Het onderschepte nieuwe wachtwoord bleek op alleen het laatste karakter na identiek te zijn aan het oude wachtwoord.

Precies dat heb ik ook altijd gedaan als ik daar door idioten toe gedwongen werd.Ik ben namelijk een mens, en mijn verstandelijke vermogens zijn veel te beperkt om elke paar maanden een uniek, nieuw, sterk enwachtwoord te kunnen onthouden (omdat ik nog geen toegang heb tot een wachtwoordmanager voordat ik ingelogd ben).Bovendien komt zo'n wijzigingsverzoek op een moment dat totaal niet uitkomt of erger, vóór de koffie.Last but not least leidt dit tot gevaarlijke helpdesk-calls, want mensendat soort wachtwoorden (vooral na terugkeer van vakantie). Gevaarlijk, want bij grotere organisaties (zoals typisch bij de overheid) heeft de helpdeskmedewerkerofhet ben die belt waarna ze mijn wachtwoord "tijdelijk" opzetten.Idioten.Fix: check ingevoerde wachtwoorden op sterkte, bij voorkeur elke keer bij invoeren. Die check moet in elk geval bestaan uit het vergelijken van (fragmenten van) het wachtwoord met (fragmenten van) woorden uit lange dictionaries met daarin ooit gelekte en typische (voor de specifieke organisatie) wachtwoorden. Zie https://tweakers.net/plan/3806/#r_18289856 voor wat een zwak en wat een sterk wachtwoord is.En hou op met mensen te dwingen omhun persoonlijke wachtwoorden te wijzigen; dat werkt averechts.Uitzonderingen:• Onvermijdelijkwachtwoorden (ook WiFi)• Na een (mogelijke) compromittering.Ook aardig: https://www.cryptool.org/en/cto/password-meter maar op internet zou ikeen tekst delen dieeen van mijn echte wachtwoorden, bij voorkeur met dezelfde methode bedacht/gegenereerd is (zie ook https://tweakers.net/nieuws/204814/#r_18286266 ).