Veel websites laks met wachtwoorden
Peter Kulche Expert ElektronicaBijgewerkt op:18 januari 2018
Natuurlijk ben je als internetter zelf verantwoordelijk voor het bedenken van een goed (uniek) wachtwoord. Maar websites moeten dat stimuleren en zeker niet verhinderen. We onderzochten hoe 87 populaire sites hun klanten helpen veilige wachtwoorden te maken. Het resultaat van de steekproef valt behoorlijk tegen. Dit zijn de 5 belangrijkste problemen:
51% staat te korte wachtwoorden toe
Door brute rekenkracht zijn wachtwoorden steeds sneller te kraken: computers kunnen vele duizenden wachtwoorden per seconde proberen. Een goed wachtwoord bestaat daarom uit minimaal 8 tekens. Maar meer dan de helft (53%) van de websites in onze steekproef staat kortere wachtwoorden toe. 38 sites staan wachtwoorden toe van 6 of 7 tekens, vooral webwinkels. 8 websites vinden nóg kortere wachtwoorden prima. Daarbij zien we grote namen als Netflix.com (slechts 4 tekens vereist), Webshop Fonq.nl (ook 4) en Spotify.com (2). Extreem onveilig is de norm van webshop Camera-NU.nl: slechts 1 teken volstaat.
41% vindt zwakke wachtwoorden prima
Wachtwoorden die veel mensen al gebruiken (Welkom1) of een enkel woord uit een woordenboek zijn ook onveilig. Een hacker zal deze altijd proberen – inclusief toevoegingen als een hoofdletter aan het begin en een uitroepteken of cijfer aan het eind. We probeerden in onze steekproef 6 zeer zwakke wachtwoorden: wachtwoord, Wachtwoord1, hallo123, 12345678, telefoon en asdfghjkl (deze reeks maak je met een roetsjbeweging over het toetsenbord). Liefst 41% van de sites accepteert al deze zwakke wachtwoorden. Complimenten voor de websites die wél alle zwakke wachtwoorden blokkeren: Apple.com, Delta.nl, Deltalloyd.nl, Digid.nl, Efarma.nl, Robeco.nl, Snsbank.nl, Vandijk.nl en Ziggo.nl.
Te strikte wachtwoordeisen bij 49%
De lengte van een wachtwoord is belangrijker dan het gebruik van speciale tekens. Maar een wachtwoord zonder speciale tekens is in de praktijk vaak onmogelijk. De ene website wil minstens 1 speciaal teken en een hoofdletter. De andere vindt dat er een cijfer in moet. Sommige willen dit allemaal, zoals DigiD.nl. Wij probeerden in onze steekproef op de 87 sites 4 uiteenlopende sterke wachtwoorden: cactusplankvorkvloer, nfDP945fgTa2, a*@GH#dgj$%d en nf33avb4!r#9v. Bij de helft (49%) werd minstens 1 van deze wachtwoorden afgewezen door een specifieke wachtwoordeis.
De strikte maar uiteenlopende eisen maken wachtwoorden bedenken én onthouden bijna niet te doen. Ons voorstel: laat al die eisen vallen als het wachtwoord lang genoeg is.
22% weigert wachtzinnen
Je maakt het consumenten écht makkelijk als je lange wachtwoorden of ‘wachtzinnen’ toestaat, zoals fietsmeteengoedepompiszohandig. Dat is veilig én te onthouden. Helaas vindt 1 op de 5 sites onze wachtzin van 30 letters te lang en dat is een forse tegenvaller. Sommige sites willen wel heel korte wachtwoorden: bij Otto.nl is 12 tekens het maximum, bij AH.nl, GreenChoice.nl en MediaMarkt.nl 15.
Geen wachtwoordmeter op 69%
Het is misschien niet het belangrijkst, maar wel erg handig dat een website bij een nieuw wachtwoord de wachtwoordsterkte aangeeft met bijvoorbeeld een ‘wachtwoordmeter’. We zien dit op maar 27 sites (31%). Het zou mooi zijn als meer websites zulke hulp zouden bieden.
Reactie websites
We informeerden de 39 websites die slecht en matig scoren over onze bevindingen. Cameranu.nl (slechts 1 teken vereist) en Fonq.nl (4 tekens) repareerden hun website nog voor onze publicatie en eisen inmiddels minstens acht tekens. Ook Ah.nl, Alzheimer-nederland.nl, Bax-shop.nl, Bodyenfitshop.nl, HM.com en Nlziet.nl kregen van ons ‘verbeterpunten’ aangereikt en zij beloven die op te gaan volgen. De andere websites hebben niet gereageerd of geen toezeggingen gedaan. Consumentenbond.nl scoorde zelf overigens ook 'matig' omdat de site zwakke (te gebruikelijke) wachtwoorden toestaat. Wij starten een onderzoek om dat te verbeteren.