Zowel websites als gebruikers gaan onveilig om met wachtwoorden, waardoor aanvallers toegang tot vertrouwelijke gegevens op andere websites kunnen krijgen, zo stellen twee onderzoekers. Volgens Joseph Bonneau en Soren Preibusch worden wachtwoorden nog altijd veel gebruikt op het web, ondanks het feit dat onderzoekers al dertig jaar problemen met het mechanisme aantonen. Ondanks allerlei voorstellen om de veiligheid te verbeteren, hanteren de meeste websites gewoon nog een gebruikersnaam en wachtwoord.

"Het is duidelijk dat beveiligingsonderzoekers hebben gefaald in het begrijpen van de prikkel in de markt voor wachtwoord-gebaseerde authenticatie", zo is in het onderzoek "The password thicket: technical and market failures in human authentication on the web", te lezen. Veel gebruikers kiezen eenvoudig te raden wachtwoorden, schrijven ze op, delen ze met vrienden, wijzigen ze zelden, maar vergeten ze regelmatig. Gemiddeld wordt een wachtwoord op vijf websites hergebruikt. Dat is geen gebrek aan bewustzijn, aldus de twee onderzoekers. Veel consumenten vinden hun veiligheid belangrijk, maar vinden dat ze teveel accounts en wachtwoorden moeten beheren.

Onthouden
Een gemiddelde gebruiker beschikt over 25 verschillende wachtwoord accounts. De reden om wachtwoorden te hergebruiken, is omdat gebruikers zeggen er niet meer te kunnen onthouden. Uit verkeersgegevens blijkt dat meer dan 1% van alle Yahoo-gebruikers in een gegeven maand zijn of haar wachtwoord vergeet. Uit ander onderzoek blijkt dat gebruikers een kwart van de wachtwoorden voor websites waar ze zich hebben geregistreerd vergeten. En dat is een serieus risico, omdat veel hergebruikte wachtwoorden toegang tot belangrijke accounts geven.

Vorig jaar wist een aanvaller 32 miljoen e-mailadressen en wachtwoorden van RockYou te stelen. Tien procent van die inloggegevens gaven direct toegang tot PayPal accounts.

Maatregelen
Het zijn niet alleen de gebruikers die er een potje van maken, ook de websites gaan niet vrijuit, zo uit de 150 websites die Bonneau en Preibusch onderzochten. Bij veel sites is er sprake van "dubieuze ontwerpkeuzes, inconsistenties en onmiskenbare fouten." Verder geeft 78% van de websites geen feedback of advies over het kiezen van een sterk wachtwoord. Slechts vijf van de websites gaven gebruikers een wachtwoord hint, iets wat gebruikers aanmoedigt om sterkere wachtwoorden te kiezen. Zeven websites vereisten gebruikers om cijfers en letters te combineren, en slechts twee sites eisten het gebruik van non-alfanumerieke karakters.

Verder worden wachtwoorden vaak in platte tekst verstuurd en laten websites een oneindig aantal pogingen toe om een wachtwoord te raden. Tekenen dat de meeste websites geen moeite doen om het raden van wachtwoorden tegen te gaan. Verder gebruikt de helft van de websites geen SSL bij het inloggen, stuurt 29% van de websites de wachtwoorden per e-mail en in platte tekst, en is het bij 83% mogelijk om oneindig gebruikersnamen te raden, terwijl 84% dit met wachtwoorden toestaat. Met name contentsites, zoals krantensites, komen erg slecht uit het onderzoek, aangezien die in veel gevallen geen vertrouwelijke informatie opslaan. Websites die betaalgegevens verwerken beschikken vaak over betere beveiligingsmaatregelen.

Belasting
"Gegeven de dreiging van cross-domein wachwoordaanvallen, hebben onveilige websites die wachtwoorden verzamelen de potentie om voorzichtige websites te belasten. Specifieke regelgeving om slechte beveiligingsmaatregelen te verbieden kan helpen, maar oplossingen hebben misschien strengere regelgeving nodig, zoals een wachtwoordbelasting of grotere aansprakelijkheid, om websites het gebruik van met wachtwoord beveiligde accounts te ontmoedigen als ze hier geen zakelijke reden voor hebben en tevens zo het gebruik van een gedelegeerd protocol als OpenID aan te moedigen." Lees het hele rapport.