Password fail: Evides

Het is zover, ik ben er helemaal klaar mee. In de afgelopen jaren heb ik zeer regelmatig een mail naar de klantenservice van verschillende partijen gestuurd over dit soort fouten, maar daarop kreeg ik nooit een reactie. Gezien dramavoetbal, soms gefaciliteerd door "social media", soms door "nieuws", tegenwoordig blijkbaar beter werkt, kan ik net zo goed hierover bloggen. Misschien dat iedereen hiervan kan leren en we uiteindelijk betere en vooral veiligere systemen krijgen.

Vandaag heb ik een account aangemaakt bij Evides en zag ik deze prachtige meldingen onderin:

/img/posts/2017/10/25-password-fail-evides/evides.nl.thumbnail.jpg

De fouten die direct zichtbaar zijn:

  • Maximaal 20 tekens
  • Niet toegestane karakters: # % en €
  • Gebruik geen ! of ? aan het begin van het wachtwoord

Iets zegt me dat ze uitdagingen hebben met input validation en dat de wachtwoorden in platte tekst ergens opgeslagen worden (de security enthousiasten onder ons zullen dit herkennen).

Een extra (zeer vervelende fout) is dat blijkbaar kopieren en plakken van het wachtwoord niet werkt bij het herhalen van het wachtwoord. Zeer onpraktisch (en onveilig) als je een wachtwoord manager gebruikt.