Het is vandaag Wereld Wachtwoorddag, hét moment om stil te staan bij een hardnekkig cybersecurityprobleem: zwakke wachtwoorden. Ondanks jarenlange awareness campagnes blijft ‘123456’ wereldwijd het meest gebruikte wachtwoord.
Dit blijkt uit het meest recente onderzoek van NordPass naar wachtwoorden die zijn gelekt bij datalekken. Ook varianten als ‘123456789’, ‘12345678’, ‘12345’ en ‘admin’ blijven opvallend populair.
Voor IT-professionals en securityspecialisten is dit geen nieuw inzicht. Toch roept het een belangrijke vraag op: ligt het probleem werkelijk bij gebruikers, of bij organisaties die onvoldoende beveiligingsmaatregelen afdwingen?
Praktijktest: zijn zwakke wachtwoorden nog steeds toegestaan?
Om dit te toetsen is een eenvoudige praktijktest uitgevoerd: kun je anno 2026 nog steeds een account aanmaken met een extreem zwak wachtwoord? Spoiler: het antwoord is ja.
Sommige bekende online platforms accepteren nog altijd wachtwoorden zoals ‘123456’. Een voorbeeld hiervan is Evite, een populaire uitnodigingsdienst. Hoewel het platform op het eerste gezicht weinig gevoelige informatie lijkt te bevatten, delen gebruikers hier wel degelijk persoonlijke gegevens en beheren zij uitnodigingen via hun account. Juist daarom is het opvallend dat zulke eenvoudige wachtwoorden nog steeds worden toegestaan. Zeker wanneer je bedenkt dat Evite in 2019 slachtoffer werd van een datalek waarbij gegevens van meer dan 100 miljoen gebruikers werden buitgemaakt.
Ook grotere platformen doen het niet veel beter. Bij het aanmaken van een account op Facebook of X (voorheen Twitter) wordt wel enige vorm van wachtwoordcomplexiteit vereist, maar een wachtwoord als ‘1234567!’ wordt nog steeds geaccepteerd. Technisch gezien voldoet het aan minimale eisen, maar in de praktijk is het eenvoudig te raden of te kraken met geautomatiseerde scripts.
Het probleem ligt niet alleen bij gebruikers
Het is gemakkelijk om gebruikers verantwoordelijk te houden voor slechte wachtwoordkeuzes. Toch dragen organisaties zelf minstens zoveel verantwoordelijkheid. Wanneer platforms toestaan dat gebruikers kiezen voor voorspelbare wachtwoorden, faciliteren zij feitelijk onveilig gedrag.
Veel organisaties hanteren nog altijd verouderde authenticatie-eisen die vooral gericht zijn op minimale complexiteit, in plaats van daadwerkelijke veiligheid. Een extra teken of uitroepteken toevoegen maakt een wachtwoord immers niet automatisch sterk.
Daar komt bij dat gebruikers vaak tientallen accounts moeten beheren. Zonder ondersteuning vanuit organisaties, bijvoorbeeld via wachtwoordmanagers, passkeys of multi-factor authenticatie (MFA), blijven mensen terugvallen op eenvoudige en hergebruikte wachtwoorden.
Wetgeving blijft achter
In Europa bestaat al uitgebreide privacywetgeving, zoals de AVG (GDPR), die organisaties verplicht om persoonsgegevens adequaat te beschermen. Toch ontbreekt vaak specifieke regelgeving rond authenticatie bij klantaccounts.
Een uitzondering hierop is de financiële sector. Met regelgeving zoals PSD2 is multi-factor authenticatie (MFA) verplicht gesteld voor online betalingen en toegang tot betaalrekeningen. Dit heeft aantoonbaar geleid tot betere beveiliging. Voor andere sectoren blijft dit echter achter.
Tijd voor een structurele oplossing
De cybersecuritysector wijst al ontzettend lang op de risico’s van zwakke wachtwoorden. Toch blijft het probleem bestaan. Daarom is het tijd om verder te kijken dan awareness alleen en structurele maatregelen te nemen.
1. Verplicht sterke wachtwoorden of wachtzinnen
Minimale wachtwoordeisen moeten omhoog. Niet alleen qua complexiteit, maar vooral qua lengte en het blokkeren van bekende patronen en veelgebruikte wachtwoorden.
2. Maak MFA de standaard
Multi-factor authenticatie is geen extra beveiligingslaag meer, maar een basismaatregel. Zelfs wanneer een wachtwoord wordt buitgemaakt, voorkomt MFA in veel gevallen directe toegang tot accounts.
3. Versnel de overstap naar wachtwoordloos inloggen
Technologieën zoals passkeys, biometrische authenticatie en hardware tokens bieden een veiliger alternatief voor traditionele wachtwoorden én verbeteren vaak de gebruikerservaring.
4. Leg verantwoordelijkheid bij organisaties
Veilige keuzes moeten standaard worden afgedwongen. Zolang organisaties zwakke wachtwoorden toestaan, blijft het probleem bestaan, ongeacht hoeveel bewustwordingscampagnes worden gevoerd.
Gebruiksgemak versus beveiliging
Een veelgehoord argument tegen strengere authenticatie is dat het de gebruikerservaring verslechtert. Organisaties vrezen onder meer:
- hogere uitstappercentages bij registratie
- weerstand bij eindgebruikers
- extra kosten voor implementatie
Toch wegen deze nadelen nauwelijks op tegen de impact van datalekken, reputatieschade, financiële schade en compliance-risico’s. Sterker nog: moderne authenticatiemethoden zoals passkeys kunnen beveiliging én gebruiksgemak juist combineren.
Wat kunnen gebruikers zelf doen?
Hoewel organisaties een grote verantwoordelijkheid dragen, kunnen gebruikers ook zelf maatregelen nemen om hun accounts beter te beschermen:
- gebruik een wachtwoordmanager
- maak voor ieder account een uniek wachtwoord
- kies lange wachtzinnen in plaats van korte wachtwoorden
- activeer MFA waar mogelijk
Bekijk ook de wachtwoordgenerator van ESET voor het veilig aanmaken van sterke wachtwoorden.
