De wachtwoorden van leden van een groot deel van de Nederlandse bibliotheken blijken zeer makkelijk te raden. Een groot deel van de biblioteken voorziet leden namelijk niet van een sterk wachtwoord, maar van een pincode welke uit 4 of 6 cijfers bestaat. Hierbij zijn de cijfers gebaseerd op een combinatie van geboortedag, geboortemaand en geboorte jaar. Bij de bibliotheken die kiezen voor een 4 cijferige combinatie van geboortedag en -maand zijn er onder de leden dus slechts 366 verschillende wachtwoorden in gebruik.

Ook de inlognamen van leden zijn voorspelbaar. Dit zijn over het algemeen de pasnummers, die zijn opgebouwd uit het nummer van de bibliotheek (waarin vaak weer het kengetal van de plaats zit, zoals 77 voor Venlo) aangevuld met een oplopend volgnummer voor het lid.

Op een aantal bibliotheekwebsites in Nederland is te zien dat de betreffende bibliotheek deze kwetsbaarheid (vermoedelijk in de aanloop naar de AVG) eind vorig jaar heeft onderkent en (deels) heeft weggenomen. Maar bij vele bibliotheken is dit nog niet het geval. Daarnaast kiezen sommige bibliotheken ervoor om de zwakke pincodes tot de eerste keer wijzigen actief te laten, wat er toe kan leiden dat inloggen met een makkelijk te raden code voor slapende leden (of leden die het online portaal niet gebruiken) nog lange tijd mogelijk blijft.

 

Image removed.

Naast de NAW-gegevens die online toegankelijk zijn bieden de meeste bibliotheken ook inzage in de leengeschiedenis. Deze kan een zeer persoonlijk karakter hebben.

Ben je lid van een bibliotheek? Bescherm dan je account door in te loggen en je pincode om te zetten in een zelf gekozen wachtwoord! Kies hierbij een onvoorspelbaar wachtwoord dat anderen niet kunnen raden. Dit is altijd verstandig, maar in dit geval extra belangrijk aangezien de inlognamen van individuele biblioteken ook na de wachtwoordwijziging voorspelbaar kunnen blijven, wat bruteforcen eenvoudig maakt. Het wachtwoord Feyenoord01 is voor leden van biblioteken in de omgeving van Rotterdam bijvoorbeeld zeker niet aan te raden.