Hotmail negeert stiekem lange wachtwoorden

Door: | 25 september 2012 16:09

Nieuws

Hotmail-gebruikers kunnen maximaal 16 tekens gebruiken voor een wachtwoord, maar de e-maildienst hield dit beleid voor zich. Lange wachtwoorden konden wel worden ingevoerd, maar werden ingekort.

Hotmail-gebruikers kunnen maximaal 16 tekens invoeren, zo blijkt uit een nieuwe melding die Hotmail sinds kort vertoond bij het invoeren van een lang wachtwoord. Volgens beveiligingsbedrijf Kaspersky is dit geen nieuwe maatregel, maar worden al jaren alle tekens na de zestiende simpelweg genegeerd door de e-maildienst.

Lange wachtwoorden afgekapt

Kaspersky-onderzoeker Costin Raiu gebruikt een passphrase in plaats van wachtwoord om deze te beschermen tegen kraakpogingen. Zo kwam hij de 'nieuwe' Microsoft-maatregel tegen in een melding bij het wachtwoordvenster. Maar om de wachtwoordinkorting te bewerkstelligen, werden langere wachtwoorden gewoon afgekapt.

"Microsoft had twee keuzes: de wachtwoorden in platte tekst opslaan om de eerste 16 tekens te kunnen vergelijken, of de hash te berekenen van de eerste 16 tekens en de rest te negeren", aldus Raiu. De eerste optie zou een enorm veiligheidsrisco inhouden en de tweede betekent volgens de onderzoeker dat Hotmail al sinds het begin van de dienst alleen 16 tekens gebruikt. "Ik weet eigenlijk niet welke optie erger is", schrijft de deskundige van Kaspersky.

Lange wachtwoorden helpen niet

Dat Hotmail maximaal 16 tekens toestaat was al langer bekend, maar onderzoekers zijn verrast dat alle tekens na de zestiende in het verleden wel werden opgepikt, maar dat er niks mee werd gedaan. Het volstond dus om de eerste 16 tekens van een complexe passphrase in te vullen.

Microsoft vertelt Ars Technica dat de ophef over de beperkingen een storm in een glas water is. "Ons onderzoek wijst uit dat unieke wachtwoorden belangrijker zijn dan lange." De softwaregigant wijst erop dat de meeste wachtwoorden worden opgevangen door phishing, malware en het recyclen van hetzelfde wachtwoord. "Lange wachtwoorden helpen daar niet tegen", aldus Microsoft.

200 tekens

Onderzoeker Graham Cluley van beveiligingsbedrijf Sophos vergeleek al eerder het wachtwoordbeleid van e-maildiensten en wees toen al op de lage beveiligingsgraad van Outlook.com en diens voorganger Hotmail. Concurrent Yahoo staat maximaal 32 tekens toe en bij Gmail zijn 200 tekens toegestaan.

Bron: Webwereld.nl