Een op te drie websites stelt veel te lagen eisen bij het aanmaken van een wachtwoord voor gebruikers. Dat concludeert de Consumentenbond woensdag na een steekproef bij 87 sites. Door de lage eisen zijn accounts van gebruikers een stuk kwetsbaarder voor aanvallen.
De helft van alle onderzochte websites staat wachtwoorden met minder dan acht tekens toe, stelt de Consumentenbond. In 38 procent van de gevallen accepteert de website wachtwoorden van zes of zeven tekens. Netflix, webshop Fonq, Spotify en Camera-NU scoren al helemaal slecht. Gebruikers kunnen daar een wachtwoord van respectievelijk vier, vier, twee en één (!) teken instellen.
Verder concludeert de Consumentenbond dat 41 procent van de onderzochte websites genoegen neemt met een simpel wachtwoord, zoals wachtwoord of hallo123. Hackers nemen dit soort eenvoudige wachtwoorden vrijwel altijd mee in hun poging om een account binnen te dringen.
Brute-force-aanval
Accounts met korte wachtwoorden of een wachtwoord dat één woordenboekwoord bevat, zijn relatief eenvoudig te brute forcen, waarbij een aanvaller snel achter elkaar automatisch veel wachtwoordcombinaties probeert. Hoe korter het wachtwoord, hoe sneller zo’n brute-force-aanval kan slagen.
De Consumentenbond onderzocht bij 37 websites of zij vatbaar waren voor dit soort aanvallen. In een kwart van de gevallen bleek dat zo te zijn. De Consumentenbond erkent overigens dat zijn eigen website op dit gebied ook onveilig is.
Bedrijven kunnen hun website beveiligen tegen brute forcing door een limiet te stellen aan het aantal inlogpogingen dat in een bepaalde periode bij een account gedaan kan worden.
Maximale lengte
Ook de lengte van wachtwoorden is belangrijk. Hoe langer het wachtwoord, hoe moeilijker het te kraken is. Toch stellen sommige websites beperkingen aan de lengte van wachtwoorden. In 22 procent van de gevallen werd de relatief veilige ‘wachtzin’ fietsmeteengoedepompiszohandig (30 tekens) geweigerd.
De Consumentenbond beoordeelt in dit criterium vooral de websites van webwinkel Otto (maximaal 12 tekens), supermarkt Albert Heijn, energiebedrijf GreenChoice en MediaMarkt (alle drie maximaal 15 tekens) als onvoldoende.