'Helft populaire sites staat te kort wachtwoord toe of eist te veel'

Aangepast
Getty | Bloomberg

Het wachtwoordbeleid van populaire sites in Nederland schiet tekort. Dat concludeert de Consumentenbond na een steekproef onder 87 sites. In veel gevallen gaat het om sites van webshops, energieleveranciers of socialemediaplatforms waarbij mensen dus vaak een account hebben en moeten inloggen.

Het gaat er dan bijvoorbeeld om dat websites te korte wachtwoorden toestaan of het gebruikers, in de ogen van de bond, onnodig moeilijk maken. Beide zaken ziet de bond terug bij ongeveer de helft van de onderzochte sites.

Volgens de consumentenorganisatie stellen onder meer Coolblue, HEMA, Spotify en Netflix te lage eisen aan wachtwoorden. "Die sites staan korte wachtwoorden toe of wachtwoorden die relatief eenvoudig te raden zijn of die veel mensen gebruiken." Bij Spotify is het minimale aantal tekens zelfs slechts twee, schrijft de bond.

Ingewikkelde eisen stellen

Sites als ING, Blokker en de Media Markt doen het al beter, maar zij stellen in de ogen van de bond te veel eisen. Waardoor ze het gebruikers onnodig moeilijk maken en het minder makkelijk is om wachtwoorden te onthouden. Achttien sites, waaronder Twitter, bol.com en Facebook, krijgen van de Consumentenbond een pluim: "Ze helpen een veilig wachtwoord te kiezen en zijn daarbij flexibel."

De NOS heeft de sites die in dit verhaal worden genoemd en kritiek kregen gevraagd om een reactie. HEMA laat weten het onderzoek te gaan bestuderen en als daar aanleiding toe is maatregelen te nemen.

Er wordt al jaren aandacht gevraagd voor het gebruik van sterkere wachtwoorden, in plaats van 123456 of welkom01. Die zijn simpel te raden voor hackers maar toch blijven dat soort wachtwoorden opduiken. Wel stellen websites zelf steeds vaker eisen aan het soort wachtwoord. Dat moet de veiligheid verhogen.

De Consumentenbond informeerde van de 87 websites de 39 slechtst scorende. Tot nu toe hebben daarvan negen hun wachtwoordbeleid aangepast.

Wachtwoorden 'afvuren'

Behalve naar wachtwoorden keek de bond ook bij 37 websites of ze kwetsbaar waren voor wat een brute force-aanval wordt genoemd. Hierbij vuren hackers met behulp van speciale software constant duizenden wachtwoordcombinaties af op een inlogpagina bij een site, in de hoop een keer raak te schieten.

Dit kan worden tegengehouden door het aantal pogingen dat iemand een verkeerd wachtwoord kan invoeren te beperken. 25 procent van de websites was hier niet tegen beschermd, waaronder de website van de Consumentenbond zelf. De organisatie heeft hiertegen inmiddels naar eigen zeggen maatregelen genomen.