Surfers negeren beveiligingswaarschuwingen

Stop.Foto:everystockphoto.com / sxc.hu

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (0)
Aanbevelen

Gepubliceerd: Dinsdag 28 juli 2009
Auteur: Koen Vervloesem

De meeste surfers negeren waarschuwingen van hun browser over beveiligingscertificaten. Dat is natuurlijk al langer bekend, maar uit een studie blijkt nu hoe erg het gesteld is en waarom surfers het doen. De grootste oorzaak is dat ook veel bona fide websites waarschuwingen laten zien, waardoor gebruikers er gewend aan zijn geraakt.

Onderzoekers van Carnegie Mellon University stelden aan 409 personen vragen over SSL-waarschuwingen. Terwijl 50 procent van de Firefox 2-gebruikers begreep wat een verlopen certificaat is, gaf 71 procent van die personen aan zo'n waarschuwing actief te negeren. Personen die dit soort waarschuwingen niet begrepen, besteedden er zelfs meer aandacht aan. De onderzoekers brachten ook 100 gebruikers in een computerlab en analyseerden hun surfgedrag. Daaruit bleek dat 69 procent van de personen die de technologie begrepen een verlopen certificaat van de website van een bank aanvaardden. Ze waren zo gewend aan de waarschuwingen dat ze er vaak gewoon op klikten om verder te kunnen gaan.

Gebruikers trappen in fishing-aanval

Bij een ander type waarschuwing zag het plaatje er anders uit: wanneer het domein van het SSL-certificaat niet overeenkwam met het domein van de website die de surfer bezocht, waren degenen die de waarschuwing begrepen minder geneigd om ze te negeren, terwijl de personen die ze niet begrepen ze even vaak negeerden als andere waarschuwingen. Van de 59 procent Firefox 2-gebruikers die de betekenis van zo'n domain mismatch begrepen, zeiden echter toch nog 19 procent dat ze de waarschuwing negeerden, terwijl dit toch vaak aanduidt dat de gebruiker slachtoffer is van een phishing-aanval.

Veel te veel waarschuwingen

Aangezien uit een studie die de onderzoekers citeren bleek dat minstens 44 procent van de top 382.860 SSL-websites een certificaat hebben dat voor een waarschuwing zorgt, komen gebruikers veel te veel waarschuwingen tegen. Gebruikers denken daarom veel te vaak dat SSL-waarschuwingen weinig betekenen omdat ze deze ook bij veel bona fide websites te zien krijgen. Uit de studie blijkt dat ook de bewoording van de waarschuwingen invloed hebben op hoe gebruikers ermee omgaan. Firefox 3, die het knap lastig maakt om de waarschuwing te negeren, haalt de beste score in het onderzoek, waarin Firefox 2, Firefox 3 en Internet Explorer 7 gebruikt werden.

Gevaarlijke websites blokkeren

De conclusie van de studie is echter dat de browser SSL-waarschuwingen beter in alleen de 'gevaarlijke' gevallen kan tonen of zelfs nooit: in dit laatste geval kan de browser bijvoorbeeld gevaarlijke websites resoluut blokkeren. Dit kan bijvoorbeeld met de Firefox-uitbreiding ForceHTTPS. De resultaten zijn gepubliceerd in het artikel Crying Wolf: An Empirical Study of SSL Warning Effectiveness. Ze worden op 14 augustus ook voorgesteld op het Usenix Security Symposium in Montreal.

Bron: Techworld

Relevante whitepapers

Alle whitepapers >>

Totaal 0 reactiesLaatste reacties


Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)