Het is 2018 en we zijn nog steeds slecht in ons online te beschermen
Voorkomen is beter dan genezen, maar in online veiligheid lijkt die wijsheid nog altijd niet doorgedrongen. Ondanks de verschillende high-profile hacks die in 2017 aan het licht kwamen, blijven we massaal nalaten om onszelf beter te beschermen. We gebruiken nog altijd veel te vaak erg gemakkelijk te raden wachtwoorden, en laten na om eenvoudige extra beveiliginsmaatregelen zoals tweestapsverificatie te implementeren. Dat blijkt nog maar eens uit cijfers van Gmail.
[related_article id=”219277″]In een presentatie tijdens Usenix Enigma 2018, een conferentie rond security en privacy, onthulde Google-ingenieur Grzegorz Milka dat minder dan tien procent van alle Gmail-gebruikers tweestapsverificatie heeft geactiveerd op de dienst. Met tweestapsverificatie voeg je een tweede identificatiemethode toe aan het inlogproces. Dat gebeurt gewoonlijk in de vorm van een tijdelijke code die je per sms wordt toegestuurd of laat genereren door een authenticatie-app. Zelfs wanneer een hacker je wachtwoord heeft kunnen ontfutselen via een datalek of phishingaanval, raakt hij nog altijd niet in je account zonder de extra code.
Gmail is de populairste e-maildienst van het moment en voor veel mensen niet alleen de toegangspoort naar hun e-mail, maar ook naar heel wat andere diensten op het web. Niet alleen van Google, maar ook van externe diensten die je toelaten om via je Google-account ook bij hen aan te melden. Securityspecialisten zullen je zeggen dat dat een slecht idee is, maar de realiteit is dat we er uit gemak maar al te graag gebruik van maken.
Een Gmail-adres is dus bijzonder waardevol. Als zo weinig mensen de moeite nemen om hun Gmail-account beter te beschermen, waarom neemt Google dan niet het heft in eigen handen? Waarom activeert het tweestapsverificatie niet standaard voor iedereen? Desnoods met de mogelijkheid om het zelf uit te schakelen. “Het antwoord is gebruiksvriendelijkheid”, vertelt Milka aan The Register. “Het gaat over hoeveel mensen we zouden wegjagen als we ze verplichten om extra bescherming te gebruiken.” Dat antwoord ligt in dezelfde lijn als de verklaring van Yahoo-CEO Marissa Mayer waarom haar bedrijf geen extra beveiligingsmaatregelen implementeerde, en we weten allemaal hoe dat is afgelopen.
Het is vanuit bedrijfsstandpunt misschien een geldig argument, maar het is niet het juiste ding om te doen. Google zou beter zijn eigen “Don’t be evil”-mantra volgen en tweestapsverificatie voor alle Gmail-gebruikers activeren. Mensen moeten nu eenmaal tegen zichzelf beschermd worden. We zijn zelf te slecht in het evalueren van risico’s en onderschatten de waarde van data. We kiezen nog steeds eenvoudige wachtwoorden en gebruiken die voor meerdere diensten in plaats van een wachtwoordmanager te gebruiken. En hoewel opslag nog nooit zo goedkoop was en back-upsoftware bijzonder gebruiksvriendelijk is geworden, blijft regelmatig back-ups maken een best practice waar weinigen zich aan houden.