Een derde van de websites met een inlogmogelijkheid stelt veel te lage eisen bij het maken van een wachtwoord, zo blijkt uit een steekproef. Sites zoals coolblue.nl en hema.nl staan korte, makkelijk te raden wachtwoorden toe. Onlinevideodienst Netflix accepteert wachtwoorden van vier tekens en gebruikers van muziekstreamingsdienst Spotify kunnen zelfs een wachtwoord van slechts twee tekens kiezen. De fotografiewebshop cameranu.nl spande de kroon. Daar mocht een wachtwoord uit slechts één teken bestaan. Ondertussen heeft de website dat veranderd.

Uit de steekproef blijkt verder dat 11 procent van de websites een matig wachtwoord toestaat. Zij accepteren voorspelbare wachtwoorden zoals hallo123. Ook de Consumentenbond zelf laat zwakke wachtwoorden toe.

123456

Veel mensen kiezen een makkelijk wachtwoord. Dat blijkt uit een lijst van de honderd meest gebruikte wachtwoorden in 2017 die het Amerikaanse beveiligingsbedrijf SplashData opstelde. Het meest gebruikte wachtwoord is 123456. Password, 12345678, qwerty en 12345 staan op plek twee tot vijf.

De helft van de sites maakt het te moeilijk om een goed wachtwoord te kiezen, zegt de Consumentenbond. Daar waren combinaties die haast onmogelijk te gokken zijn, zoals a*@GH#dgj$%d en nf33avb4!r#9v, niet goed genoeg. Dat maakt het heel moeilijk om een wachtwoord te bedenken en te onthouden.

Wachtzin

Er zijn maar weinig websites die aangeven hoe sterk een wachtwoord is. Slechts 27 van de onderzochte websites heeft zo’n ”wachtwoordmeter”.

Een op de vijf sites staat geen wachtzin toe. De Consumentenbond testte of ”fietsmeteengoedepompiszohandig” werd geaccepteerd. Zo’n zin is volgens de bond veilig én te onthouden.

Wachtwoorden moeten niet te makkelijk en voorspelbaar zijn, omdat hackers ze via zogeheten ”brute force”-aanvallen steeds sneller kunnen achterhalen. Hackers geven een speciaal programma dan opdracht om soms wel honderdduizenden potentiële wachtwoorden achter elkaar te proberen, tot het lukt om in te loggen. Van de 37 onderzochte sites waren er 9 kwetsbaar voor deze aanvallen.

Achttien onderzochte sites doen het volgens de bond wel goed op het gebied van wachtwoordsterkte. Dat zijn veelgebruikte sites als bol.com, Facebook en Gmail.