Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Maximaal aantal karakters bij wachtwoord? Maximaal onveilig!

In een tweet kregen wij de vraag of een bedrijf dat een maximumaantal karakters stelt voor de wachtwoorden van zijn online portal, daardoor aansprakelijk zou zijn bij een hack. Nou, dat zit er wel dik in!

Op Twitter kreeg Eneco er door oplettende consumenten van langs omdat het wachtwoord voor de online portal van Eneco niet langer dan 10 karakters mag zijn. Zij kwamen zelf al tot de conclusie dat Eneco daardoor risico loopt op aansprakelijkheid.

vragen consumenten over 10 teken limiet wachtwoorden Eneco

Klik op de afbeelding voor grotere weergave

Wachtwoorden zijn tegenwoordig letterlijk en figuurlijk de sleutel tot jouw persoon. Denk er maar eens over na: bijna alle informatie die over jou bestaat, wordt beveiligd door wachtwoorden. Aan de ene kant zijn dat bijvoorbeeld de wachtwoorden die je zelf invult op een website als je je registreert voor een dienst, maar ook als je bij de gemeente een rijbewijs of iets dergelijks aanvraagt, worden je gegevens ingevoerd in een computersysteem, dat normaal gesproken beveiligd zal zijn met een wachtwoord. (En tegenwoordig misschien nog een tweede factor voor authenticatie.)

Hoe kun je veiliger inloggen op online diensten (met wachtwoorden)?

Hoewel het best lastig kan zijn om voor al die sites en systemen goede, unieke wachtwoorden te verzinnen, is er nog steeds eigenlijk niet echt een betere manier om voor beveiliging te zorgen. Voor biometrische authenticatiemethoden, zoals een scanner voor je vingerafdruk of je irispatroon, heb je speciale hardware nodig, die bovendien eenvoudig voor de gek te houden kan zijn als de aanvaller jouw vingerafdruk of irispatroon heeft kunnen bemachtigen. Een combinatie van een wachtwoord en een tweede factor (biometrisch, smartcard, SMS) kan extra veilig maar ook omslachtig zijn.

Wachtwoorden worden dus nog altijd het meest gebruikt, maar lang niet altijd op een goede manier. Gelukkig is daar tegenwoordig op diverse plaatsen goed advies over te krijgen, zoals bij de Consumentenbond en wachtwoordbewust.nl, of de ‘correct horse battery staple’ cartoon.

password_strength explainxkcd.com

Klik op de afbeelding voor grotere weergave

Bij ieder goed advies geldt de vuistregel: langer is veiliger (zolang je het nog kunt onthouden). Tegen de achtergrond van deze (algemene, of steeds algemener wordende) kennis, is het volstrekt onbegrijpelijk te beweren dat een maximum van 10 karakters is om de kans op misbruik van klantgegevens te verkleinen. Dat vergróót die kans juist, doordat gebruikers minder veilige wachtwoorden kunnen kiezen!

Verplicht om persoonsgegevens passend te beveiligen

Bedrijven die jouw persoonsgegevens bewaren, zijn wettelijk verplicht om deze te beveiligen door ‘passende technische en organisatorische maatregelen’. Een wachtwoord is een technische maatregel, maar een wachtwoordsysteem dat maximaal 10 karakters toelaat, is moeilijk passend te noemen voor de toegang tot het klantenportaal van een energieleverancier.

Als er er dan een hack/datalek plaatsvindt, kun je er wel vanuit gaan dat zo’n bedrijf aansprakelijk is, zelfs als het niet direct duidelijk is of het lek wel is ontstaan door het kraken van het wachtwoord. Sterker nog, zelfs zonder dat er daadwerkelijk een hack is geweest, zou de Autoriteit Persoonsgegevens Eneco ertoe kunnen dwingen om dit aan te passen of zelfs een boete opleggen.

Het is te hopen dat Eneco iets doet met het gratis advies van haar klanten (en van ons), zodat de Autoriteit Persoonsgegevens er niet aan te pas hoeft te komen.

Update 24-5-2016: Eneco heeft laten weten dat ze het aantal tekens korte termijn uitbreiden. Verder geven ze aan dat een Eneco-wachtwoord ook minimaal 8 karakters lang moet zijn. Het maximum van 10 wordt dus opgeheven, mede naar aanleiding van eerdere opmerkingen hierover van hun klanten.

 

Matthijs van Bergen

Directeur Legal ICT

Matthijs van Bergen is directeur van Legal ICT, het internationale label van ICTRecht. Hij bedient vanuit het kantoor van Legal ICT in Brussel, nationale en internationale klanten met juridisch advies.

Matthijs is specialist in het (internationaal) ICT-contractenrecht en intellectueel eigendom, en heeft daarnaast in het bijzonder veel kennis over grondrechtelijke kwesties op internet, zoals netneutraliteit, breedband in buitengebieden, privacy, informatiebeveiliging en vrijheid van meningsuiting.


Er zijn 4 reacties

  1. Goede opmerking Mark. Dit is in principe inderdaad ook van toepassing op interne accounts. Bijvoorbeeld een database met patiëntgegevens beveiligen door een systeem dat maximaal 10 karakters toestaat voor een wachtwoord, is wat mij betreft een grote no-no! Tenzij er via extra factoren toch voor de nodige veiligheid wordt gezorgd, maar dan nog blijft ieder wachtwoordsysteem dat een maximumaantal karakters kent (van minder dan pak ‘m beet 100 karakters), voor mij in principe suspect. Want waarom zou je hier überhaupt een maximum aan willen stellen? Een minimumaantal is daarentegen wel logisch, om te voorkomen dat gebruikers te korte en dus zwakke wachtwoorden kiezen.

  2. Is deze redenatie ook toepasbaar op bedrijven die voor interne accounts een vergelijkbaar beleid hanteren? Met interne accounts bedoel ik dus niet een klantportaal, maar een systeem waar alleen medewerkers op inloggen.

    Zelf zou ik inschatten van wel, aangezien de gevolgen vergelijkbaar of misschien zelfs erger kunnen zijn, maar ik heb geen juridische achtergrond.

  3. In uw artikel stelt u “Bij ieder goed advies geldt de vuistregel: langer is veiliger (zolang je het nog kunt onthouden).”

    Op dat laatst wil ik graag reageren want ik ben het er niet mee eens. Een wachtwoord wat je kunt onthouden is per definitie onveilig omdat je hem dan zou kunnen hergebruiken.

    De enige manier om op dit moment veilig gebruik te maken van sterke en lange wachtwoorden is mbv een wachtwoord-manager. Daarvan worden de inloggegevens lokaal versleuteld en wanneer een premium account hebt ook online opgeslagen voor toepassing op meerdere devices.

    1. Dank voor je input Steven. Een wachtwoordmanager heeft wel als nadeel dat het een SPOF (single point of failure) introfuceert. Is die gecomprimeerd dan ben je inees compleet voor alles de sigaar.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie