Duizenden gebruikers van Adobe die bij het aanmaken van een account ook de wachtwoordhint invulden, vulden hier geen hint in maar direct hun wachtwoord of een verwijzing naar het wachtwoord voor sociale netwerksites of bedrijfsgerelateerde logins. Dat blijkt uit een analyse van 43 miljoen hints.
De hints zijn afkomstig uit de database die vorig jaar bij Adobe werd gestolen. "Een wachtwoordhint kan alleen de security verminderen", zegt Chris Czub van Duo Security. Hij merkt op dat securitybewuste gebruikers waarschijnlijk een wachtwoordmanager met willekeurige gegenereerde wachtwoorden zullen gebruiken. "Een wachtwoordhint voegt dus niets toe." Volgens Czub is het beter om iets willekeurigs in te voeren, aangezien het gebruik van een hint een aanvaller de mogelijkheid biedt om het wachtwoord te raden.
Toch hadden bijna 14.000 gebruikers een wachtwoordhint ingevuld waarbij er naar een zakelijke login werd verwezen. Ruim 11.000 gebruikers hadden een social media-gerelateerde hint en bijna 31.000 gebruikers verwezen naar logins op andere websites. Sommige gebruikers gaven hints als "ssh passphrase" en "same as corporate password". Ook werden er direct wachtwoorden ingevuld, zoals "it is leo leo leo no space" en "the password is trustno1". Andere gebruikers waren zich meer bewust van het risico en vulden hints in als "What? You need a hint? Haha nope" en "Hints are for losers".
Deze posting is gelocked. Reageren is niet meer mogelijk.