Dit artikel is gebaseerd op openbaar beschikbaar cybersecurity-onderzoek, brancherapporten en algemeen aanvaarde beveiligingspraktijken. Waar persoonlijke ervaring wordt genoemd, wordt dit expliciet vermeld.
Een datalek dat de meesten vergaten — maar niet zouden moeten vergeten
In 2012 werd LinkedIn getroffen door wat destijds een van de grootste datalekken in de geschiedenis was. Latere analyses toonden aan dat ongeveer 167 miljoen accountrecords waren blootgesteld, en ongeveer 117 miljoen daarvan bevatten e-mailadressen en wachtwoordhashes.
Toen beveiligingsteams de gekraakte wachtwoorden onderzochten, waren de resultaten pijnlijk bekend. password1, linkedin123 en vergelijkbare gemakzuchtige keuzes kwamen miljoenen keren voor. Interessanter — en zorgwekkender — was dat zelfs wachtwoorden die slim leken, zoals L!nk3d1n2020, snel vielen. Waarom? Omdat ze patronen volgden die mensen bijna altijd gebruiken.
Ik werk al meer dan vijftien jaar in cybersecurity-penetratietesten. Mijn taak is om in systemen in te breken — legaal — met dezelfde methoden waarop echte aanvallers vertrouwen. Wachtwoorden zijn voor mij geen theoretisch onderwerp; ik zie ze elke dag in de praktijk falen.
Hoe wachtwoorden daadwerkelijk worden aangevallen
Om te begrijpen waarom sommige wachtwoorden overleven en andere niet, moet je kijken vanuit het perspectief van de aanvaller. Aanvallers zitten daar niet wachtwoorden één voor één te raden. Ze automatiseren alles.
- Woordenboekaanvallen (Dictionary Attacks): Deze vertrouwen op enorme verzamelingen van echte wachtwoorden, woorden, zinnen en variaties die zijn verzameld uit jarenlange datalekken. Deze woordenboeken bevatten miljarden ingangen en blijven groeien.
- Op regels gebaseerde aanvallen (Rule-Based Attacks): Deze zijn verwoestend effectief tegen menselijke creativiteit. Tools passen automatisch veelvoorkomende gewoonten toe: "o" vervangen door "0", "123" of "!" aan het einde toevoegen, de eerste letter een hoofdletter maken, een jaartal invoegen, enzovoort. De meeste "slimme" wachtwoorden vallen precies hier door de mand.
- Brute kracht (Brute Force): Elke mogelijke combinatie proberen. Dit klinkt eng, maar tegen lange, echt willekeurige wachtwoorden die zijn opgeslagen met moderne hash-algoritmen, wordt brute kracht snel onpraktisch simpelweg omdat het te lang duurt.
Het probleem met zelfgemaakte wachtwoorden
We houden van wachtwoorden die we zelf verzinnen omdat ze persoonlijk en gedenkwaardig voelen. Helaas toont onderzoek — en ervaring — aan dat ze ook zeer voorspelbaar zijn.
- Patronen herhalen zich: Grootschalige studies, waaronder werk van Carnegie Mellon University, tonen consequent dezelfde structuren aan: een woord of naam, een hoofdletter aan het begin en cijfers of symbolen aan het einde. De inhoud verandert, maar de vorm blijft hetzelfde. Zodra aanvallers die structuur modelleren, wordt het kraken dramatisch sneller.
- Lengte bereikt een plafond: De meeste door gebruikers gemaakte wachtwoorden zijn tussen de 8 en 10 tekens. Niet omdat mensen niet weten dat langer veiliger is, maar omdat het geheugen ons naar kortere reeksen duwt.
- Persoonlijke informatie lekt door: Verjaardagen, namen van huisdieren, jubilea — mensen gebruiken ze voortdurend. En in het tijdperk van sociale media hoeven aanvallers vaak niet eens te raden.
