'Sorry, je wachtwoord mag maximaal 15 tekens bevatten.' Het is een foutmelding die pijn doet aan de ogen van beveiligingsonderzoeker Rickey Gevers: "Een maximumlengte voor je wachtwoord is niet veilig."
Veel bedrijven hanteren een karakterlimiet voor het wachtwoord, waaronder ING, KLM, PayPal, Nespresso en Vodafone.
Gemakkelijker te kraken
Dat is op twee punten een slechte zaak vindt Gevers. Gebruikers worden allereerst geforceerd om kortere wachtwoorden te gebruiken dan ze misschien gewend zijn. Ten tweede kunnen kortere wachtwoorden veel makkelijker worden gekraakt dan langere wachtwoorden.
Simpel gezegd: al zou je een lang en sterk wachtwoord hebben, dan is deze te lang om te gebruiken bij die bedrijven. En als je wachtwoord in versleutelde vorm worden buitgemaakt door hackers, wat al gebeurde bij LinkedIn, Yahoo en Dropbox, dan zijn de wachtwoorden veel makkelijker te kraken.
Oude systemen
ING en PayPal hanteren beide een maximumlengte van 20 tekens. Bij Nespresso en Vodafone is het limiet 15 tekens. KLM maakt het wel heel bont: daar kun je zelfs inloggen met enkel een viercijferige pincode.
"Er is echt geen excuus voor het feit dat bedrijven een limiet stellen aan een wachtwoord", zegt Gevers. "De enige reden die ik kan bedenken waarom er nog steeds een maximumlengte wordt gehanteerd, is dat de bedrijven nog hele oude systemen gebruiken. En dan heb ik het echt over meer dan tien jaar oud."
Dat zit zo: wachtwoorden worden normaal gesproken omgezet tot een hash, een soort lange code. Oude systemen ondersteunen enkel specifieke hashes. Door lange wachtwoorden te gebruiken krijg je een hash die niet goed samenwerkt met deze oude systemen.
Volgers Gevers moeten gebruikers de keuze hebben om een wachtwoord te gebruiken met een lengte die ze zelf willen, of die nu bestaat uit 30 of 100 tekens.
Geen reactie
Al jaren wordt er geklaagd over de korte maximumlengte van een wachtwoord. In 2011 schreef een PayPal-gebruiker al dat 20 karakters niet lang genoeg is om een veilig wachtwoord te kiezen.
RTL Z vroeg de bedrijven waarom ze een maximumlengte voor het wachtwoord gebruiken en of ze dat veilig genoeg vinden. KLM zegt zijn inlogsystemen 'constant tegen het licht te houden', maar reageert niet op de vragen.
Nespresso wil eerst 'de strekking van het verhaal weten' voordat het antwoord geeft op vragen. ING, PayPal en Vodafone hebben nog niet gereageerd.
Tips voor een veilig wachtwoord
Neem allereerst een wachtwoordbeheerder. Met een wachtwoordbeheerder hoef je maar één wachtwoord te onthouden om toegang te krijgen tot al je andere wachtwoorden. LastPass heeft de meeste functies, 1Password het mooiste design en KeePass is het veiligst.
Je kunt jezelf ook beschermen door tweestapsverificatie in te schakelen. Dit houdt in dat elke keer als je inlogt met je e-mailadres en wachtwoord, je ook nog een code moet invoeren. Deze ontvang je op je telefoon.
Tweestapsverificatie is beschikbaar bij onder andere Apple, Google, Facebook, Twitter en Dropbox.
Lees op rtlz.nl
Zo beveilig je jouw online accounts
