Kies een wachtwoord van minimaal zes tekens bestaande uit een hoofdletter, een cijfer, of een leesteken, waarbij u geen gebruik kunt maken van /, ], [ of *. Dit is vaak een goedbedoeld advies aan de klant die een account aan gaat maken in uw webwinkel. Immers, u wilt de klant op weg helpen en voorkomen dat er gemakkelijke wachtwoorden gekozen worden. Toch is dit niet de manier om dat te doen.
Huh, het is toch juist goed om zoveel mogelijk vreemde tekens te gebruiken? Dat klopt, echter hoeft u (of uw software) dit niet aan de klant duidelijk te maken. Een dergelijke tekst helpt een kwaadwillende hacker namelijk ook om een wachtwoord gemakkelijker te raden. Hij weet welke tekens er in ieder geval gebruikt moeten worden en welke tekens er niet gebruikt mogen worden.
Hoe moet het dan wel? Stel geen of zo min mogelijk beperkingen aan een wachtwoord! Laat de klant vrij in zijn keuze voor een wachtwoord, waarbij u uiteraard wel kunt verplichten om een wachtwoord van minimaal acht tekens te maken, zoals bijvoorbeeld Microsoft
Als de klant dan zo vrij is om zelf een veilig wachtwoord aan te maken, zorg er dan ook voor dat uw software op een goede en veilige manier met dit wachtwoord omgaat. Het heeft geen zin om de klant te stimuleren tot het aanmaken van een veilig wachtwoord wanneer uw software al deze wachtwoorden onversleuteld opslaat in een database waarvan het standaard wachtwoord nog op ‘admin’ staat.
Verstuur wachtwoorden naar klanten ook nooit per mail. Dat laat namelijk zien dat uw wachtwoorden niet versleuteld opgeslagen worden aangezien u zelf toegang heeft tot het wachtwoord.
Is dat dan erg, dat die wachtwoorden onversleuteld opgeslagen worden? Ja, dat is erg. Ten eerste overtreedt u hiermee de wet. De wachtwoorden worden bijna in alle gevallen gebruikt om persoonsgegevens van uw klanten af te schermen. Op het moment dat u met deze persoonsgegevens omgaat bent u verplicht om maatregelen te treffen tegen verlies en diefstal van die gegevens. Doet u dat niet, dan kunt u in de toekomst wellicht een behoorlijke boete tegemoet zien. De nieuwe privacyregels die vanuit Europa komen geven het College Bescherming Persoonsgegevens straks de bevoegdheid om boetes tot wel € 100.000.000,- op te leggen.
Ten tweede kan een onveilig systeem uw reputatie beschadigen. Niemand wil graag dat zijn webwinkel negatief in het nieuws komt omdat de database met klantgegevens op straat ligt.
