gaat in razend tempo vooruit: SSO, MFA, passwordless, Passkeys - om de paar jaar komen er nieuwe oplossingen bij die echt verbetering brengen. De uitdaging blijft echter adoptie. Bijvoorbeeld: van de 275.000 websites in onze database ondersteunen er maximaal een paar honderd Passkeys.

Voor elke nieuwe oplossing moet de digitale infrastructuur aangepast worden. Organisaties moeten systemen aanpassen, ontwikkelaars moeten nieuwe standaarden implementeren, en gebruikers moeten wennen aan nieuwe werkwijzen. Dat kost tijd, veel tijd. Gedurende die tijd ontstaat er weer een nieuwe oplossing waarvan de adoptie ook weer veel tijd kost. En voor je het weet ontstaat er een situatie waarin heel veel verschillende oplossingen door elkaar heen gebruikt moeten worden omdat ze niet overal werken. Herkenbaar? Dit is de complexe situatie waarin we nu leven.

De enige oplossing die wél overal werkt is het wachtwoord. Dus moeten we accepteren dat wachtwoorden nog wel een tijdje in gebruik zullen zijn. Dat hoeft geen probleem te zijn als we ze zo veel mogelijk voor eindgebruikers kunnen verbergen en techniek gaan gebruiken voor veilige wachtwoorden. Je hoeft ook niet te weten hoe een auto werkt om veilig van A naar B te kunnen rijden. Dit vraagt echter wel om een brede gedragsverandering.

Toekomstvisie: hoe de overheid goed gedrag zou moeten aanleren

Net zoals we kinderen een gefaseerde verkeerseducatie geven - van niet zomaar de straat oversteken als kleuter, tot het fietsexamen op de basisschool, tot theorie- en praktijklessen voor het autorijden - zou digitale veiligheid dezelfde stapsgewijze aanpak moeten krijgen. Want digitale veiligheid is als tandenpoetsen: niet leuk, niet sexy, maar wel noodzakelijk. En net als bij tandenpoetsen geldt: als je het verkeerd doet, merk je daar later zeker iets van. Maar door het vroeg en stap voor stap te leren, wordt het een automatisme waar je de rest van je leven profijt van hebt.

De oplossing? De overheid moet ervoor zorgen dat digitale veiligheid net zo vanzelfsprekend wordt opgenomen in het onderwijs als verkeerseducatie:

  • Basisschool: Wat is een account, hoe maak je deze met een wachtwoordmanager, hoe log je in met een wachtwoordmanager?
  • Middelbare school: Wat is een digitale identiteit, wat is privacy en hoe beheer/bescherm je beiden?

De realiteit: fout gedrag afleren

Eigenlijk hebben we allemaal verkeerde digitale gewoontes aangeleerd - dezelfde zwakke wachtwoorden overal gebruiken, accounts nooit opruimen, geen onderscheid maken tussen belangrijke en minder belangrijke accounts.

Voor organisaties is het van groot belang dat medewerkers fout gedrag afleren en betere wachtwoorden gaan gebruiken omdat het de organisatie minder kwetsbaar maakt. Veel organisaties besluiten daarom te investeren in een technische oplossing zoals een wachtwoordmanager.

Helaas is de aanschaf van een wachtwoordmanager alleen weinig effectief. De onboarding van zo'n wachtwoordmanager verloopt vaak als volgt: er wordt een e-mailtje gestuurd dat de tool beschikbaar is, misschien een korte demonstratie in een meeting, en daarna wordt verwacht dat iedereen spontaan tijd gaat investeren om al hun wachtwoorden netjes over te zetten. Wat dan wordt vergeten, en dat is het echt zorgelijke, is dat hen niet wordt gevraagd om wachtwoorden te vervangen door sterke, unieke alternatieven.

