Driekwart van de populairste websites op internet staat zwakke wachtwoorden toe zoals 12345678, abc123456 en P@$$w0rd. Daarnaast belast bijna de helft van deze sites gebruikers door een speciaal karakter in hun wachtwoord te verplichten. Dat blijkt uit onderzoek van de Princeton University naar het wachtwoordbeleid van populaire websites.

Voor het onderzoek keken de onderzoekers of de 120 populairste Engelstalige websites op internet zich aan best practices voor wachtwoorden houden. Het gaat dan om het blokkeren van zwakke wachtwoorden die in datalekken voorkomen of eenvoudig zijn te raden, het gebruik van een sterktemeter om gebruikers real-time feedback te geven over de sterkte van hun wachtwoord en het niet dwingen van gebruikers om speciale karaktertypes in hun wachtwoord te gebruiken. Slechts 15 van de 120 onderzochte topsites, waaronder Google, Adobe, Twitch, GitHub en Grammarly, blijken deze best practices te volgen.

De onderzoekers maakten onder andere gebruik van een lijst met de veertig meest gelekte wachtwoorden. Zo staat de helft van de websites het gebruik van alle veertig zwakke wachtwoorden toe en nog eens negentien sites staan meer dan de helft van deze wachtwoorden toe. Verder maken slechts 23 van de 120 websites gebruik van een sterktemeter en verplicht meer dan de helft het gebruik van bepaalde karakters, zoals speciale karakters en cijfers.

Uit andere onderzoeken blijkt dat het verplichten van langere wachtwoorden en juist geen specifieke karakters te verplichten voor sterkere wachtwoorden zorgt. Het Amerikaanse National Institute of Standards and Technology, een Amerikaanse organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, adviseert websites om gebruikers geen bepaalde karakters in hun wachtwoorden te verplichten.

Aangezien wachtwoorden nog altijd een belangrijke rol spelen bij het inloggen op accounts adviseren de onderzoekers websites dan ook om zich te richten op de veiligheid en bruikbaarheid van wachtwoorden. Zo moeten websites zwakke wachtwoorden beter blokkeren, gedateerd wachtwoordbeleid met specifieke karakters afschaffen en verkeerd geconfigureerde sterktemeters aanpassen. "Wachtwoorden zijn uitdrukkelijk onderzocht, maar slechts weinig websites hebben wachtwoordbeleid geïmplementeerd dat de geleerde lessen weergeeft", zegt onderzoeker Kevin Lee.