Sterke wachtwoorden: de beste tips, tricks en voorbeelden

Sterke en veilige wachtwoorden: we weten dat ze belangrijk zijn, maar toch kiezen we nog te vaak voor iets wat we makkelijk kunnen onthouden. Voor een hacker is zo’n simpel wachtwoord een cadeautje. Met speciale software is de toegang tot bijvoorbeeld je e-mailaccount of cloudgegevens soms in enkele seconden te kraken. Overal een ander sterk wachtwoord instellen, ook op zakelijke accounts, verkleint de kans aanzienlijk dat je wordt gehackt. We geven tips en tricks voor en voorbeelden van sterke wachtwoorden.

Makkelijk te raden wachtwoorden

Uit een analyse van 275.699.516 wachtwoorden die in 2020 zijn gelekt, blijkt het merendeel makkelijk te raden of met hacksoftware binnen een paar seconden te kraken. Slechts 44 procent van de gelekte wachtwoorden was uniek. Veelgebruikte (onveilige) wachtwoorden onder Nederlanders zijn bijvoorbeeld 123456, qwerty, 123456789, welkom, welkom01, Welkom01, wachtwoord, amsterdam, feijenoord, 123123, voetbal, computer, rotterdam, vergeten, hoihoi, vakantie, banaan, pokemon, familie en konijn.

brute force attack

Wat je in ieder geval niet moet doen bij het instellen van je wachtwoord:

  • Gebruik geen opeenvolgende letters en cijfers (zoals abcdef of qwerty).

  • Gebruik geen eenvoudig te raden woorden (zoals voetbal123).

  • Gebruik geen persoonlijke informatie (zoals Willem1975).

  • Gebruik geen wachtwoord dat te herleiden is tot de website of app in kwestie (zoals S@lesforce).

Zo eenvoudig word je gehackt

Al deze simpele wachtwoorden zijn eenvoudig te hacken via een geautomatiseerde brute-force attack. Hierbij worden in zeer hoog tempo duizenden tot miljoenen gelekte wachtwoorden en numerieke combinaties geprobeerd, tot er één blijkt te werken. Deze aanvallen zijn vooral gericht op makkelijke wachtwoorden. Soms wordt ook één veelgebruikt wachtwoord op verschillende gebruikersnamen geprobeerd. 

Daarnaast zijn wachtwoorden met persoonlijke informatie (bijvoorbeeld de naam van je kleinkind) of woorden die te maken hebben met je hobby’s eenvoudig te raden door mensen die je persoonlijk kennen. Zelfs iemand die jou niet kent, kan met een beetje research op sociale media al snel dit soort informatie achterhalen. 

Veilige wachtwoorden: voorbeelden en tips

Hoe creëer je dan een veilig wachtwoord dat moeilijk te kraken is? Een aantal tips en voorbeelden:

  • Maak een wachtwoord van ten minste twaalf tekens. Hoe langer, hoe beter.

  • Gebruik een combinatie van hoofdletters, kleine letters, cijfers en speciale tekens (@, #, &, ?, !, +, -, €, %, etc.).

  • Je kunt een zogenaamde wachtzin (in plaats van een wachtwoord) maken, die bestaat uit vier of meer aan elkaar geschreven woorden. Liever geen spreekwoorden of namen van liedjes, want die liggen te veel voor de hand. Maak de zin uit een combinatie van cijfers, letters en speciale tekens (bijvoorbeeld: 42tulpenv00rharry!). Een wachtzin heeft het voordeel dat je hem redelijk makkelijk kunt onthouden.

  • Gebruik geen persoonlijke informatie in het wachtwoord die makkelijk door anderen te achterhalen is (bijvoorbeeld je naam, adres of geboorteplaats).

  • Gebruik geen voor de hand liggende woorden en al helemaal geen woorden die met je geassocieerd kunnen worden (zoals hobby’s).

  • Kijk op 'have i been pwned' of het wachtwoord voorkomt in lijsten met gehackte wachtwoorden. Zo ja? Kies dan een ander wachtwoord.

  • Gebruik voor elke dienst een ander wachtwoord. Wordt een site gehackt en komt de combinatie van je gebruikersnaam, e-mailadres en wachtwoord op straat te liggen? Dan zullen cybercriminelen mogelijk proberen om met die gegevens toegang tot talloze andere diensten proberen te krijgen.

Wachtwoordmanager

Als je voor elke dienst een uniek wachtwoord gebruikt, is het moeilijk om al deze wachtwoorden te onthouden. Je kunt ze natuurlijk op een papiertje schrijven en dit op een veilige plek opbergen, maar dan heb je ze niet altijd bij de hand. Een wachtwoordmanager is een betere oplossing. Zo’n tool genereert voor elk account een uniek en zeer complex wachtwoord. Dankzij een browserplug-in en een app op je smartphone worden de wachtwoorden overal automatisch ingevuld en beschik je altijd over een ‘kluis’ met je wachtwoorden. Je hoeft voortaan nog maar één (sterk) wachtwoord te kennen, namelijk voor je wachtwoordmanager.

Voorbeelden van betrouwbare wachtwoordmanagers zijn LastPass en 1Password. Maar ook browsers als Google Chrome en Safari hebben een ingebouwde wachtwoordmanager, al zijn de functionaliteiten daarvan wat beperkter. Een wachtwoordmanager is handig en veilig in gebruik. Veel wachtwoordmanagers geven bijvoorbeeld ook een waarschuwing wanneer je wachtwoord voorkomt op een lijst met gehackte wachtwoorden.

Moet ik mijn wachtwoord regelmatig veranderen?

Als je een sterk wachtwoord hebt gekozen, hoef je dit niet voortdurend aan te passen. Je moet je wachtwoord wél veranderen als je een melding krijgt van verdachte activiteiten omtrent je account, wanneer er een datalek is bij de website of dienst of als je simpelweg vermoedt dat iemand je inloggegevens weet.

Verder kun je af en toe checken op 'have i been pwned' of je e-mailadres voorkomt in het overzicht van gelekte wachtwoorden. De Nederlandse politie heeft een vergelijkbare database.

Kan ik mijn account extra beschermen?

Naast een veilig wachtwoord kun je nog andere maatregelen nemen om je account extra te beveiligen, bijvoorbeeld door middel van tweestapsverificatie. Hierbij moet je bij het inloggen een extra code invoeren. Deze code wordt via een sms of een app (bijvoorbeeld Google Authenticator) naar je telefoon gestuurd. Zelfs als hackers over je gebruikersnaam en wachtwoord beschikken, kunnen zij niet inloggen.

Tweestapsverificatie is standaardpraktijk bij online bankieren en creditcardapps. Maar praktisch alle grote softwareleveranciers bieden het tegenwoordig aan. Meestal moet je naar instellingen gaan om tweestapsverificatie aan te zetten. Wanneer je de tweestapsverificatie eenmaal gebruikt hebt, kun je er vaak voor kiezen om het desbetreffende apparaat te vertrouwen. Pas wanneer je vanaf een ander apparaat, een andere locatie of na een bepaalde periode (bijvoorbeeld een maand) opnieuw de website of app bezoekt, moet je opnieuw inloggen met deze methode.

Gerelateerde artikelen