Beyond Identity, leverancier van passwordless oplossingen voor identiteitsbeheer, heeft eenonderzoek gedaan naar het gebruik van wachtwoorden op het werk. Meer dan duizend werknemers zijn aan de tand gevoeld over welke manieren zij gebruiken om wachtwoorden te onthouden en met wie en hoe zij wachtwoorden van zakelijke accounts delen. Dat gaat niet altijd volgens het boekje.
Uit het onderzoek blijkt dat:
- Bijna een op de vier werknemers heeft nog altijd toegang tot hun gebruikersaccounts bij voormalige werkgevers
- 41,7% geeft toe wachtwoorden met collega’s te delen
- 42,5% vindt dat er ontslag zou moeten staan op het delen van wachtwoorden
- Ruim een op de vijf werknemers zegt hetzelfde wachtwoord te gebruiken voor hun privé-account voor internetbankieren als voor hun werk-gerelateerde accounts.
Gevaarlijke wachtwoordpraktijken
Volgens de enquêteresultaten maken de meeste werknemers zich niet al te veel zorgen over het veiligheidsniveau van hun wachtwoorden. Iets meer dan 45% vond hun wachtwoorden zeer veilig, en nog eens 26,3% vond hun wachtwoorden extreem veilig. Veel respondenten gaven echter toe dat ze hun ‘veilige’ wachtwoorden onthielden door gebruik te maken van veel minder veilige methoden.
34 procent van alle werknemers hanteerde de ouderwetse methode om wachtwoorden te noteren in een zakboekje of op een vel papier. Het digitaal opslaan van wachtwoorden bleek eveneens een populaire optie. Meer dan een kwart van alle werknemers vertrouwde op hun geheugen voor het onthouden van wachtwoorden.
Ruim 38% van alle respondenten zei gebruik te maken van een password manager. Dit is een applicatie die online aanmeldingsgegevens opslaat en beheert. Er wordt vaak gewezen op de voordelen van password managers. Ze genereren automatisch wachtwoorden, verkorten het aanmeldingsproces en beschermen de identiteit van gebruikers. Maar ze zijn niet hackerproof. En als een hacker erin slaagt om een password manager te kraken, maakt die in één klap alle wachtwoorden van de gebruiker buit.
Inloggen bij je ex-werkgever
Ondanks de diverse manieren die beschikbaar zijn om wachtwoorden te beschermen, zegt bijna een kwart van alle werknemers dat ze nog altijd in staat zijn om zich aan te melden op gebruikersaccounts bij voormalige werkgevers. Daarmee hebben ze toegang tot informatie die niet langer voor hen bestemd is. Een wraakzuchtige ex-werknemer zou deze toegangsrechten zou kunnen misbruiken om schade aan te richten. Managers zouden daar rekening mee moeten houden wanneer mensen de organisatie verlaten. Aan organisaties de moeilijke taak om te achterhalen hoe ze kunnen zorgen voor zo efficiënt en veilig mogelijke aanmeldingsprocessen die bijdragen aan maximale productiviteit en de risico’s tot een minimum beperken.
Delen is vermenigvuldigen
Hoe meer mensen toegang hebben tot bepaalde wachtwoorden, hoe groter de kans op beveiligingsproblemen opleveren. Bijna 42% van alle werknemers gaf toe wachtwoorden met collega’s te delen. Dit gebeurde het vaakst bij middelgrote bedrijven (50–249 werknemers). Twee derde van alle respondenten deelde hun wachtwoorden met collega’s, en veel van hen verleenden ook gezinsleden of hun partner toegang tot werkgegevens. Het delen van wachtwoorden geschiedde mondeling of via e‑mail of sms-berichten. Ruim de helft van de respondenten gaf aan dat hun werkgever geen sancties oplegde voor het delen van wachtwoorden en dit evenmin als een reden voor ontslag beschouwde. Desondanks was 40% van de respondenten van mening dat er wel sprake zou moeten zijn van sancties, inclusief ontslag.
Een wachtwoord voor zakelijk en privé gebruik
Met het oog op het grote aantal werknemers dat toegaf wachtwoorden op het werk te delen waren we nieuwsgierig naar andere problematische beveiligingspraktijken die zij mogelijk hanteerden.
Sommige mensen vinden het eenvoudiger om gebruik te maken van één wachtwoord voor alle accounts. Ruim een op de vijf werknemers zei hetzelfde wachtwoord te gebruiken voor hun zakelijke en privémail. Maar het kan nog riskanter: 21,5% zei hun wachtwoord voor het werk ook te gebruiken voor hun privéaccount voor internetbankieren. Mensen die hetzelfde wachtwoord gebruiken binnen uiteenlopende domeinen lopen een grotere kans om slachtoffer te worden van hackers die de inloggegevensdiefstal en inloggegevens gebruiken voor malware. En hoe meer domeinen, hoe meer toegang er wordt geboden aan kwaadwillende personen die dat wachtwoord bemachtigen. Dit kan rampzalige gevolgen als er sprake is van accounts die toegang bieden tot uiterst gevoelige en persoonlijke informatie of bedrijfsgegevens. Ruim een kwart van alle werknemers zei te maken hebben gekregen met gegevensdiefstal via hun zakelijke gebruikersaccounts. Het volledig afstappen van wachtwoorden is daarom van essentieel belang voor het verbeteren van de beveiliging.
Haal het wachtwoord uit het proces
Sommige werknemers stellen zichzelf bloot aan cyberrisico’s door dezelfde wachtwoorden te gebruiken voor werk- en privéaccounts. Als die accounts worden gehackt, kunnen cybercriminelen veel meer schade aanrichten dan het geval zou zijn wanneer er verschillende wachtwoorden voor afzonderlijke accounts zouden zijn gebruikt. Andere werknemers delen hun wachtwoorden met anderen, of kunnen nog inloggen bij hun voormalig werkgever. Aan wachtwoorden kleven dus veel beveiligingsrisico’s. Daarom kijken steeds meer bedrijven naar een manier om wachtwoorden uit het identificatieproces te halen. Dit kan met Beyond Identity , dit ‘passwordless’ systeem vervangt onveilige wachtwoorden met zero-trust toegangscontrole, die gebruikers continu verifieert en de veiligheid van elk apparaat controleert tijdens elk inlogverzoek. Hiermee helpt Beyond Identity organisaties sterker te maken en het bedrijf zorgt ervoor dat werknemers geen gebruik meer hoeven te maken van (onveilige) wachtwoorden.
Het volledige onderzoek vind u hier: https://www.beyondidentity.com/blog/password-sharing-work
