icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest

Veel websites laks met wachtwoorden

Een derde van de websites met een inlogmogelijkheid stelt veel te lage eisen bij het maken van een wachtwoord, zo blijkt uit een steekproef. Consumenten kunnen hierdoor onbedoeld een te zwak wachtwoord bedenken. Dit maakt hen kwetsbaar voor hackers.

Peter Kulche

Peter Kulche , Expert Elektronica Bijgewerkt op:18 januari 2018

wachtwoord-te-laks

Natuurlijk ben je als internetter zelf verantwoordelijk voor het bedenken van een goed (uniek) wachtwoord. Maar websites moeten dat stimuleren en zeker niet verhinderen. We onderzochten hoe 87 populaire sites hun klanten helpen veilige wachtwoorden te maken. Het resultaat van de steekproef valt behoorlijk tegen. Dit zijn de 5 belangrijkste problemen:

51% staat te korte wachtwoorden toe

Door brute rekenkracht zijn wachtwoorden steeds sneller te kraken: computers kunnen vele duizenden wachtwoorden per seconde proberen. Een goed wachtwoord bestaat daarom uit minimaal 8 tekens. Maar meer dan de helft (53%) van de websites in onze steekproef staat kortere wachtwoorden toe. 38 sites staan wachtwoorden toe van 6 of 7 tekens, vooral webwinkels. 8 websites vinden nóg kortere wachtwoorden prima. Daarbij zien we grote namen als Netflix.com (slechts 4 tekens vereist), Webshop Fonq.nl (ook 4) en Spotify.com (2). Extreem onveilig is de norm van webshop Camera-NU.nl: slechts 1 teken volstaat.

41% vindt zwakke wachtwoorden prima 

Wachtwoorden die veel mensen al gebruiken (Welkom1) of een enkel woord uit een woordenboek zijn ook onveilig. Een hacker zal deze altijd proberen – inclusief toevoegingen als een hoofdletter aan het begin en een uitroepteken of cijfer aan het eind. We probeerden in onze steekproef 6 zeer zwakke wachtwoorden: wachtwoord, Wachtwoord1, hallo123, 12345678, telefoon en asdfghjkl (deze reeks maak je met een roetsjbeweging over het toetsenbord). Liefst 41% van de sites accepteert al deze zwakke wachtwoorden. Complimenten voor de websites die wél alle zwakke wachtwoorden blokkeren: Apple.com, Delta.nl, Deltalloyd.nl, Digid.nl, Efarma.nl, Robeco.nl, Snsbank.nl, Vandijk.nl en Ziggo.nl.

Te strikte wachtwoordeisen bij 49%

De lengte van een wachtwoord is belangrijker dan het gebruik van speciale tekens. Maar een wachtwoord zonder speciale tekens is in de praktijk vaak onmogelijk. De ene website wil minstens 1 speciaal teken en een hoofdletter. De andere vindt dat er een cijfer in moet. Sommige willen dit allemaal, zoals DigiD.nl. Wij probeerden in onze steekproef op de 87 sites 4 uiteenlopende sterke wachtwoorden: cactusplankvorkvloer, nfDP945fgTa2, a*@GH#dgj$%d en nf33avb4!r#9v. Bij de helft (49%) werd minstens 1 van deze wachtwoorden afgewezen door een specifieke wachtwoordeis.

De strikte maar uiteenlopende eisen maken wachtwoorden bedenken én onthouden bijna niet te doen. Ons voorstel: laat al die eisen vallen als het wachtwoord lang genoeg is.

22% weigert wachtzinnen 

Je maakt het consumenten écht makkelijk als je lange wachtwoorden of ‘wachtzinnen’ toestaat, zoals fietsmeteengoedepompiszohandig. Dat is veilig én te onthouden. Helaas vindt 1 op de 5 sites onze wachtzin van 30 letters te lang en dat is een forse tegenvaller. Sommige sites willen wel heel korte wachtwoorden: bij Otto.nl is 12 tekens het maximum, bij AH.nl, GreenChoice.nl en MediaMarkt.nl 15.

Geen wachtwoordmeter op 69%

Het is misschien niet het belangrijkst, maar wel erg handig dat een website bij een nieuw wachtwoord de wachtwoordsterkte aangeeft met bijvoorbeeld een ‘wachtwoordmeter’. We zien dit op maar 27 sites (31%). Het zou mooi zijn als meer websites zulke hulp zouden bieden.

Reactie websites

We informeerden de 39 websites die slecht en matig scoren over onze bevindingen. Cameranu.nl (slechts 1 teken vereist) en Fonq.nl (4 tekens) repareerden hun website nog voor onze publicatie en eisen inmiddels minstens acht tekens. Ook Ah.nl, Alzheimer-nederland.nl, Bax-shop.nl, Bodyenfitshop.nl, HM.com en Nlziet.nl kregen van ons ‘verbeterpunten’ aangereikt en zij beloven die op te gaan volgen. De andere websites hebben niet gereageerd of geen toezeggingen gedaan. Consumentenbond.nl scoorde zelf overigens ook 'matig' omdat de site zwakke (te gebruikelijke) wachtwoorden toestaat. Wij starten een onderzoek om dat te verbeteren.

Gratis cursus Veilige wachtwoorden

In 5 korte video's leer je hoe je sterke wachtwoorden maakt en welke extra beveiligingsmogelijkheden je hebt.

Na elke les krijg je vragen om je kennis te toetsen. Volg deze cursus gemakkelijk en snel op pc, laptop of tablet, en in je eigen tempo!

Naar de cursus

cursus-veilige-wachtwoorden

Lees ook:

Nieuw & interessant

  • stappenplan windows
    17 sep.

    Virusscanner via internetprovider

    Veel internetproviders bieden een virusscanner. Soms inclusief, soms moet je extra betalen. Welke opties zijn er en is het een verstandige keuze?
  • microsoft-helpdesk
    Nieuws  |  2 aug.

    Nieuwe variant helpdeskfraude: Google en Ziggo

    Al jaren zijn oplichters uit naam van Microsoft actief. Bij een nieuwe variant doen de criminelen zich voor als helpdeskmedewerker van andere bedrijven, zoals Google en Ziggo. Ook hier gebruiken ze de smoes dat er problemen zijn met je computer. Ga er niet op in!
  • virussen-via-Facebook-Messenger
    6 jul.

    Facebook Messenger virus

    Met enige regelmaat gaan er Facebook Messenger-berichtjes rond met een linkje die gevaarlijk kunnen zijn. Via de link download je een virus.
  • Mediapool MG-Veilig Online 1200x800
    3 jul.

    Bestel gratis de Minigids Veilig online

    Oplichters op Marktplaats, criminelen die op je bankgegevens azen of naar je wachtwoord vissen: zomaar een greep uit de dagelijkse praktijk. Voorkom een hoop ellende met de do’s en don’ts uit de Minigids Veilig online.