Op het eerste gezicht lijkt Welkom2026! best een redelijk wachtwoord. Het bevat een hoofdletter, kleine letters, cijfers en een speciaal teken. Veel systemen zouden het misschien zelfs accepteren als sterk genoeg. Toch is dit precies het soort wachtwoord dat in de praktijk riskant is. Niet omdat het technisch geen variatie bevat, maar omdat het patroon extreem voorspelbaar is.
Veel mensen maken wachtwoorden op dezelfde manier. Ze kiezen een bekend woord, zetten de eerste letter in hoofdletter, voegen een jaartal toe en sluiten af met een uitroepteken. Denk aan Welkom2026!, Zomer2026!, Bedrijf2026! of Start2026!. Voor mensen voelt dat logisch en makkelijk te onthouden. Voor aanvallers is het juist een patroon dat ze massaal proberen.
Een wachtwoord is niet sterk omdat het aan de minimale regels voldoet. Het is sterk als het moeilijk te raden en uniek is.
Waarom dit patroon zo zwak is
Veel wachtwoordregels vragen om minimaal acht tekens, een hoofdletter, een cijfer en een speciaal teken. Daardoor leren mensen trucjes om aan die eisen te voldoen. Een hoofdletter vooraan. Een jaartal achteraan. Een uitroepteken als laatste teken. Het probleem is dat aanvallers die trucjes ook kennen. Wachtwoordaanvallen gebruiken niet alleen willekeurige combinaties, maar ook woordenlijsten en bekende variaties.
Een woord als welkom komt vaak voor in wachtwoorden. Het is positief, algemeen en makkelijk te onthouden. Het jaartal maakt het actueel, maar niet veilig. Een uitroepteken achteraan lijkt slim, maar is één van de meest gebruikte speciale tekens op die positie. Daardoor wordt Welkom2026! veel sneller geprobeerd dan je misschien denkt.
Complexiteit is niet hetzelfde als veiligheid
Een wachtwoord kan er complex uitzien en toch zwak zijn. P@ssw0rd! ziet ingewikkelder uit dan password, maar het is nog steeds gebaseerd op een bekend woord. Hetzelfde geldt voor Welkom2026!. De opbouw is netjes, maar voorspelbaar. Echte veiligheid komt vooral uit lengte, uniekheid en onvoorspelbaarheid.
Een lang wachtwoord of een wachtwoordzin is vaak beter dan een kort wachtwoord met kunstmatige vervangingen. Bijvoorbeeld een combinatie van meerdere willekeurige woorden is veel moeilijker te raden dan een standaardwoord met een jaartal. Nog beter is een wachtwoordmanager die voor elk account een lang willekeurig wachtwoord maakt.
Het gevaar van hergebruik
Een ander risico is dat dit soort wachtwoorden vaak op meerdere plekken worden gebruikt. Iemand kiest Welkom2026! voor een zakelijke tool, gebruikt een vergelijkbare variant voor e-mail en misschien nog een andere variant voor een privéaccount. Als één van die diensten ooit betrokken raakt bij een datalek, kunnen criminelen proberen om hetzelfde wachtwoord of variaties daarvan op andere plekken te gebruiken.
Dat heet credential stuffing. Daarbij hoeft een aanvaller niet eens je wachtwoord te raden vanaf nul. Het wachtwoord is ergens anders al gelekt, en wordt daarna automatisch geprobeerd op andere websites. Als je hetzelfde patroon overal gebruikt, kan één lek meerdere accounts raken.
Wat is dan wel verstandig?
Kies voor elk account een uniek wachtwoord. Gebruik bij voorkeur een wachtwoordmanager. Die kan lange, willekeurige wachtwoorden maken en veilig bewaren. Voor het hoofdwachtwoord van de wachtwoordmanager kun je een lange wachtwoordzin gebruiken die je nergens anders gebruikt. Die zin moet niet gebaseerd zijn op openbare informatie, bedrijfsnamen, geboortedata of seizoenen.
Daarnaast is Multi-factor authenticatie verstandig. Als iemand toch een wachtwoord weet te bemachtigen, voorkomt MFA vaak dat die persoon direct kan inloggen. Maar MFA is geen excuus voor zwakke wachtwoorden. Het werkt juist het best als extra laag bovenop een sterk en uniek wachtwoord.
Maak wachtwoorden bespreekbaar
Veel medewerkers kiezen geen zwakke wachtwoorden omdat ze onverschillig zijn. Ze kiezen ze omdat ze veel accounts hebben, snel willen werken en wachtwoorden moeten kunnen onthouden. Daarom is het belangrijk om wachtwoordgedrag praktisch te maken. Geef duidelijke voorbeelden van zwakke patronen, bied een wachtwoordmanager aan en leg uit waarom hergebruik gevaarlijk is.
Security Awareness helpt medewerkers om dit soort patronen te herkennen. SecuSnack vergroot bewustwording met korte scenario's die aansluiten bij dagelijkse keuzes. Niet met lange technische uitleg, maar met herkenbare momenten waarop iemand denkt: dit wachtwoord lijkt handig, maar is het ook veilig?
Welkom2026! is dus geen veilig wachtwoord, ook al lijkt het aan de regels te voldoen. Het is te voorspelbaar, te algemeen en te makkelijk te variëren. Een echt sterk wachtwoord is uniek, lang en moeilijk te raden. Dat is minder spannend dan het klinkt, zeker als je de juiste hulpmiddelen gebruikt.