Veel mensen denken dat een wachtwoord veilig is zolang niemand het letterlijk weet. Maar aanvallers hoeven een wachtwoord niet altijd helemaal vanaf nul te raden. Ze gebruiken vaak persoonlijke informatie om slimme gokpogingen te doen. Namen, geboortedata, huisdieren, woonplaatsen, sportclubs, bedrijfsnamen en jaartallen kunnen allemaal onderdeel worden van een wachtwoordaanval.
Dat klinkt misschien alsof iemand heel gericht onderzoek doet naar één persoon. Soms gebeurt dat inderdaad, vooral bij functies met toegang tot geld, systemen of gevoelige informatie. Maar vaak gaat het geautomatiseerd. Informatie uit openbare bronnen, sociale media en eerdere datalekken kan worden gecombineerd met bekende wachtwoordpatronen. Zo ontstaan lijsten met waarschijnlijke wachtwoorden.
Wat voor jou een makkelijk te onthouden wachtwoord is, kan voor een aanvaller een logisch eerste gokje zijn.
Welke informatie wordt gebruikt?
Persoonlijke informatie hoeft niet geheim te zijn om bruikbaar te zijn. Denk aan je voornaam, achternaam, geboortedatum, naam van je partner, kinderen of huisdier, favoriete club, woonplaats of werkgever. Ook zakelijke informatie telt mee. Een bedrijfsnaam, productnaam, slogan, afdeling of kantoorlocatie kan makkelijk in wachtwoorden terechtkomen.
Veel mensen combineren zulke woorden met jaartallen of speciale tekens. Bijvoorbeeld de naam van een kind plus een geboortejaar, de naam van een huisdier plus een uitroepteken, of de bedrijfsnaam plus het huidige jaar. Voor de gebruiker voelt dat persoonlijk en handig. Voor een aanvaller is het voorspelbaar.
Sociale media maken raden makkelijker
Sociale media geven vaak meer prijs dan mensen doorhebben. Een verjaardagsbericht, vakantiefoto, huisdierfoto of bericht over een nieuwe baan kan losse puzzelstukjes opleveren. Op zichzelf lijkt die informatie onschuldig. Maar in combinatie met bekende wachtwoordpatronen wordt het waardevol.
Een aanvaller hoeft niet alles te weten. Als iemand ziet dat je hond Max heet, dat je in Breda woont en dat je bedrijf SecuSnack heet, kan die informatie worden gebruikt in variaties. Max2026!, Breda2026!, SecuSnack123 of combinaties daarvan zijn geen sterke wachtwoorden. Ze zijn juist precies het soort combinaties dat mensen vaak kiezen.
Datalekken versterken het probleem
Naast openbare informatie gebruiken aanvallers ook gelekte gegevens. Oude wachtwoorden, e-mailadressen en gebruikersnamen uit datalekken circuleren op grote schaal. Als jouw oude wachtwoord ooit is gelekt, kan een aanvaller zien welk patroon je gebruikte. Misschien gebruikte je een naam met een jaartal. Misschien gebruikte je steeds hetzelfde woord met een ander teken erachter.
Vervolgens kan dat patroon worden aangepast. Als iemand ooit Zomer2023! gebruikte, is Zomer2026! of Winter2026! geen grote stap. Dit is waarom hergebruik en voorspelbare variaties zo gevaarlijk zijn. Het probleem is niet alleen het ene wachtwoord, maar de gewoonte erachter.
Gerichte aanvallen op medewerkers
Bij organisaties kunnen aanvallers ook informatie over functies gebruiken. Een financieel medewerker krijgt bijvoorbeeld eerder te maken met facturen en betaalverzoeken. Een HR-medewerker ziet persoonsgegevens. Een beheerder heeft toegang tot systemen. Als zo iemand een voorspelbaar wachtwoord gebruikt, is de mogelijke schade groter.
Daarom is het verstandig om vooral kritieke accounts extra goed te beschermen. Denk aan zakelijke e-mail, administratie, cloudopslag, beheeraccounts en systemen met klantgegevens. Sterke unieke wachtwoorden en MFA zijn daar geen luxe, maar basisbescherming.
Hoe voorkom je dit?
Gebruik geen persoonlijke informatie in wachtwoorden. Geen namen, geboortedata, woonplaatsen, bedrijfsnamen of hobby's. Gebruik ook geen voorspelbare variaties zoals een seizoen met een jaartal. Kies liever voor een wachtwoordmanager die willekeurige wachtwoorden maakt. Dan hoef je niet zelf iets te bedenken dat makkelijk te onthouden is.
Voor wachtwoorden die je wel moet onthouden, zoals het hoofdwachtwoord van een wachtwoordmanager, kun je een lange wachtwoordzin gebruiken. Kies woorden die niet logisch bij elkaar horen en niet herleidbaar zijn naar jouw leven. Hoe minder persoonlijke context erin zit, hoe beter.
Let ook op beveiligingsvragen
Sommige diensten gebruiken nog beveiligingsvragen zoals de naam van je eerste huisdier of je geboorteplaats. Dat is riskant, omdat de antwoorden vaak openbaar of te raden zijn. Als je zulke vragen moet invullen, behandel de antwoorden dan als wachtwoorden. Gebruik geen echte persoonlijke antwoorden, maar sla unieke antwoorden op in je wachtwoordmanager.
Bewustwording is belangrijk
Dit onderwerp gaat niet alleen over techniek. Het gaat over gewoontes. Mensen kiezen persoonlijke wachtwoorden omdat ze makkelijk te onthouden zijn. Daarom helpt het om medewerkers te laten zien hoe aanvallers denken. Niet om angst aan te jagen, maar om duidelijk te maken waarom sommige keuzes riskant zijn.
Security Awareness maakt zulke dagelijkse risico's herkenbaar. SecuSnack helpt organisaties om medewerkers kort en praktisch te laten oefenen met situaties rondom wachtwoorden, phishing en digitale keuzes. De boodschap is simpel: gebruik geen informatie die iemand over jou kan vinden als sleutel tot je accounts.
Persoonlijke informatie is waardevol voor aanvallers omdat het wachtwoorden voorspelbaar maakt. Door unieke, willekeurige wachtwoorden te gebruiken en persoonlijke patronen te vermijden, maak je het ze veel moeilijker.