Wachtwoord

'Sorry, je wachtwoord mag maximaal 15 tekens bevatten.' Het is een foutmelding die pijn doet aan de ogen van beveiligingsonderzoeker Rickey Gevers: "Een maximumlengte voor je wachtwoord is niet veilig."

 

 

Veel bedrijven hanteren een karakterlimiet voor het wachtwoord, waaronder ING, KLM, PayPal, Nespresso en Vodafone. 

Gemakkelijker te kraken

Dat is op twee punten een slechte zaak vindt Gevers. Gebruikers worden allereerst geforceerd om kortere wachtwoorden te gebruiken dan ze misschien gewend zijn. Ten tweede kunnen kortere wachtwoorden veel makkelijker worden gekraakt dan langere wachtwoorden.

Simpel gezegd: al zou je een lang en sterk wachtwoord hebben, dan is deze te lang om te gebruiken bij die bedrijven. En als je wachtwoord in versleutelde vorm worden buitgemaakt door hackers, wat al gebeurde bij LinkedIn, Yahoo en Dropbox, dan zijn de wachtwoorden veel makkelijker te kraken.

Oude systemen

ING en PayPal hanteren beide een maximumlengte van 20 tekens. Bij Nespresso en Vodafone is het limiet 15 tekens. KLM maakt het wel heel bont: daar kun je zelfs inloggen met enkel een viercijferige pincode.

"Er is echt geen excuus voor het feit dat bedrijven een limiet stellen aan een wachtwoord", zegt Gevers. "De enige reden die ik kan bedenken waarom er nog steeds een maximumlengte wordt gehanteerd, is dat de bedrijven nog hele oude systemen gebruiken. En dan heb ik het echt over meer dan tien jaar oud."

Dat zit zo: wachtwoorden worden normaal gesproken omgezet tot een hash, een soort lange code. Oude systemen ondersteunen enkel specifieke hashes. Door lange wachtwoorden te gebruiken krijg je een hash die niet goed samenwerkt met deze oude systemen.

Volgers Gevers moeten gebruikers de keuze hebben om een wachtwoord te gebruiken met een lengte die ze zelf willen, of die nu bestaat uit 30 of 100 tekens.

Geen reactie

Al jaren wordt er geklaagd over de korte maximumlengte van een wachtwoord. In 2011 schreef een PayPal-gebruiker al dat 20 karakters niet lang genoeg is om een veilig wachtwoord te kiezen. 

ING, KLM, PayPal, Nespresso en Vodafone hebben niet gereageerd op schriftelijke vragen waarom er een limiet geldt en of zij daarmee de veiligheid van hun klanten te garanderen.

 

Reacties mogelijk gemaakt door CComment