Een team van security onderzoekers bij Dashlane, een wachtwoord security company met services gelijkaardig aan Lastpass, heeft 50 online services onder de loep genomen wanneer het aankomt op hun wachtwoord policies. Ze hebben enkele grote namen uit de tech-industrie onderzocht zoals Spotify, Uber, GoDaddy, enz. en laat ons zeggen dat ze niet allemaal even veilig waren.
Ze hebben hun analyse ingedeeld in vijf belangrijke punten die elke goede en veilige wachtwoord policy zou moeten hebben. Van alle onderzochte websites was GoDaddy, een online webhosting en domein-registratie service, één van de beste en meest veilige websites terwijl populaire reuzen zoals Netflix, Spotify en Uber kwamen er het slechtste uit.
De vijf belangrijke punten waar de onderzoekers op testten waren:
Is er een lang wachtwoord van 8+ karakters vereist? De lengte doet er wél om. Langere wachtwoorden vereisen meer tijd van hackers indien ze het wachtwoord willen brute-forcen of als ze de geëncrypteerde hash willen kraken.
Vereist de website alfanumerieke karakters? Een combinatie van letters, cijfers en symbolen is absoluut vitaal voor een veilig wachtwoord. Hoe meer karakters gebruikt kunnen worden, hoe meer mogelijkheden de hacker moet uitproberen en hoe meer tijd hij dus nodig heeft om het wachtwoord te kraken.
Heeft de website een wachtwoord-beoordeling-systeem? Sommige websites hebben een beoordelingssysteem voor wachtwoorden die je toont hoe veilig je wachtwoord is wanneer je het aanmaakt of veranderd. Als deze niet aanwezig is kunt u ook makkelijk de gratis service (ook gesponsord door Dashlane) genaamd HowSecureIsMyPassword gebruiken.
Heeft het bedrijf bescherming tegen brute-force aanvallen (10+ pogingen)? Brute-forcing is een techniek waarbij hackers alle mogelijke wachtwoord combinaties proberen tot ze de juiste gevonden hebben. Websites kunnen systemen zoals reCAPTCHA‘s, account lockouts of two-factor authentication implementeren om dit te voorkomen.
Is er een optie voor 2-factor authenticatie? Two-factor authentication is iets vrij nieuw in de security wereld, toch in zijn huidige meest voorkomende vorm (via een app). Dit systeem zorgt ervoor dat de gebruiker een tweede wachtwoord moet ingeven (vaak een 6-cijferige code) dat elke minuut veranderd, ook al is de gebruiker ingelogd met het juiste wachtwoord.
Laxe Wachtwoord Policies
De onderzoekers waren geschokt toen ze de resultaten van het onderzoek te zien kregen. Hier zijn enkele feiten op een rij:
Het team kon het wachtwoord ‘aaaa’ aanmaken op Spotify en Netflix.
Ze konden wachtwoorden aanmaken die enkel uit a’s bestonden op services zoals Amazon, Instagram of LinkedIn.
Tech-reuzen zoals Apple, Google en Dropbox hadden geen maatregelen genomen om brute-forcing tegen te gaan.
De enige services met een perfecte score waren Stripe, QuickBooks en GoDaddy.
De underdogs waren Netflix, Spotify, Pandora en taxi-service Uber.
Pablo is de oprichter en hoofdonderzoeker bij Brussec Security. Al jaren is hij geïntereseerd in computerbeveiliging en nu gebruikt hij zijn kennis om het internet een veiligere plaats te maken.
