icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest

Veel websites laks met wachtwoorden

Een derde van de websites met een inlogmogelijkheid stelt veel te lage eisen bij het maken van een wachtwoord, zo blijkt uit een steekproef. Consumenten kunnen hierdoor onbedoeld een te zwak wachtwoord bedenken. Dit maakt hen kwetsbaar voor hackers.
Peter Kulche
Peter Kulche

Expert Elektronica

Bijgewerkt op:  18 januari 2018

wachtwoord-te-laks

Natuurlijk ben je als internetter zelf verantwoordelijk voor het bedenken van een goed (uniek) wachtwoord. Maar websites moeten dat stimuleren en zeker niet verhinderen. We onderzochten hoe 87 populaire sites hun klanten helpen veilige wachtwoorden te maken. Het resultaat van de steekproef valt behoorlijk tegen. Dit zijn de 5 belangrijkste problemen:

51% staat te korte wachtwoorden toe

Door brute rekenkracht zijn wachtwoorden steeds sneller te kraken: computers kunnen vele duizenden wachtwoorden per seconde proberen. Een goed wachtwoord bestaat daarom uit minimaal 8 tekens. Maar meer dan de helft (53%) van de websites in onze steekproef staat kortere wachtwoorden toe. 38 sites staan wachtwoorden toe van 6 of 7 tekens, vooral webwinkels. 8 websites vinden nóg kortere wachtwoorden prima. Daarbij zien we grote namen als Netflix.com (slechts 4 tekens vereist), Webshop Fonq.nl (ook 4) en Spotify.com (2). Extreem onveilig is de norm van webshop Camera-NU.nl: slechts 1 teken volstaat.

41% vindt zwakke wachtwoorden prima 

Wachtwoorden die veel mensen al gebruiken (Welkom1) of een enkel woord uit een woordenboek zijn ook onveilig. Een hacker zal deze altijd proberen – inclusief toevoegingen als een hoofdletter aan het begin en een uitroepteken of cijfer aan het eind. We probeerden in onze steekproef 6 zeer zwakke wachtwoorden: wachtwoord, Wachtwoord1, hallo123, 12345678, telefoon en asdfghjkl (deze reeks maak je met een roetsjbeweging over het toetsenbord). Liefst 41% van de sites accepteert al deze zwakke wachtwoorden. Complimenten voor de websites die wél alle zwakke wachtwoorden blokkeren: Apple.com, Delta.nl, Deltalloyd.nl, Digid.nl, Efarma.nl, Robeco.nl, Snsbank.nl, Vandijk.nl en Ziggo.nl.

Te strikte wachtwoordeisen bij 49%

De lengte van een wachtwoord is belangrijker dan het gebruik van speciale tekens. Maar een wachtwoord zonder speciale tekens is in de praktijk vaak onmogelijk. De ene website wil minstens 1 speciaal teken en een hoofdletter. De andere vindt dat er een cijfer in moet. Sommige willen dit allemaal, zoals DigiD.nl. Wij probeerden in onze steekproef op de 87 sites 4 uiteenlopende sterke wachtwoorden: cactusplankvorkvloer, nfDP945fgTa2, a*@GH#dgj$%d en nf33avb4!r#9v. Bij de helft (49%) werd minstens 1 van deze wachtwoorden afgewezen door een specifieke wachtwoordeis.

De strikte maar uiteenlopende eisen maken wachtwoorden bedenken én onthouden bijna niet te doen. Ons voorstel: laat al die eisen vallen als het wachtwoord lang genoeg is.

22% weigert wachtzinnen 

Je maakt het consumenten écht makkelijk als je lange wachtwoorden of ‘wachtzinnen’ toestaat, zoals fietsmeteengoedepompiszohandig. Dat is veilig én te onthouden. Helaas vindt 1 op de 5 sites onze wachtzin van 30 letters te lang en dat is een forse tegenvaller. Sommige sites willen wel heel korte wachtwoorden: bij Otto.nl is 12 tekens het maximum, bij AH.nl, GreenChoice.nl en MediaMarkt.nl 15.

Geen wachtwoordmeter op 69%

Het is misschien niet het belangrijkst, maar wel erg handig dat een website bij een nieuw wachtwoord de wachtwoordsterkte aangeeft met bijvoorbeeld een ‘wachtwoordmeter’. We zien dit op maar 27 sites (31%). Het zou mooi zijn als meer websites zulke hulp zouden bieden.

Reactie websites

We informeerden de 39 websites die slecht en matig scoren over onze bevindingen. Cameranu.nl (slechts 1 teken vereist) en Fonq.nl (4 tekens) repareerden hun website nog voor onze publicatie en eisen inmiddels minstens acht tekens. Ook Ah.nl, Alzheimer-nederland.nl, Bax-shop.nl, Bodyenfitshop.nl, HM.com en Nlziet.nl kregen van ons ‘verbeterpunten’ aangereikt en zij beloven die op te gaan volgen. De andere websites hebben niet gereageerd of geen toezeggingen gedaan. Consumentenbond.nl scoorde zelf overigens ook 'matig' omdat de site zwakke (te gebruikelijke) wachtwoorden toestaat. Wij starten een onderzoek om dat te verbeteren.

Gratis cursus Veilige wachtwoorden

In 5 korte video's leer je hoe je sterke wachtwoorden maakt en welke extra beveiligingsmogelijkheden je hebt.

Na elke les krijg je vragen om je kennis te toetsen. Volg deze cursus gemakkelijk en snel op pc, laptop of tablet, en in je eigen tempo!

Naar de cursus

cursus-veilige-wachtwoorden

Lees ook:

Nieuw & interessant

  • veilig-internetten-lek
    7 mrt.

    Draadloos netwerk beveiligen

    Als je draadloze netwerk nog zonder adequate versleuteling werkt, moet je dat beslist even corrigeren. Aan de slag!
  • reimage-tech
    2 mrt.

    Reimage/AnyTech365: twijfelachtige pc-hulp

    De 'gratis' software van Reimage scant je pc en vindt bijna altijd ‘problemen’. Via het getoonde telefoonnummer kom je terecht bij het bedrijf AnyTech365, dat probeert pc-hulpabonnementen van honderden euro’s te verkopen, terwijl er misschien niets met je pc aan de hand is.
  • oplichting-marktplaats
    28 feb.

    Marktplaats: herken de oplichter

    Marktplaats is laagdrempelig voor adverteren en daarmee ook voor oplichting. De nieuwste trucs: afgelegen wonen, Whatsapp, valse bankapps en Tikkie-fraude. We geven je tips om je te wapenen tegen mogelijke oplichters.
  • Mediapool MG-Veilig Online 1200x800
    3 jul.

    Bestel gratis de Minigids Veilig online

    Oplichters op Marktplaats, criminelen die op je bankgegevens azen of naar je wachtwoord vissen: zomaar een greep uit de dagelijkse praktijk. Voorkom een hoop ellende met de do’s en don’ts uit de Minigids Veilig online.