icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest

Veel websites laks met wachtwoorden

Een derde van de websites met een inlogmogelijkheid stelt veel te lage eisen bij het maken van een wachtwoord, zo blijkt uit een steekproef. Consumenten kunnen hierdoor onbedoeld een te zwak wachtwoord bedenken. Dit maakt hen kwetsbaar voor hackers.

Peter Kulche

Peter Kulche , Expert Elektronica Bijgewerkt op:18 januari 2018

wachtwoord-te-laks

Natuurlijk ben je als internetter zelf verantwoordelijk voor het bedenken van een goed (uniek) wachtwoord. Maar websites moeten dat stimuleren en zeker niet verhinderen. We onderzochten hoe 87 populaire sites hun klanten helpen veilige wachtwoorden te maken. Het resultaat van de steekproef valt behoorlijk tegen. Dit zijn de 5 belangrijkste problemen:

51% staat te korte wachtwoorden toe

Door brute rekenkracht zijn wachtwoorden steeds sneller te kraken: computers kunnen vele duizenden wachtwoorden per seconde proberen. Een goed wachtwoord bestaat daarom uit minimaal 8 tekens. Maar meer dan de helft (53%) van de websites in onze steekproef staat kortere wachtwoorden toe. 38 sites staan wachtwoorden toe van 6 of 7 tekens, vooral webwinkels. 8 websites vinden nóg kortere wachtwoorden prima. Daarbij zien we grote namen als Netflix.com (slechts 4 tekens vereist), Webshop Fonq.nl (ook 4) en Spotify.com (2). Extreem onveilig is de norm van webshop Camera-NU.nl: slechts 1 teken volstaat.

41% vindt zwakke wachtwoorden prima 

Wachtwoorden die veel mensen al gebruiken (Welkom1) of een enkel woord uit een woordenboek zijn ook onveilig. Een hacker zal deze altijd proberen – inclusief toevoegingen als een hoofdletter aan het begin en een uitroepteken of cijfer aan het eind. We probeerden in onze steekproef 6 zeer zwakke wachtwoorden: wachtwoord, Wachtwoord1, hallo123, 12345678, telefoon en asdfghjkl (deze reeks maak je met een roetsjbeweging over het toetsenbord). Liefst 41% van de sites accepteert al deze zwakke wachtwoorden. Complimenten voor de websites die wél alle zwakke wachtwoorden blokkeren: Apple.com, Delta.nl, Deltalloyd.nl, Digid.nl, Efarma.nl, Robeco.nl, Snsbank.nl, Vandijk.nl en Ziggo.nl.

Te strikte wachtwoordeisen bij 49%

De lengte van een wachtwoord is belangrijker dan het gebruik van speciale tekens. Maar een wachtwoord zonder speciale tekens is in de praktijk vaak onmogelijk. De ene website wil minstens 1 speciaal teken en een hoofdletter. De andere vindt dat er een cijfer in moet. Sommige willen dit allemaal, zoals DigiD.nl. Wij probeerden in onze steekproef op de 87 sites 4 uiteenlopende sterke wachtwoorden: cactusplankvorkvloer, nfDP945fgTa2, a*@GH#dgj$%d en nf33avb4!r#9v. Bij de helft (49%) werd minstens 1 van deze wachtwoorden afgewezen door een specifieke wachtwoordeis.

De strikte maar uiteenlopende eisen maken wachtwoorden bedenken én onthouden bijna niet te doen. Ons voorstel: laat al die eisen vallen als het wachtwoord lang genoeg is.

22% weigert wachtzinnen 

Je maakt het consumenten écht makkelijk als je lange wachtwoorden of ‘wachtzinnen’ toestaat, zoals fietsmeteengoedepompiszohandig. Dat is veilig én te onthouden. Helaas vindt 1 op de 5 sites onze wachtzin van 30 letters te lang en dat is een forse tegenvaller. Sommige sites willen wel heel korte wachtwoorden: bij Otto.nl is 12 tekens het maximum, bij AH.nl, GreenChoice.nl en MediaMarkt.nl 15.

Geen wachtwoordmeter op 69%

Het is misschien niet het belangrijkst, maar wel erg handig dat een website bij een nieuw wachtwoord de wachtwoordsterkte aangeeft met bijvoorbeeld een ‘wachtwoordmeter’. We zien dit op maar 27 sites (31%). Het zou mooi zijn als meer websites zulke hulp zouden bieden.

Reactie websites

We informeerden de 39 websites die slecht en matig scoren over onze bevindingen. Cameranu.nl (slechts 1 teken vereist) en Fonq.nl (4 tekens) repareerden hun website nog voor onze publicatie en eisen inmiddels minstens acht tekens. Ook Ah.nl, Alzheimer-nederland.nl, Bax-shop.nl, Bodyenfitshop.nl, HM.com en Nlziet.nl kregen van ons ‘verbeterpunten’ aangereikt en zij beloven die op te gaan volgen. De andere websites hebben niet gereageerd of geen toezeggingen gedaan. Consumentenbond.nl scoorde zelf overigens ook 'matig' omdat de site zwakke (te gebruikelijke) wachtwoorden toestaat. Wij starten een onderzoek om dat te verbeteren.

Gratis cursus Veilige wachtwoorden

In 5 korte video's leer je hoe je sterke wachtwoorden maakt en welke extra beveiligingsmogelijkheden je hebt.

Na elke les krijg je vragen om je kennis te toetsen. Volg deze cursus gemakkelijk en snel op pc, laptop of tablet, en in je eigen tempo!

Naar de cursus

cursus-veilige-wachtwoorden

Lees ook:

Nieuw & interessant

  • nepwebshop-veilig-internet
    Nieuws  |  26 nov.

    Consumentenbond waarschuwt voor ‘december-nepshops’

    De ‘december-nepshops’ zijn professioneel ogende webshops, die veel moeilijker te herkennen zijn dan ‘gewone’ nepshops. Vaak zijn ze voorzien van een KvK-nummer, een echt adres, een iDEAL-logo en een keurmerk.
  • nepwebshop-veilig-internet
    19 nov.

    Professionele nepshops rond feestdagen

    Rond de feestdagen zijn internetcriminelen extra actief met speciale ‘nepshops’. Met professioneel ogende webshops proberen ze je op te lichten.
  • vpn-wifi-werken
    13 nov.

    VPN-aanbieder kiezen

    Aan de hand van een aantal criteria hebben we een selectie van VPN-aanbieders gemaakt. Welke diensten hebben de zaken op orde en waar moet je op letten bij het kiezen van een VPN-dienst?
  • Mediapool MG-Veilig Online 1200x800
    3 jul.

    Bestel gratis de Minigids Veilig online

    Oplichters op Marktplaats, criminelen die op je bankgegevens azen of naar je wachtwoord vissen: zomaar een greep uit de dagelijkse praktijk. Voorkom een hoop ellende met de do’s en don’ts uit de Minigids Veilig online.