In een nogal ironische gang van zaken gebruiken meer dan 350 miljoen mensen die rekeningen hebben bij grote Amerikaanse bankbedrijven wachtwoorden die zwakker zijn dan de wachtwoorden die ze gebruiken voor hun sociale media-accounts.
Onderzoekers van de University of New Haven Cyber Forensics Research and Education Group onderzochten de sterkte van wachtwoorden die worden gebruikt door klanten van grote Amerikaanse banken zoals Wells Fargo, Capital One, Citibank, Chase Bank, Webster First Federal Credit Union en BB&T. Uit het onderzoek bleek dat die wachtwoorden aanzienlijk zwak waren, waardoor mogelijk honderden miljoenen bankklanten werden getroffen.
Het is moeilijk te geloven dat mensen meer bezig zijn met het versterken van hun sociale media-accounts dan met het versterken van hun bankgegevens, dankzij het slechte wachtwoordbeleid van deze banken.
Een van de zwakke punten die zijn ontdekt in het wachtwoordbeleid van die banken, is dat de inlogpagina’s van de website geen onderscheid tussen hoofdletters en kleine letters vereisen. Doorgaans moeten gebruikers hoofdletters en kleine letters gebruiken om de beveiliging van hun accounts te versterken. Daarnaast zijn er ook symbolen en cijfers nodig voor extra veiligheid.
Door geen ondersteuning te hebben voor hoofdlettergevoelige wachtwoorden, maken die banken de online accounts van hun klanten minder veilig dan bijvoorbeeld Facebook en Twitter. De banken in kwestie maken het voor aanvallers ook aanzienlijk gemakkelijker om brute force-aanvallen uit te voeren op klantaccounts, een techniek die het accountwachtwoord door herhaalde en aanhoudende pogingen in korte tijd raadt.
Als een van de grootste banken in de Verenigde Staten, zou het veilig zijn om de hoogste veiligheidsnormen van die bedrijven te verwachten als het gaat om wachtwoordbeleid, vooral voor klanten wiens online veiligheid afhangt van hoe die banken met hun inloggegevens omgaan. Maar de recente bevindingen van de onderzoekers werpen licht op het gebrek aan ernst van banken bij het beschermen van de cyberaccounts van hun klanten.
Ter vergelijking: de tijd die nodig is om een hoofdletterongevoelig wachtwoord te kraken, is korter dan de tijd die nodig is om een hoofdlettergevoelig wachtwoord te raden, waardoor de kans kleiner wordt dat aanvallers hun kwaadaardige activiteit uitvoeren.
Wat de respons en klantenservice betreft, reageerden die banken jammerlijk traag op de bezorgdheid van klanten over de veiligheid van hun rekeningen. Sterker nog, volgens de onderzoeker is er nauwelijks een manier om contact op te nemen met deze banken, omdat hun websites geen e-mailadressen of contactnummers bevatten om feedback van klanten te ontvangen.
