Video: Privacywetgeving in de zorg; Gebruik je voor verschillende websites hetzelfde wachtwoord? (November 2024)
Nadat de Heartbleed-bug eerder dit jaar aan het licht was gekomen, probeerden websitebeheerders het kwetsbare onderdeel te repareren waarmee oplichters brokken geheugen van beveiligde servers konden vastleggen. Omdat deze chunks gemakkelijk gebruikersnamen en wachtwoorden kunnen bevatten, hebben veel sites gebruikers op de hoogte gebracht om hun wachtwoord na de fix bij te werken. Uit een beveiligingsrapport van de makers van de populaire Dashlane-wachtwoordbeheerder blijkt echter dat de meeste sites veel meer werk te doen hebben met hun eigen wachtwoordbeleid.
Test methodologie
De onderzoekers van Dashlane hebben het wachtwoordbeleid van meer dan 80 populaire websites geanalyseerd, waarbij punten zijn toegekend voor beleid dat de beveiliging verbetert en punten worden afgetrokken voor risicovol beleid. Een site die na bevestiging van het wachtwoord een bevestigingsmail verzendt, verdient bijvoorbeeld 10 punten, maar een site waarvan de melding het wachtwoord in platte tekst bevat, verliest 30 punten. Een site die wachtwoorden van drie tekens of korter accepteert, verliest 5 punten; een die minstens acht karakters vereist, krijgt 20 punten.
Het mogelijke bereik van scores loopt van een perfecte 100 punten tot een sombere -100 punten. Dashlane beschouwt een site als redelijk veilig als deze ten minste 50 punten heeft verdiend. Slechts 14 procent van de ondervraagde sites slaagde die prestatie en 53 procent behaalde negatieve scores.
Slechte wachtwoorden
Tenzij ze gedwongen worden om beter te doen door het wachtwoordbeleid van een site, gebruiken veel mensen nog steeds vreselijke wachtwoorden zoals 'wachtwoord', '123456' en 'qwerty'. Dashlane identificeerde de tien ergste overtreders en tikte elke site met 2, 5 punten voor elke aanvaarde site. Meer dan 40 procent van de sites accepteerde alle tien. Een handvol blokkeerde bijna alles, maar struikelde op "abc123."
1800Flowers.com, Fab.com en Match.com hebben het onmiskenbare onderscheid van het accepteren van wachtwoorden van slechts één teken. BestBuy.com was de enige onderzochte site die tien of meer tekens vereist.
De beste en de slechtste
Alleen de website van Apple behaalde een perfecte score van 100 punten. Windows Live van Microsoft behaalde 85 punten, UPS en de Microsoft Store verdienden 75 punten. Target en Kaspersky Lab behaalden 70 punten. Merk op dat dit heel specifiek verwijst naar wachtwoordbeleid op de website van Kaspersky en niets te maken heeft met de beveiligingssoftware van het bedrijf.
Op zoek naar de liefde? Laten we hopen dat u uw Match.com-wachtwoord niet op andere sites gebruikt. Met -70 punten behaalde Match.com de laagste score van alle geteste sites. Hulu en Overstock scoorden -55, Fab kreeg -50 en een handvol sites, waaronder US Airways en Amazon, scoorden -45.
De gemiddelde score onder alle geteste sites was slechts een haar onder nul, maar het gemiddelde per categorie varieerde enorm. Dating, reizen en beveiliging waren respectievelijk gemiddeld -23, -17 en -5 punten. E-commerce, Social Utilities en Productivity Utilities behaalden positieve scores van respectievelijk 3, 12 en 13 punten. (Hé, beveiligingsbedrijven; werk op uw websites!)
Beleid heeft invloed op wachtwoorden
Misschien wel het meest interessante resultaat kwam door te verwijzen naar de scores van het wachtwoordbeleid met de gemiddelde wachtwoordsterkte op elke site. Met toestemming van gebruikers verzamelt en verzamelt Dashlane niet-persoonlijke gegevens op basis van de wachtwoorden van elke gebruiker. (Niet de wachtwoorden zelf! Alleen de sterkte beoordeling.) Het is niet verrassend dat er een sterke correlatie is tussen de twee scores.
U kunt het volledige rapport bekijken, inclusief precieze details over de testmethode en het advies van Dashlane voor sites die laag scoorden op www.dashlane.com/securityroundup. Klik op onderstaande infographic voor een grotere afbeelding.
