Internetgebruikers krijgen vaak het advies om voor internetbankieren een sterk wachtwoord te kiezen, maar volgens sommige experts, waaronder uit de financiële sector, zijn zwakke wachtwoorden voor internetbankieren helemaal niet zo'n groot probleem als vaak wordt gedacht.

Dat laat Martijn Grooten van Virus Bulletin weten. Hij was onlangs bij een bijeenkomst van de financiële sector in Praag, waar de staat van internetveiligheid werd besproken. Grooten stelde aan het publiek de vraag of het uitmaakte als zijn wachtwoord voor internetbankieren "Praag" was. Een securitymedewerker van een grote bank stelde dat hij nog nooit een geval had gezien waarbij een zwak wachtwoord het probleem was. Iets dat door anderen in de zaal werd beaamd.

De meeste systemen voor internetbankieren laten namelijk maar een beperkt aantal inlogpogingen toe. Daardoor kan een aanvaller alleen de meest voor de hand liggende wachtwoorden raden. En zelfs als een aanvaller het wachtwoord raadt moet hij de twee-factor authenticatie omzeilen die veel banken toepassen. De dreiging is dan ook niet het zwakke wachtwoord, maar de gebruiker. Volgens Grooten maakt de sterkte van een wachtwoord niet uit als de gebruiker die op een phishingsite invoert.

De reden dat sterke wachtwoorden worden geadviseerd heeft volgens Grooten te maken met het risico van gehackte databases waar de wachtwoorden zijn gehasht. Een zwak wachtwoord zou in dit geval sneller kunnen worden achterhaald dan een sterker wachtwoord. Goed advies aldus de expert, maar voor banksystemen is de impact van een zwak wachtwoord beperkt. "Securityprofessionals hebben de neiging om de staat van it-beveiliging als zeer slecht voor te stellen. In veel gevallen is dit ook zo, maar het probleem met wachtwoordveiligheid is niet zo groot als vaak wordt voorgesteld."