Het resultaat? Onze metingen tonen dat na zo'n aanschaf maximaal 5% van de medewerkers de wachtwoordmanager gebruikt. Niet omdat medewerkers lui zijn, maar omdat niemand hen heeft begeleid bij deze onderschatte gedragsverandering. Een mailtje sturen dat er een tool beschikbaar is, is net zo effectief als een kind een tandenborstel geven en hopen dat het spontaan goed leert poetsen.

Er wordt wel veel gedaan aan awareness-trainingen, maar wat eigenlijk nodig is, is begeleiding bij het afleren van onveilig gedrag en het aanleren van veilige gewoontes. Hier speelt de werkgever een cruciale rol omdat deze gedragsverandering onderdeel van het werken kan maken. Werkgevers moeten dus naast een technische oplossing zoals een wachtwoordmanager ook investeren in gedragsverandering: tijd vrijmaken voor training, persoonlijke begeleiding bieden, en veilige gewoontes belonen in plaats van alleen onveilig gedrag bestraffen. Onze metingen tonen aan dat dat erg effectief is.

Conclusie

Als we onze kinderen wél leren om hun fiets op slot te zetten, waarom leren we ze dan niet hoe ze hun digitale leven beveiligen? Het antwoord is simpel: omdat we het zelf nooit hebben geleerd.

We behandelen digitale veiligheid alsof het vanzelf komt, terwijl we voor elke andere vaardigheid in het leven erkennen dat leren en oefenen nodig is.

De generatie die opgroeit met tablets en accounts verdient beter dan onze improvisatie. Ze verdienen dezelfde gefaseerde aanpak die we zo vanzelfsprekend vinden voor verkeersveiligheid: vroeg beginnen, stap voor stap opbouwen, en de gewoontes voor het leven meegeven.

Want digitale veiligheid bereik je niet met techniek alleen, maar vereist ook goed aan te leren digitale vaardigheden.

Heading 1

Heading 2

Heading 3

Heading 4

Heading 5
Heading 6

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.

This is a long block quote

Ordered list

  1. Item 1
  2. Item 2
  3. Item 3

Unordered list

  • Item A
  • Item B
  • Item C

Text link

Bold text

Emphasis

Superscript

Subscript

Neem contact met ons op.

Laat MindYourPass jouw organisatie veilig maken.

Of plan een online kennismaking
Hartelijk dank voor je aanvraag! We nemen binnen 1 werkdag contact met je op.
Vul alle velden voordat je het formulier verstuurd
Meer lezen?
Bekijk andere artikelen
Meer artikelen
De MindYourPass oplossing

Veilig inloggen met gemak.
Thuis én op het werk.

Triple-i™ verbetermethode

Wachtwoordveiligheid meten om doelgericht te verbeteren

Elke verandering begint met het verkrijgen van volledig inzicht in de huidige situatie. Om vanuit daar met behulp van een concreet en praktisch plan toe te werken naar de gewenste situatie: het gebruik van kwetsbare wachtwoorden binnen jouw organisatie onmogelijk maken.

Lees meer over Triple-i™

Lees meer over cybersecurity

Bekijk alle artikelen
Nieuws
Hansen Dranken kiest voor MindYourPass om digitale toegangsbeveiliging te verbeteren en toekomstbestendig te maken
Nieuws
Het Waterlaboratorium kiest voor MindYourPass om wachtwoordbeveiliging te versterken
Nieuws
Charlotte van Beuningen | Woonstichting kiest voor veilig inloggen met MindYourPass
Nieuws
Woningstichting WSZ kiest voor wachtwoordveiligheid met MindYourPass
Meer lezen over MindYourPass
Hoe Joanknecht grip kreeg op wachtwoorden en toegang
Lees meer
Hansen Dranken kiest voor MindYourPass om digitale toegangsbeveiliging te verbeteren en toekomstbestendig te maken
Lees meer
Oplossingen
FeaturesTriple-i methode
Help
Direct beginnenFAQ
MindYourPass
Over onsPrivacybeleidAlgemene voorwaardenCoördinated Vulnerability DisclosureVerwerkers-overeenkomst