Wachtwoorden spelen nog altijd een grote rol in digitale veiligheid, zowel in de privésfeer als binnen organisaties. En hoe regelmatig moet je je wachtwoord nou eigenlijk veranderen? Eerder werd altijd aanbevolen om dit periodiek te doen, maar tegenwoordig is het advies om je wachtwoord niet aan te passen. In dit blog leggen we uit wat nu echt verstandig is, wanneer wijzigen wel nodig is en wat betere alternatieven zijn.

Waarom wachtwoorden zo belangrijk zijn

In de meeste gevallen geldt: zonder wachtwoord, geen toegang. Daarom kun je een wachtwoord eigenlijk zien als de eerste verdedigingslinie van je digitale systemen. Juist daarom zijn ze een populair doelwit voor cybercriminelen.

Een zwak of gelekt wachtwoord kan grote gevolgen hebben, zoals datalekken, misbruik van accounts en reputatieschade. Zeker wanneer hetzelfde wachtwoord op meerdere plekken wordt gebruikt, kan één lek al genoeg zijn om toegang te krijgen tot meerdere systemen. Daarom blijft het belangrijk om bewust om te gaan met wachtwoorden en ze goed te beveiligen.

Verouderd advies

Lange tijd was het advies om wachtwoorden regelmatig te veranderen. Het idee hierachter was simpel. Als een wachtwoord gehackt wordt, kan een aanvaller er maar korte tijd gebruik van maken. Dit leek een logische manier om risico’s te beperken, maar in de praktijk had dit ook nadelen.

Wanneer een wachtwoord veranderd moest worden, werden er vaak alleen kleine variaties gemaakt op het oude wachtwoord. Denk aan een uitroepteken achter het wachtwoord of een cijfer veranderen. Maar wachtwoorden werden ook vaak opgeschreven om ze te onthouden. Dat maakte wachtwoorden juist voorspelbaarder en daarmee minder veilig.

Verander alleen wanneer het nodig is

Tegenwoordig wordt er juist aangeraden om wachtwoorden niet periodiek aan te passen, maar alleen wanneer daar een duidelijke reden voor is. Een wachtwoord regelmatig veranderen maakt een account namelijk niet automatisch veiliger. Wil je zeker zijn van echt goede beveiliging, voeg dan een extra beschermlaag toe in de vorm van Multifactor Authenticatie (MFA).

MFA voor een extra laag beveiliging

Zelfs het sterkste wachtwoord is geen garantie dat een account nooit misbruikt wordt. Daarom is het verstandig om waar mogelijk MFA te gebruiken. Dit houdt in dat je naast je wachtwoord nog een extra controle toevoegt, bijvoorbeeld een code op je telefoon, een melding in de app of een hardware-sleutel. Voorbeelden hiervan zijn Google Authenticator of Microsoft Authenticator. Het idee hierachter is dat als iemand je wachtwoord weet of onderschept, diegene nog steeds niet kan inloggen zonder die tweede factor. Daarmee verklein je het risico op misbruik dus nog verder, ook bij phishing of datalekken.

Wanneer moet je je wachtwoord wel direct aanpassen?

Er zijn situaties waarin het belangrijk is dat je je wachtwoord wel aanpast. Dit zijn de belangrijkste situaties:

