Mange websteder stiller for få krav til passwords

Brugere kan anvende svage passwords på en række websteder.

Graf over politikker for passwords på webstederPassword-managerfirmaet Dashlane har analyseret password-politikkerne hos 37 forbruger-rettede og 11 virksomhedsorienterede websteder. Dashlane har undersøgt, om webstederne overholder fem krav:

  1. Et password skal være på mindst otte tegn.
  2. Et password skal bestå af en kombination af bogstaver, tal og specialtegn.
  3. Webstedet skal vise brugeren en vurdering af, hvor stærkt brugerens password er.
  4. Webstedet må højst tillade ni mislykkede forsøg på login. Derefter skal det gennemtvinge en sikkerhedskontrol, fx ved at spærre for flere forsøg, kræve en CAPTCHA-kode (Completely Automated Public Turing test to tell Computers and Humans Apart) eller kræve to-faktor-autentifikation.
  5. Webstedet skal understøtte to-faktor-autentifikation.

Kun et forbrugerrettet websted, GoDaddy, overholdt alle kravene. Fire overholdt ingen af dem: Netflix, Pandora, Spotify og Uber.

Hvis et password er på under otte tegn, kan angribere let knække det i et brute force-angreb. For at øge sikkerheden anbefaler Dashlane passwords på 12-15 tegn.