Skip to main content

Duizenden gemeentelijke wachtwoorden zwerven op internet

Bijna een op de acht wachtwoorden van gemeentelijke applicaties is door hackers onderschept en zwerft al ergens op het internet. Het ontluisterende percentage komt naar voren in een benchmark onder twintig gemeenten met in totaal zo n zevenduizend medewerkers. Meerdere gemeenten bevestigen de cijfers aan Binnenlands Bestuur.

Welkom01, Qwerty123, 123456. Het zijn bekende voorbeelden van erg slechte, door gemeenten gevoerde wachtwoorden waarmee het hackers wel heel makkelijk wordt gemaakt. Maar ook met complexere wachtwoorden zijn gemeentelijke applicaties niet veilig. Er wordt door gemeenten volop gewerkt aan bijvoorbeeld bewustwordingscampagnes voor sterke en unieke wachtwoorden, maar in de praktijk haalt het te weinig uit. Het overgrote deel van de ambtenaren gebruikt nog altijd zwakke wachtwoorden.

Analyse van 650.000 wachtwoorden

De Eindhovense scale up MindYourPass nam het wachtwoordenbeleid van twintig gemeenten met in totaal zo n zevenduizend medewerkers onder de loep voor een benchmark. Er werden daarbij wachtwoorden van 5.653 gemeentelijke applicaties gemeten, waarvan er door de gemeenten 120 applicaties als kritiek en 132 als belangrijk zijn aangemerkt. Dit leverde uiteindelijk een analyse op van ruim 650.000 inloggegevens. Daaruit blijkt dat 16,7 procent van alle wachtwoorden inmiddels te vinden is op haveibeenpowned.com, een website waar slachtoffers kunnen controleren of hun gegevens door hackers onderschept zijn. In 75 procent van de gevallen gaat het daarbij om zakelijke wachtwoorden.

Uit de benchmark wordt ook duidelijk dat ongeveer driekwart van alle ambtenaren onveilige wachtwoorden gebruikt. Zorgelijk zijn eveneens de scores voor wachtwoorden die gebruikt worden bij applicaties van gemeenten: zo n 60 procent van de wachtwoorden voor applicaties die ambtenaren gebruiken zijn niet veilig genoeg.  Een op de acht wachtwoorden is zelfs al onderschept en vindbaar op het internet. Uit de meting wordt duidelijk dat een groot deel van de ambtenaren vaak hetzelfde wachtwoord gebruikt voor uiteen­lopende applicaties. Zo neemt de kans op een geslaagde hackpoging met iedere applicatie verder toe. Teamleiders ICT van de gemeenten Hulst en de Kempengemeenten bevestigen het door Mind­YourPass geschetste beeld en de cijfers tegenover Binnenlands Bestuur. Zij geven aan dat het percentage gehackte wachtwoorden aannemelijk is voor alle gemeenten in Nederland.

Gemeenten begonnen met verbetertrajecten

Inmiddels zijn er met de hulp van Mind­YourPass bij de gemeenten trajecten in gang gezet waarbij het wachtwoorden gebruik naar een hoger niveau wordt getild. Alleen de ambtenaren die het belang ervan inzagen gebruikten de wachtwoordenkluis, en de rest deed dat niet, geeft het hoofd ict van de Kempengemeenten aan. Ambtenaren gebruiken vaak hun eigen methoden met wachtwoorden, en dan zie je vaak te makkelijke wachtwoorden op hergebruik gericht. De gemeente Eindhoven is inmiddels ook gestart met een MindYourPass traject.

Verder lezen bij de bron
IB&P

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De nieuwe Archiefwet: waarom informatiebeveiliging hierbij moet aanhaken
Op 1 januari 2027 treedt de nieuwe Archiefwet in werking. Op het eerste gezicht lijkt dat vooral een onderwerp voor informatiebeheer, DIV, de gemeentearchivaris of juridische zaken. Toch raakt de nieuwe wet ook duidelijk aan informatiebeveiliging.
Waarom BIO2 vooral om eigenaarschap in de lijn vraagt
BIO2 maakt informatiebeveiliging nadrukkelijk onderdeel van goed management: proceseigenaren moeten risico’s kennen, keuzes maken en opvolging organiseren. Daarmee verschuift de focus van losse maatregelen naar aantoonbaar eigenaarschap, samenwerking en risicogestuurde sturing binnen de gemeentelijke praktijk.
Jouw leverancier, jouw risico: Waarom ketenrisico’s geen IT-probleem zijn
Veel gemeenten vertrouwen op leveranciers, maar blijven zelf verantwoordelijk voor de risico’s in de keten. In deze blog lees je waarom ketenrisico’s actief bestuurd moeten worden en hoe je als organisatie grip krijgt op leveranciers, contracten en continuïteit.

Meer recente berichten

Applicatiebeveiliging kraakt onder de snelheid van AI-ontwikkelingen
Verder lezen
Evaluatie datalek gemeente Epe
Verder lezen
Waarom informatiebeveiliging nooit af is
Verder lezen
De Cloud Act en digitale soe­ve­rei­ni­teit ontrafelt
Verder lezen
AI zet decennia cybersecurity op zijn kop
Verder lezen
Privacyklachten stijgen explosief – en de overheid staat in de top 3
Verder lezen
Maatregelen nodig voor automatisering Van Brienenoordbrug
Verder lezen
AP stelt procesbeschrijving voor verscherpt toezicht vast
Verder lezen
Digitale weerbaarheid: waarom een strategische aanpak noodzakelijk is
Verder lezen
Privacyschending bij de verkoop van ‘verloren pakketten’: Bol start onderzoek
Verder lezen