ING adviseert gebruikers op zijn site gebruik te maken van zogenaamde "case sensitive" wachtwoorden, wachtwoorden waarin kleine letters en hoofdletters door elkaar worden gebruikt. Of zoals de bank het zelf adviseert: " Gebruik hoofdletters, kleine letters, cijfers en symbolen door elkaar." (screenshot)

Een lezer van Webwereld merkt op dat dit niet het geval is, en vraagt zich verbaasd af hoe veilig de inlog van zijn bank is. Ook uit controle van Webwereld blijkt dat het niet uitmaakt of een gebruiker bijvoorbeeld het wachtwoord "WeBWeReLd1!" gebruikt. Als hij "webwereld1!" invoert, met enkel kleine letters dus, komt hij ook binnen. Hoewel dit volgens Frank van Vliet, beveiligingsexpert bij Certified Secure, "slordig" is zit daar wat hem betreft de pijn niet.

Factor 2 per teken onveiliger

"Als je kijkt naar de beveiliging die het gebruik van hoofdletters in een wachtwoord toevoegt is het een factor twee per teken", legt Van Vliet uit. Bij 8 tekens is een case sensitive wachtwoord dus 256 keer veiliger.

Maar Van Vliet relativeert: "Ter vergelijking: als je een extra teken toevoegt aan je wachtwoord wordt het een factor 40 veiliger. Als ik gewoon technisch kijk heeft het dus zeker wel invloed, maar is het minimaal."

De onregelmatigheid in hoofdlettergevoeligheid zit al een tijd in het systeem van ING. Op het forum van Fok werd dit bijvoorbeeld in juni 2009 opgemerkt dat de wachtwoorden voor het inloggen bij mijn.ing.nl niet hoofdlettergevoelig zijn. Uit een test van Webwereld blijkt dat de gebruikersnaam in tegenstelling tot het wachtwoord wel gevoelig is voor hoofdlettergebruik.

Wachtwoorden sowieso slecht idee

"Ik vind wachtwoorden sowieso een slecht idee voor het inloggen bij banken", aldus Van Vliet. Dit vooral omdat mensen zelf vaak veel te eenvoudige wachtwoorden kiezen. Hij ziet zelf liever een zogenaamde tweefactor-authenticatie, waarbij klanten voor het inloggen gebruik maken van een calculator. Zo moet de gebruiker dus de bankpas plus pincode plus calculator bij de hand hebben om in te loggen. Bij alle andere grote Nederlandse banken wordt dit systeem gebruikt.

Van ING, die wel vasthoudt aan een wachtwoordensysteem, moeten gebruikers een wachtwoord kiezen dat bestaat uit minimaal 8 tekens en maximaal 18 tekens, het moet minimaal 1 cijfer en 1 letter bevatten. Verder adviseert de bank een zin te nemen van minimaal 8 woorden en als wachtwoord de eerste letters van die woorden te gebruiken en dit te combineren met cijfers en leestekens. Verder mag het wachtwoord niet overeen komen met de inlognaam. Via een wachtwoord komen de gebruikers op de internetbankiermodule terecht waar er een rekeningenoverzicht te zien is. Na drie keer een foute invoer wordt de toegang tot de site geblokkeerd. Voor overboekingen is een zogenaamde TAN-code nodig die wordt ontvangen per sms.

Wachtzinnen veel veiliger

"Ik vind het heel goed dat ze in ieder geval die TAN-codes gebruiken als extra beveiliging", zegt Van Vliet. "Maar eigenlijk zijn wachtwoorden niet meer van deze tijd." Volgens hem is het veel verstandiger om te werken met zogenaamde "wachtzinnen". "Als je een goed wachtwoord kiest met een zinnetje is de beveiliging zodanig dat je er bijvoorbeeld duizend jaar mee bezig bent om van een versleutelde versie in de database terug te rekenen naar wat het wachtwoord was. En duizend jaar is toch best een acceptabele tijd."

Zo is volgens Van Vliet een zin als "liesjeleerdelotjelopenlangsdelangelindelaan" veel veiliger dan een hoofdlettergevoelig wachtwoord als "5%7*&())xY" en is een dergelijke zin makkelijker te onthouden. Het liefst wordt dan ook nog gekozen voor een iets minder bekende zin als bijvoorbeeld "alsiknaarbuitenkijkishetmooiweer". "Die is echt makkelijk te onthouden, en de beveiliging van die zin is vele malen beter dan als je een willekeurig wachtwoord van 9 verschillende tekens met hoofdletters, kleine letters, cijfers en rare tekens zou moeten onthouden."

Site aanpassen

Volgens Van Vliet is een wachtwoord van 8 tekens "redelijk snel gekraakt". Dat gaat in tegenstelling tot het kraken van wachtzinnen eerder om maanden dan om 500 tot 1000 jaar. Een factor twee betere beveiliging door hoofdlettergevoeligheid is dus niet echt interessant. "Dat is nog steeds niet de beveiliging die je wil hebben. Je wil een factor 'jaren' hebben, dan wordt het interessant voor beveiliging", zegt Van Vliet. "Mijn eigen wachtwoorden bestaan uit zinnetjes met kleine letters zonder spaties. Dat zijn gewoon zoveel tekens, daarmee zorg je er voor dat niemand dat kan kraken." Of in ieder geval duurt dat kraken op dit moment zo lang dat het oninteressant wordt voor kwaadwillenden.

Een woordvoerder van ING erkent na vragen van Webwereld dat het vreemd is om op de site te adviseren wachtwoorden met grote en kleine letters te gebruiken als daar vervolgens niets mee gebeurt. "Dat is gewoon raar, dat gaan we aanpassen", zegt hij.

Verder legt hij uit dat ING er "alle belang bij heeft" dat het veilig is. De bank zegt er zelf alles aan te doen om aan de eisen van de gebruiker en aan de eisen van de Nederlandse Bank te voldoen. "Maar goed je maakt een afweging tussen beveiliging en gebruiksgemak. En dat is waarom we bepaalde keuzes maken", legt de zegsman uit. "En er zit hier een team van experts dat daar dagelijks mee bezig is." Bovendien zegt hij: "Ik ben zelf ING klant en ook ontzettend blij met het systeem."

Verder wijst hij erop dat de experts van ING een andere conclusie hebben getrokken over het gebruik van inlognaam en wachtwoord ten faveure van tweefactor-authenticatie dan andere experts. Zoals vandaag en vorige week onafhankelijk door verschillende experts werd aanbevolen boven het gebruik van wachtwoord en inlognaam. Waarom er ooit is gekozen om de gebruikersnaam wel hoofdlettergevoelig te maken en het wachtwoord niet, blijft onduidelijk. "Daar hebben we destijds voor gekozen", aldus de zegsman.