Een Australische beveiligingsexpert heeft uitgehaald naar de Britse internetprovider Virgin omdat het bepaalde scheldwoorden als wachtwoord verbiedt. Deze week werd bekend dat Virgin een lijst bijhoudt van scheldwoorden die gebruikers niet als wachtwoord mogen kiezen.
Dat bleek uit een JavaScript-bestand dat werd gebruikt voor het beoordelen van de wachtwoorden. Deze controle werd aan de clientkant uitgevoerd. Na alle ophef in de media besloot Virgin de controle aan de serverkant uit te laten voeren, zodat de volledige lijst met geblokkeerde woorden niet direct meer zichtbaar is.
Volgens beveiligingsexpert Troy Hunt is de werkwijze van Virgin onbegrijpelijk. De reden dat Virgin en andere bedrijven dit doen is dat bijvoorbeeld helpdeskmedewerkers niet gekwetst worden bij het lezen van het wachtwoord, zo laat hij weten. Wachtwoorden die eigenlijk gehasht en onleesbaar opgeslagen zouden moeten zijn. "Natuurlijk zijn het mensen die waarschijnlijk door de wachtwoorden worden beledigd, omdat het computers niets kan schelen", aldus Hunt.
Hij merkt op dat het blokkeren van scheldwoorden allerlei interessante vragen oproept. "Waarom kunnen ze mijn wachtwoord zien? Waarom moeten ze mijn wachtwoorden zien?" Daarnaast is het ook de vraag hoe bedrijven kunnen bepalen wat wel en niet is toegestaan. Genoeg scheldwoorden, al dan niet in iets andere vorm geschreven, worden gewoon toegelaten, maar klinken fonetisch nog steeds hetzelfde.
Deze posting is gelocked. Reageren is niet meer mogelijk.