Virgin Media heeft een uiterst dubieus wachtwoordbeleid: die moeten tussen de 8 en 10 karakters zijn en alleen letters en cijfers zijn toegestaan. Ook moeten ze nog beginnen met een letter, wat de entropie verder ondermijnd, meldt securitydeskundige Paul Moore.

Maar daarmee is de ellende nog niet ten einde. Want de provider laat niet zomaar alle zwakke wachtwoorden toe. Een lijst van woorden mag niet, zoals 'welcome', abc123' en 'password' en tientallen scheldwoorden, waaronder een aantal typisch Britse juweeltjes.

Twee scenario's: beide zorgelijk

Nu is de grote vraag: waarom? Slaat Virgin soms de wachtwoorden plaintext op en wil ze op deze manier de database maagdelijk houden? Dat ontkent de isp. Iemand suggereert dat het is om mogelijke belediging van helpdeskmedewerkers te voorkomen als die klanten om hun wachtwoord vragen, meldt Security.nl. Maar een helpdesk die om wachtwoorden vraagt...