• Een datalak: Als een dienst waar je een account hebt te maken heeft gekregen met een datalek, is het verstandig om je wachtwoord meteen te wijzigen. Recent hebben we het bijvoorbeeld allemaal gezien bij Odido.
• Bij een vermoeden van phishing of misbruik: Heb je op een verdachte link geklikt of je gegevens ingevuld op een neppe website? Verander je wachtwoord zo snel mogelijk.
• Wanneer je hetzelfde wachtwoord gebruikt op meerdere plekken: Stel dat één van de accounts in verkeerde handen valt, dan lopen alle andere accounts met datzelfde wachtwoord ook risico.
• Bij gedeelde accounts: Als meerdere mensen toegang hebben (gehad) tot één account, is het verstandig om het wachtwoord regelmatig te veranderen. Of nog beter, stap over op individuele accounts. Gedeelde accounts zien we vaak bij bijvoorbeeld Netflix en Spotify. Ook op Instagram kon je tot kortgeleden geen gebruikmaken van gedeelde toegang, toegang door meer personen is nu wel mogelijk op Insta.
• Bij toegang tot gevoelige systemen: Denk aan administratieve accounts, financiële systemen of zorgomgevingen. Hierbij geldt dat je bij twijfel altijd je wachtwoord moet wijzigen.

In deze situaties verklein je de kans op misbruik en verdere schade door direct je wachtwoord aan te passen.

Wat maakt een wachtwoord sterk?

Een sterk wachtwoord is moeilijk te raden én moeilijk te kraken. Het draait daarbij minder om ingewikkelde tekens en meer om lengte en hoe uniek het is.

Een sterk wachtwoord:

• Is lang (minimaal 12 tekens), hoe langer hoe beter
• Combineert letters, hoofdletters, cijfers en andere tekens
• Is uniek en wordt niet hergebruikt bij andere accounts
• Bevat geen voorspelbare patronen zoals namen, geboortedata of simpele reeksen
• Is niet gebaseerd op persoonlijke informatie

Wachtzin in plaats van wachtwoord

In plaats van een kort, complex wachtwoord werkt een wachtzin vaak beter. Bijvoorbeeld een combinatie van meerdere willekeurige woorden, cijfers en tekens. Een voorbeeld hiervan zou kunnen zijn: !Kl0gv3iL1giN#. Er staat ‘ik log veilig in’, gecombineerd met cijfers en tekens om de moeilijkheid op te schroeven.

Zo’n wachtzin is makkelijker te onthouden, maar veel lastiger te kraken. Onthoud wel dat zelfs het sterkste wachtwoord zijn kracht verliest als je het op meerdere plekken gebruikt. Uniek blijven is minstens zo belangrijk als sterk zijn.

Help jezelf, kies voor een online wachtwoordkluis

Sterke wachtwoorden zijn heel belangrijk, maar vaak lastig te onthouden. En om al die ingewikkelde wachtwoorden elke keer op te schrijven, is ook niet ideaal. Zeker wanneer je voor elk account een uniek wachtwoord gebruikt. Wachtwoordmanagers zijn een praktische en veilige oplossing voor zowel organisaties als voor privégebruik.

Met een wachtwoordmanager worden al je wachtwoorden versleuteld opgeslagen in een beveiligde kluis. Je hoeft dan alleen één sterk hoofdwachtwoord te onthouden. De meeste managers kunnen ook automatisch sterke, unieke wachtwoorden voor je genereren en invullen.

Door een wachtwoordmanager te gebruiken, verhoog je de beveiliging aanzienlijk. Het gaat daarnaast ook niet ten koste van het gebruiksgemak, het is eigenlijk zelfs makkelijker. Daarom is het een logische volgende stap voor iedereen die serieus met digitale veiligheid bezig is.

Onze keuze: Keeper

Eén van deze wachtwoordmanagers is onze partner, Keeper Security. Keeper biedt voor organisaties namelijk extra mogelijkheden, zoals centraal beheer, inzicht in wachtwoordgebruik en het eenvoudig intrekken of aanpassen van toegang wanneer medewerkers uit dienst gaan of van rol veranderen.

Een verstandige aanpak

Het regelmatig veranderen van wachtwoorden is dus niet meer de beste oplossing. Tegenwoordig ligt de focus op sterke, unieke wachtwoorden, toevoegen van MFA en je wachtwoorden veilig opslaan in een online kluis. Door deze maatregelen te combineren, vergroot je de digitale veiligheid zonder het gebruikers onnodig lastig te maken.