Sterke wachtwoorden: wat werkt en wat niet
De meeste datalekken beginnen niet met een hacker die je systeem binnendringt. Ze beginnen met een zwak of hergebruikt wachtwoord. Hier lees je wat een wachtwoord echt sterk maakt en hoe je het bijhoudt zonder alles te hoeven onthouden.
Wat maakt een wachtwoord sterk?
Lengte is de belangrijkste factor. Een wachtwoord van 8 tekens kan een moderne computer in minuten kraken. Een wachtwoord van 16 tekens duurt miljarden jaren, zelfs als de aanvaller speciale hardware gebruikt. Elk extra teken maakt de berekening exponentieel moeilijker.
Diversiteit is de tweede factor. Gebruik een mix van hoofdletters, kleine letters, cijfers en symbolen. Een wachtwoord van 16 kleine letters is aanzienlijk zwakker dan een wachtwoord van 12 tekens met alle vier typen.
"welkom123" is een veelgebruikt wachtwoord. Het staat in elke aanvallerslijst en wordt in seconden gekraakt. "X7#mK9pL!2vQ" heeft 12 tekens met alle typen en duurt naar schatting miljoenen jaren om te kraken met huidig rekenvermogen. "koffie-fiets-maan-34" heeft 20 tekens, is makkelijk te onthouden en ook extreem sterk.
Welke wachtwoorden zijn gevaarlijk?
Aanvallers gebruiken drie methoden. De eerste is een woordenboek-aanval: ze proberen alle woorden en bekende combinaties zoals namen met jaren. "Mark1995" en "zomer2026!" worden razendsnel herkend. De tweede is credential stuffing: ze proberen inloggegevens die bij een ander datalek zijn gestolen. Als jij hetzelfde wachtwoord bij meerdere sites gebruikt, opent een lek bij site A de deur naar sites B, C en D.
De derde methode is social engineering: ze raden persoonlijke informatie. Honden- of kattennamen, verjaardagen, namen van kinderen. Gebruik nooit persoonlijke informatie in je wachtwoord.
In 2023 werden 100 miljoen inloggegevens gelekt bij een grote webshop. Hanna gebruikte hetzelfde wachtwoord voor die webshop en haar e-mailaccount. Binnen een dag was haar e-mail gehackt. Via haar e-mail werd ook haar bankrekening geopend. Schade: meerdere weken herstelwerk en € 1.200 aan frauduleuze transacties. Een uniek wachtwoord per site had dit voorkomen.
Hoe onthoud je al die wachtwoorden?
Het antwoord is: je hoeft ze niet te onthouden. Gebruik een wachtwoordmanager. Populaire gratis opties zijn Bitwarden (open source) en KeePass. Betaalde opties zijn 1Password en Dashlane. Je onthoudt één sterk hoofdwachtwoord. De manager genereert en bewaart alle overige wachtwoorden.
Activeer ook tweefactorauthenticatie (2FA) op je belangrijkste accounts: e-mail, bankieren, DigiD, sociale media. Zelfs als je wachtwoord uitlekt, heeft een aanvaller dan nog steeds je telefoon nodig.
Stap 1: Installeer Bitwarden (gratis). Stap 2: Maak een sterk hoofdwachtwoord van minimaal 16 tekens. Schrijf dat eenmalig op en bewaar het op een veilige fysieke plek. Stap 3: Verander je e-mail-, bank- en DigiD-wachtwoord als eerste. Stap 4: Activeer 2FA op e-mail en bank. Stap 5: Verander de overige accounts stap voor stap bij de volgende keer dat je inlogt.
Genereer direct een sterk wachtwoord. Alles blijft in je browser, niets wordt opgeslagen.
Naar de Wachtwoord GeneratorMeer lezen? Bekijk ook: Factuur maken als zzp'er: verplichte gegevens en tips en Wat is btw en hoe werkt het?.
Veelgestelde vragen over wachtwoorden
Hoe vaak moet ik mijn wachtwoord wijzigen?
Alleen als je vermoedt dat het gecompromitteerd is, of als je melding krijgt van een datalek. Regelmatig verplicht wijzigen zonder aanleiding leidt juist tot zwakkere wachtwoorden omdat mensen dan simpele variaties kiezen.
Is een wachtwoordzin veiliger dan een willekeurig wachtwoord?
Een lange wachtwoordzin van 4 of meer willekeurige woorden is heel sterk en makkelijker te onthouden. "koffie-fiets-maan-34" heeft 18 tekens en is extreem moeilijk te kraken. Voor je wachtwoordmanager is dit een goede keuze als hoofdwachtwoord.
Wat doe ik als ik denk dat mijn account gehackt is?
Wijzig direct het wachtwoord van het gehackte account en van alle accounts met hetzelfde wachtwoord. Activeer 2FA als dat nog niet is ingesteld. Controleer je e-mail op doorstuurregels die een aanvaller heeft kunnen instellen. Controleer je bankrekening op afwijkingen.