Websites moeten hun gebruikers laten weten hoe ze wachtwoorden opslaan, om zo duidelijk te maken wat de impact van een eventuele hack is. Daarvoor pleit de Australische beveiligingsexpert Troy Hunt. Op dit moment hebben internetgebruikers geen idee wat voor aanpak websites hanteren. Sommige websites slaan wachtwoorden zelfs in platte tekst op.
Andere sites kiezen voor hashing-algoritmes als MD5 of SHA1. In veel gevallen wordt hierbij geen salt gebruikt, waardoor het achterhalen van het wachtwoord dat bij de hash hoort zeer eenvoudig is. Onlangs lekte de Australische tak van ABC een lijst met wachtwoordhashes. Hunt wist 53% van de wachtwoordhahes binnen 45 seconden te 'kraken'. Sindsdien heeft hij 90% van de hashes achterhaald.
Opslag
"Deze opslagmechanismen zijn niet robuust, ze zijn onnozel", merkt de onderzoeker op. Consumenten weten pas welk opslagmechanisme een website gebruikt als ze hun wachtwoord aan de website toevertrouwen. En vaak pas in het geval er een incident heeft plaatsgevonden.
Hunt vindt dat websites op de registratiepagina moeten aangeven welk mechanisme ze gebruiken. Dit zou websites en bedrijven moeten aansporen om veiligere opslagmechanismes te kiezen, aangezien niemand zou willen aangeven dat ze wachtwoorden in platte tekst opslaan.
Daarnaast geeft het sites die de opslag wel serieus nemen een mogelijkheid om zich te onderscheiden. In beide gevallen zouden consumenten er beter van worden, concludeert Hunt.
Deze posting is gelocked. Reageren is niet meer mogelijk.