Nieuws
image

66% populairste Britse winkels accepteert 123456 als login

donderdag 13 maart 2014, 15:10 door Redactie, 2 reacties

66% van de populairste Britse webwinkels laat klanten inloggen via onveilige wachtwoorden als '123456' en 'password'. Een zelfde percentage webwinkels staat meer dan 10 inlogpogingen toe, waardoor aanvallers brute force-aanvallen kunnen uitvoeren om met verschillende wachtwoorden in te loggen.

Dat blijkt uit onderzoek onder de Top 100 Britse webwinkels. Verder bleek dat 60% van de winkels klanten tijdens de registratie geen advies geeft over het maken van een veilig wachtwoord en slechts 14% toont een wachtwoordsterktemeter. Tevens verstuurden 25 winkels het wachtwoord in platte tekst via de e-mail naar klanten.

Soortgelijk onderzoek werd ook in Frankrijk en de VS uitgevoerd, waarbij vooral Franse webwinkels er een potje van maken. 87% van de populairste Franse webwinkels staat eenvoudige wachtwoorden toe en 84% laat klanten meer dan 10 keer na een foute poging inloggen.

Reacties (2)
14-03-2014, 08:52 door Anoniem
De grote vraag is of je als webshop (of elke andere website met inlog) beperkingen moet gaan opleggen aan wachtwoorden. Ik wordt er persoonlijk helemaal kriegel van als ik een wachtwoord moet gaan verzinnen met leestekens, hoofdletters en cijfers. Dan ga je kunstgrepen doen en daar worden je wachtwoorden echt niet beter van. Hetzelfde geldt voor wachtwoorden die periodiek moeten worden gewijzigd, ik gok dat meer dan 50% van de mensen een incremental value in het wachtwoord stopt en deze met een ophoogt.
14-03-2014, 11:29 door PietdeVries
Het met een vaste regel ophogen van wachtwoorden hoeft natuurlijk geen probleem te zijn, als je er maar voor zorgt dat je het user ID blokkeert na zeg 5 pogingen, en je wachtwoorden database er 10 laat onthouden. Dat zou afdoende moeten zijn voor bescherming tegen brute-force aanvallen van buiten.
De complexiteit verhogen helpt eigenlijk alleen als je password hashes zijn gestolen (zoals LinkedIn is overkomen). Hoe complexer het wachtwoord, hoe langer het duurt voordat de hash is gekraakt...

Maar terug naar het onderwerp: waarom sta je als webshop toe dat mensen standaard wachtwoorden gebruiken? Gebruik je dan enkel een wachtwoord om jezelf in te dekken als webshop ("had je maar een complexer wachtwoord moeten kiezen") zonder klanten weg te jagen met complexe eisen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Advertentie
Certified Secure