Waarschijnlijk vind je dat hier wel http://en.wikipedia.org/wiki/Password_strength

Zoiets als "predictable password" misschien? Hoewel dat meer "voorspelbaar" betekent komt het feitelijk wel op hetzelfde neer.

Zoeken op "predicatable passwords" levert een behoorlijke lijst hits op. Daar zit vast wat bruikbaars tussen.

Ik denk dat dit niks te maken heeft met de herleidbaarheid van een wachtwoord. We praten in dit geval over een wachtwoord wat logischerwijs in handen kan zijn van entiteiten die daar niet voor bevoegd zijn.

Een wachtwoord heeft een persoonlijk karakter. Een combinatie van gebruikersnaam en wachtwoord is maatregelen om te voorkomen dat bepaalde informatie inzichtelijk wordt voor derde die daar niet voor bevoegd zijn.

Om dit persoonlijk karakter te waarborgen, dient het wachtwoord na de eerste keer inloggen gewijzigd te worden waarna de gebruiker een persoonlijk wachtwoord kan kiezen. Vanaf dat moment is de gebruiker min of meer verantwoordelijk voor het bescherming van zijn of haar persoonlijke inloggegevens.

Wanneer het wachtwoord niet gewijzigd kan worden betekent dat iedereen die jou wachtwoord in handen heeft gehad tot in het oneindige gebruik zou kunnen maken van jou inloggevens. Zo gebeurt het regelmatig dat inloggegevens worden onderschept door derden. In veel gevallen dient men dan ook om een X-aantal dagen zijn of haar wachtwoord te wijzigen om zo de maximale duur van het mogelijke misbruik te beperken tot de geldigheid van de inloggevens.

Als jou verhaal lees kan je conlcuderen dat mogelijk onvoldoende bewustzijn bij webshop-X met betrekking tot IT-security/Informatiebeveiliging. Mogelijk slaan zij zelfs jou wachtwoord nog onbeveiligd op in het database, wat in zou kunnen houden dat iedereen die op welke manier dan ook toegang krijgt tot het database instaat is jou wachtwoord te lezen. Om dit uit te testen kun je de wachtwoord vergeten functie proberen van webshop-X, in veel gevallen krijgt je dan via de Email een link om je wachtwoord te resetten of krijg je een nieuw aangemaakt wachtwoord toegestuurd. In sommige gevallen krijg je echter het wachtwoord wat je eerder gebruikt over de email toegestuurd. Wanneer dit gebeurt slaat webshop-X jou wachtwoord onbeveiligd op in het database.

Wanneer webshop-X jou wachtwoord beveiligd heeft door middel van one-way-hashing is het niet mogelijk om jou oude wachtwoord over de email toe te sturen. Dit komt doordat je een hash nooit terug kunt brengen naar de orgineel ingegeven waarde (in dit geval je wachtwoord) tenzij men één voor één alle mogelijkheden afloopt tot men op dezelfde hash zou uitkomt of te wel een bruteforce aanval op de hash.

Ik hoop dat je wat kan met deze informatie.....

Dank voor je uitgebreide reactie. Helaas zit het zo knullig in elkaar dat het klantnummer de sleutel is naar zijn boekhouding dus is unencrypted en niet wijzigbaar..... Ik heb nog steeds geen mooi overzichtsartikel/blog/watdanook gevonden waarin de verschillende password vulnerabilities worden benoemd. Ook Wikipedia niet.

Een wachtwoord op zich kan geen kwetsbaarheden bevatten. Het is een woord, of beter gezegd een combinatie van tekens die toegang moet geven tot de gegevens van een identiteit (de gebruikers of gebruikersnaam). Het woord zelf kan geen kwetsbaarheden bevatten maar hooguit slecht gekozen zijn doordat het voor de handliggend is.

Voor de handliggend is relatief en dus breed interpreteerbaar. Dit kunnen wachtwoorden zijn zoals; voornaam, achternaam, postcode, telefoonnummer, naam vriend(in), naam kinderen, hobby's enz. enz.
Daarnaast kunnen dit ook wachtwoorden zijn die vaak gebruikt worden, zoals wachtwoorden die gebruikt worden bij out-off-the-box configuraties. Denk aan combinaties zoals gebruikersnaam= admin en password= admin. Daarnaast heb je ook nog voor de handliggende wachtwoorden die bekend zijn geworden middels onderzoeksdata, denk hierbij aan populaire woorden of tekencombinaties; sex,love ,drugs, qwerty,123456, test enz. enz.

Echter kunnen er wel kwetsbaarheden aanwezig zijn op de wijze waarop wachtwoord beveiliging is geimplementeerd. Je moet hierbij denken aan bijv. SQL injectie op de inlogvelden van een applicatie. Bij misbruik van een dergelijke kwetsbaarheid kan een gebruiker toegang krijgen tot de applicatie zonder dat hij of zij daarbij geldig inlogegevens hoeft in te voeren. In dit geval spreken we over een kwetsbaarheid, niet in het wachtwoord, maar in het wijze waarop wachtwoordbeveiliging is geimplementeerd.

SQL injectie is een veel voorkomende fout maar zo zijn er nog tal van technieken om programmeerfouten te misbruiken en daarbij o.a. wachtwoord beveiliging te omzeilen. Om de doeltreffendheid van wachtwoordbeveiliging te verbeteren en bepaalde aanvallen minder aantrekkelijk maken kunnen extra maatregelen worden getroffen.

De essentie is dat het vaak niet het belangrijkste is om beveiligingsmaatregelen te nemen, maar hoe je deze implementeerd en hoe je hier mee om gaat. Inzake jou verhaal is de keuze van wachtwoord beveiliging een logische keuze, alleen is deze totaal verkeerd geimplementeerd.

Ik vermoed dat het hier om een user/password combinatie gaat, waardoor je als nieuwe klant onmiddelijk kan zien hoe het wachtwoord voor andere klanten wordt gegenereerd. Voorbeeldje:

User: 12345
Password: secret-12345

Als je vervolgens probeert in te loggen als user 12346 met wachtwoord secret-12346 en het werkt, denk ik wel dat je kan aannemen dat de 12344 klanten voor je ook met een vergelijkbare substitutie te "kraken" zijn.

Wat hier vaak het beste werkt is via een gerenommeerde journalist die publiceert bij de klantenkring van de winkel in kwestie het probleem neer te leggen. In Nederland is Brenno de Winter een bekende, maar ook Tweakers en diverse publieke omroepen willen nog wel eens meedoen aan zo'n soort constructie. Op het moment dat de journalist duidelijk maakt dat er gepubliceerd gaat worden, of het lek nou gedicht wordt of niet, zal de eigenaar van de webwinkel meestal wel maatregelen nemen om het probleem op te lossen. Zelf gaan "chanteren" kan je beter niet gaan doen. Dat kan aanklachten wegens computervredebreuk opleveren, hoe goed bedoeld het ook is.

Omdat dit klaarblijkelijk om een Engelstalige website gaat, denk ik dat je het beste ook een Engelstalige journalist kan zoeken. Je kan zelf ongetwijfeld wel een website/nieuwsclub vinden die vaker over de branche waar de webshop in opereert heeft geschreven, of in ieder geval over beveiliging in het land waar de webshop is gevestigd. Meestal is goede ITkennis bij de journalist belangrijker dan kennis van de branche, maar het mooiste zou zijn als je allebei hebt.