Een sterk wachtwoord is niet simpelweg een woord met een hoofdletter, een cijfer en een uitroepteken. Toch denken veel mensen daar nog steeds aan. Bijvoorbeeld: Welkom2026! of Bedrijf123!. Zulke wachtwoorden voldoen soms aan technische eisen, maar zijn niet per se veilig. Ze volgen patronen die aanvallers goed kennen.
Een echt sterk wachtwoord is vooral lang, uniek en moeilijk te voorspellen. Het hoeft niet onmogelijk te onthouden te zijn, maar het moet niet gebaseerd zijn op voor de hand liggende informatie. Namen, geboortedata, bedrijfsnamen, seizoenen, sportclubs en standaardwoorden zijn geen goede basis. Hoe voorspelbaarder het patroon, hoe zwakker het wachtwoord.
De kracht van een wachtwoord zit minder in ingewikkelde tekens en meer in lengte, uniekheid en onvoorspelbaarheid.
Lengte is belangrijk
Een langer wachtwoord is meestal sterker dan een kort wachtwoord met veel symbolen. Dat komt doordat lengte het aantal mogelijke combinaties enorm vergroot. Een korte reeks zoals P@ssw0rd! ziet er complex uit, maar is gebaseerd op een bekend patroon. Een langere zin of willekeurige combinatie is vaak veel beter.
Denk bijvoorbeeld aan een wachtwoordzin. Een combinatie van meerdere niet-gerelateerde woorden kan sterk en toch onthoudbaar zijn. Belangrijk is dat de woorden niet samen een bekende zin vormen en niet makkelijk te raden zijn. Nog beter is een wachtwoordmanager die willekeurige wachtwoorden maakt, zoals lange combinaties van letters, cijfers en tekens.
Uniek per account
Een wachtwoord is pas echt sterk als je het niet op meerdere plekken gebruikt. Hergebruik is één van de grootste risico's. Stel dat een oude webshop wordt gehackt en jouw wachtwoord komt in een datalek terecht. Als je datzelfde wachtwoord ook gebruikt voor je zakelijke e-mail, ontstaat er direct een groter probleem.
Daarom is uniekheid essentieel. Elk belangrijk account krijgt een eigen wachtwoord. Zeker accounts voor e-mail, financiële systemen, klantgegevens, cloudopslag en beheeromgevingen moeten nooit hetzelfde wachtwoord delen. Een wachtwoordmanager maakt dit haalbaar. Zonder wachtwoordmanager gaan mensen vaak vanzelf herhalen, omdat niemand tientallen sterke wachtwoorden kan onthouden.
Vermijd voorspelbare variaties
Veel mensen maken wachtwoorden door iets bekends aan te passen. Een a wordt een @, een o wordt een 0, er komt een uitroepteken achter en het jaartal wordt toegevoegd. Aanvallers kennen deze trucjes. Zomer2026! is daardoor niet veel beter dan zomer2026. Het lijkt sterk, maar het patroon is bekend.
Ook periodiek wijzigen kan leiden tot zwakke variaties. Als iemand elk kwartaal een nieuw wachtwoord moet kiezen, ontstaan reeksen als Winter2026!, Lente2026! en Zomer2026!. Dat voelt als verandering, maar is voorspelbaar. Beter is één sterk, uniek wachtwoord dat wordt gewijzigd wanneer daar een echte reden voor is.
Gebruik geen persoonlijke informatie
Een wachtwoord moet niet gebaseerd zijn op informatie die anderen kunnen vinden of raden. Denk aan namen van kinderen, huisdieren, partners, woonplaatsen, geboortedata of bedrijfsnamen. Veel van die informatie staat op sociale media, websites of openbare profielen. Zelfs als het wachtwoord lang lijkt, kan persoonlijke context het zwakker maken.
Ook interne woorden zijn riskant. Een bedrijfsnaam met een jaartal of productnaam is voor medewerkers makkelijk te onthouden, maar voor aanvallers vaak ook te raden. Zeker als een organisatie zichtbaar is op internet.
Maak veilig gedrag makkelijk
Een wachtwoordbeleid werkt alleen als het praktisch is. Als regels te ingewikkeld zijn, zoeken mensen omwegen. Ze schrijven wachtwoorden op, gebruiken varianten of slaan ze op in onveilige documenten. Daarom is een wachtwoordmanager vaak de beste oplossing. Die maakt sterke en unieke wachtwoorden normaal.
Daarnaast is tweestapsverificatie belangrijk. Een sterk wachtwoord is goed, maar een extra controlelaag maakt misbruik lastiger. Vooral bij e-mailaccounts en beheeraccounts is dat verstandig. Toch vervangt tweestapsverificatie geen sterk wachtwoord. Het vult het aan.
Hoe herken je een goed wachtwoord in de praktijk?
Stel jezelf vier vragen. Is het lang genoeg? Gebruik ik het nergens anders? Is het niet gebaseerd op persoonlijke of zakelijke informatie? Is het moeilijk te raden voor iemand die mij of mijn organisatie kent? Als je op één van die vragen twijfelt, is het wachtwoord waarschijnlijk niet sterk genoeg.
Een wachtwoordmanager kan die vragen grotendeels oplossen. Laat de manager een lang willekeurig wachtwoord maken, sla het veilig op en gebruik voor elk account iets anders. Voor het hoofdwachtwoord van de wachtwoordmanager kies je een lange wachtwoordzin die je nergens anders gebruikt.
Bewustwording blijft nodig
Wachtwoorden zijn een technisch middel, maar goed wachtwoordgebruik is menselijk gedrag. Medewerkers moeten weten waarom hergebruik riskant is, waarom links naar inlogpagina's verdacht kunnen zijn en waarom wachtwoorden niet gedeeld moeten worden via e-mail of chat.
Security Awereness helpt om die keuzes herkenbaar te maken. SecuSnack draagt daaraan bij met korte scenario's die medewerkers laten oefenen met dagelijkse securitymomenten. Het doel is niet om iedereen specialist te maken, maar om goede gewoontes makkelijker te maken.
Een echt sterk wachtwoord is dus niet alleen een reeks tekens. Het is onderdeel van een veilige werkwijze: lang, uniek, onvoorspelbaar, ondersteund door een wachtwoordmanager en aangevuld met tweestapsverificatie. Daarmee maak je het aanvallers een stuk moeilijker.