Waarom willekeurige wachtwoorden een ander spel spelen
Een wachtwoord gemaakt door een veilige willekeurige wachtwoordgenerator — zoiets als r8$NpL#2qW9 — is niet alleen "complexer". Het is fundamenteel anders.
Elk teken wordt onafhankelijk gekozen. Er zijn geen woorden, geen vervangingen, geen menselijke logica. Dat ene feit verwijdert de krachtigste tools van de aanvaller: woordenboeken en regels.
Vanuit een cijferperspectief:
- Een wachtwoord van 8 tekens met alleen kleine letters heeft ongeveer 26⁸ mogelijkheden (~209 miljard).
- Voeg hoofdletters, cijfers en symbolen toe, en je zit plotseling rond de 95⁸ (~6 biljard).
- Verhoog dat naar 12 tekens en de ruimte wordt astronomisch groot.
Maar het echte voordeel is niet alleen de grootte — het is dat willekeurige wachtwoorden aanvallers dwingen tot brute kracht, wat traag, duur en vaak de moeite niet waard is.
Hoe het kraken van deze wachtwoorden er in de praktijk uitziet
Vanuit het oogpunt van een penetratietester is het verschil groot:
| Wachtwoordtype | Voorbeeld | Aanvalsmethode | Tijd om te kraken |
| :--- | :--- | :--- | :--- |
| Zelfgemaakt | Tiger2021! | Woordenboek & Op regels gebaseerd | Minuten tot Uren |
| Willekeurig gegenereerd | r8$NpL#2qW9 | Pure Brute Kracht | Jaren / Eeuwen |
Als het wachtwoord correct is gehasht met zoiets als bcrypt of Argon2, impliceert brute kracht tegen de willekeurige reeks een tijdsbestek dat de aanval onhaalbaar maakt. In de meeste gevallen in de echte wereld gaat de aanvaller gewoon verder.
De echte afweging: Mensen vs. Willekeur
De grootste zwakte van willekeurige wachtwoorden is niet de veiligheid — het is de bruikbaarheid. Mensen zijn vreselijk in het onthouden van betekenisloze reeksen. Dat is de centrale spanning in wachtwoordbeveiliging:
- Wachtwoorden die mensen goed onthouden, zijn meestal zwak.
- Wachtwoorden die sterk zijn, zijn meestal onvergetelijk (in de slechte zin, niet te onthouden).
Moderne beveiligingspraktijken bestaan om die kloof te overbruggen.
Wat vandaag de dag echt werkt
Gebaseerd op consensus in de sector en ervaring uit de echte wereld:
- Gebruik een wachtwoordmanager: Tools zoals Bitwarden of 1Password laten je vertrouwen op één sterk hoofdwachtwoord terwijl al het andere lang, willekeurig en uniek is. Dit wordt algemeen beschouwd als de beste optie voor de meeste mensen.
- Als je moet onthouden, gebruik lengte: Een reeks niet-gerelateerde woorden (bijv.
coffee-zebra-battery-stapler) is vaak beter bestand tegen aanvallen — en gemakkelijker te onthouden — dan een kort wachtwoord vol symbolen. - Hergebruik nooit wachtwoorden: Zodra één site is geschonden, verandert hergebruik dit in een domino-effect.
- Schakel MFA in: E-mail, bankieren, cloudaccounts — gebruik altijd multi-factor authenticatie.
- Controleer blootstelling aan lekken: Diensten zoals Have I Been Pwned laten je zien of je e-mailadres voorkomt in bekende datasets van datalekken.
Laatste gedachten
Dit is geen filosofisch debat over de vraag of mensen of machines "betere" wachtwoorden maken. Het gaat om risicobeheer.
Computers zijn goed in het genereren van willekeur. Mensen zijn goed in het beschermen van één geheim en het reageren op prompts zoals MFA. De veiligste aanpak is om ieder te laten doen waar hij het beste in is.
Klaar om je beveiliging te upgraden? Genereer nu een sterk, offline wachtwoord om je accounts onmiddellijk te beschermen.