Plain Text Offenders

plaintextoffenders.com is een ‘name and shame’-website voor websites die wachtwoorden als platte tekst opslaan. Met als doel om bewustzijn te creëren zodat deze websites hun manier van met wachtwoorden omgaan aanpassen naar een veiligere manier.

Het probleem met websites die wachtwoorden als platte tekst opslaan.

Wanneer websites wachtwoorden als platte tekst opslaan, betekent dit dat ergens bij hen, in een database, jouw wachtwoord leesbaar opgeslagen staat. Al heb je het sterkste wachtwoord ooit bedacht, je hebt er weinig aan wanneer het leesbaar staat opgeslagen. Mocht het geval zich voordoen dat de website wordt gehackt, dan heeft iemand jouw wachtwoord. Een wachtwoord wat veel mensen vaker gebruiken op andere websites of zelfs voor hun e-mail. En de website zelf hoeft niet per se gehackt te worden, maar misschien wel de back-up van de website, waar dan nog steeds je wachtwoord leesbaar in staat.

Wanneer websites juist met wachtwoorden omgaan en dus nergens als platte tekst opslaan heeft bij een eventuele hack van zo’n website de hacker nog steeds niet je wachtwoord.

Maar als ik mijn wachtwoord vergeet vind ik het handig dat een website mij deze opnieuw toe stuurt.

Nee, nee en nog eens nee. Naast dat je leesbare wachtwoord op de server van de website staat, zou in dit geval ook nog je wachtwoord per mail over meerdere (mail)servers gaan om bij jou uit te komen. Nog meer plekken waar een eventuele hacker jouw leesbare wachtwoord vandaan zou kunnen halen.

De enige goede manier die een website in dit geval zou kunnen gebruiken is een wachtwoord-reset functionaliteit. Hierbij krijg je een mailtje met een unieke link, die maar een korte periode geldig is om je wachtwoord te resetten. Met deze link kom je op een pagina waar je direct je wachtwoord kan veranderen om daarna weer in te kunnen loggen met je nieuwe wachtwoord. Daarna zou je dan ook een e-mail moeten ontvangen van de website waarin staat dat je wachtwoord is gewijzigd. Dit om er zeker van te zijn dat er geen misbruik van deze functionaliteit wordt gemaakt.

Maar als de website mijn wachtwoord niet mag onthouden, hoe weet hij dat dat ik het juiste wachtwoord gebruik om in te loggen?

Zonder hier al te technisch op in te gaan: Bij het aanmaken van je wachtwoord slaat de website een representatie van je wachtwoord op en niet het wachtwoord zelf. Wanneer je later je wachtwoord gebruikt om in te loggen, gebruikt de website hetzelfde mechanisme om van je ingevoerde wachtwoord weer een representatie te maken om te controleren of deze overeenkomt met de representatie die eerder is opgeslagen.

Wat kan ik zelf doen om mijzelf te beschermen?

Een logisch, leesbaar wachtwoord als je eigen geboortedatum, naam van je hond, je kinderen of een bestaand woord zijn makkelijk te onthouden. Maar daardoor ook makkelijk te raden door eventuele kwaadwillenden.

Gebruik dus een sterk wachtwoord en voor elke website een uniek wachtwoord. Alleen hebben veel mensen al snel 10, 20, 30 of misschien wel meer accounts bij verschillende websites. Voor al deze websites een sterk uniek wachtwoord verzinnen en onthouden is niet te doen. Een wachtwoord manager als 1password of LastPass kan je hierbij helpen.

Deze programma’s kunnen sterke wachtwoorden genereren om te gebruiken en voor elke website onthouden. Je wachtwoorden worden in je wachtwoord manager beveiligd opgeslagen en met één hoofdwachtwoord kan je ze opvragen. Zo hoef je zelf maar één wachtwoord te onthouden, maar heb je wel voor elke website een uniek wachtwoord.

Eén klein nadeel, wanneer je je hoofdwachtwoord kwijt bent, kun je niet meer bij je andere wachtwoorden. Maar dan kun je wel meteen testen of de websites die je gebruikt een goede wachtwoord-reset functionaliteit hebben.

Eventueel kan je op de website van Plain Text Offenders ook plugins downloaden voor Chrome of Firefox die je waarschuwen wanneer je een website bezoekt die bekend staat wachtwoorden als platte tekst op te slaan.


Dit bericht verscheen eerder op het blog van RAAK: https://www.raakbeleving.nl/blog/plain-text-offenders/