Grote websites zoals Facebook, Amazon en LinkedIn accepteren wachtwoorden van slechts 6 karakters, maar dat hoeft niet per definitie een probleem te zijn, aldus beveiligingsonderzoeker Troy Hunt. Hij besloot te kijken wat de minimale lengte is die de populairste websites op internet vereisen.
Veel wachtwoordadviezen gaan namelijk over zaken als complexiteit of het regelmatig veranderen van wachtwoorden, maar een minimale vereiste wachtwoordlengte wordt niet genoemd, merkt Hunt op. Voor zijn onderzoek bekeek hij vijftien grote websites. Negen bleken een wachtwoord van minimaal 6 karakters toe te staan. Netflix en Wikipedia accepteren zelfs wachtwoorden met een minimale lengte van respectievelijk 4 karakters en 1 karakter.
Toch kan aan de hand van alleen de wachtwoordlengte niet worden gesteld dat dit te weinig is. Sommige websites maken namelijk gebruik van "intelligente authenticatie". Zo wordt er bijvoorbeeld gekeken naar het ip-adres waarvandaan de gebruiker probeert in te loggen. Gebruikers van Tor Browser moeten op sommige websites bijvoorbeeld eerst een captcha oplossen voordat ze kunnen inloggen. Ook komt het voor dat wanneer websites een nieuwe browser zien er extra verificatie is vereist, zoals het bevestigen van een e-maillink.
"Je kunt dan ook niet alleen naar de minimale lengte kijken en zeggen dat 6 of zelfs 4 karakters veel te weinig is, omdat authenticatie veel intelligenter kan zijn dan het vergelijken van een gebruikersnaam en wachtwoord. Dat wil niet zeggen dat die mooie ronde, even getallen altijd correct zijn. Er zijn genoeg websites die geen enkele intelligentie toepassen behalve het vergelijken van twee strings", aldus Hunt. Onlangs uitte de Consumentenbond nog kritiek op het wachtwoordbeleid van populaire websites.
Deze posting is gelocked. Reageren is niet meer mogelijk.