1 februari is de Nationale Veranderwachtwoorddag, een goedbedoelde herinnering die, ironisch genoeg, alles benadrukt wat er mis is met de manier waarop we in 2026 over veiligheid denken.
Dit is de realiteit: als je de eerste dag van elke maand plichtsgetrouw ‘Zomer 2025!’ naar “Winter 2026!” in uw account maakt u uzelf niet veiliger. Sterker nog, je zou de zaken alleen maar erger kunnen maken.
Tientallen jaren van slecht advies
We hebben tientallen jaren besteed aan het leren van mensen de verkeerde lessen over wachtwoordbeveiliging. Nummer toevoegen. Voer speciale tekens in. Verander elke 90 dagen. Deze vereisten zijn ingebed in ons collectieve bewustzijn, herhaald door IT-afdelingen, geïmplementeerd via inlogformulieren en geïnternaliseerd door miljoenen gebruikers die denken dat ze het juiste doen.
Ondertussen evolueert het dreigingslandschap feitelijk in een andere richting. De aanvallers van vandaag zitten niet alleen maar achter een toetsenbord en typen handmatig wachtwoorden. Ze voeren offline brute force-aanvallen uit met speciale GPU-rigs die 100 miljard wachtwoorden per seconde kunnen proberen tegen hash-algoritmen zoals MD5 of SHA-1. Bij die snelheid geeft het vervangen van “@” door “a” u binnen enkele microseconden extra veiligheid.
Het National Institute of Standards and Technology (NIST), dat de gouden standaard voor cyberbeveiligingsrichtlijnen vaststelt, begrijpt deze nieuwe realiteit. Hun nieuwste richtlijnen voor digitale identiteit vertegenwoordigen een fundamentele verschuiving in de manier waarop we over wachtwoordbeveiliging denken, en het is niet wat de meeste mensen hadden verwacht.
Lengte verslaat elke keer de complexiteit
NIST-begeleiding heel gemakkelijk en verfrissend. Lengte is belangrijker dan complexiteit. Wachtwoorden moeten minimaal 15 tekens lang zijn, maar die tekens hoeven geen wirwar van cryptische symbolen te zijn die u snel zult vergeten (of erger nog: schrijf ze op een notitie).
NIST ondersteunt daarentegen het concept van een ‘wachtwoordzin’ of meerdere aaneengeregen woorden die gemakkelijk te onthouden maar moeilijk te raden zijn. “DontAskMeToChangeMyPassword” is veiliger dan “P@ssw0rd!” en veel gemakkelijker te onthouden.
Nog verrassender voor velen is dat NIST niet langer het gebruik van speciale tekens of cijfers aanbeveelt, en dat ze de praktijk van het afdwingen van regelmatige wachtwoordwijzigingen hebben opgegeven. Waarom? Omdat deze regels wachtwoorden niet veiliger maken, maken ze het alleen maar moeilijker voor mensen om ze te beheren, wat resulteert in voorspelbare oplossingen die de beveiliging verzwakken.
Wachtwoorden zijn het probleem, niet de oplossing
Maar dit is waar de begeleiding van NIST echt interessant wordt. Ze geven toe dat zelfs de sterkste wachtwoorden inherent onveilig zijn. Bij phishing-aanvallen maakt het niet uit hoe lang uw wachtwoord is. Datalekken leggen inloggegevens bloot, ongeacht hun complexiteit. En met meer dan 3.000 datalekken in 2025 De vraag is natuurlijk niet óf uw wachtwoord is gecompromitteerd, maar hoe vaak.
De belangrijkste aanbeveling van NIST gaat niet over het creëren van perfecte wachtwoorden. Het gaat erom dat we volledig verder gaan dan alleen wachtwoorden.
Ze benadrukken multifactor-authenticatie (MFA) als essentieel en niet als optioneel. Ze vechten om toegangssleutels: cryptografische sleutels die op uw apparaat zijn opgeslagen en die niet kunnen worden gephishing, geraden of gestolen in het geval van een databaselek. Ze ondersteunen wachtwoordmanagers die voor elk account unieke inloggegevens genereren en opslaan.
Organisaties realiseren zich dat wachtwoorden het probleem zijn, en niet de oplossing. Wachtwoordloze authenticatie is niet langer een futuristisch concept. Dit is een praktische noodzaak voor bedrijven die veiligheid en gebruikerservaring serieus nemen.
Wat je eigenlijk moet doen
Als je wachtwoorden moet gebruiken (en eerlijk gezegd heb je deze waarschijnlijk nog steeds nodig voor veel accounts), volg dan de richtlijnen van NIST. Maak het lang, gebruik een wachtwoordbeheerder en schakel MFA in waar dit beschikbaar is. Beter nog: gebruik een wachtwoord wanneer dit wordt aangeboden; dit is veiliger en handiger dan welk wachtwoord dan ook.
Maar de echte vraag is niet “hoe maak ik betere wachtwoorden?” Het is “waarom vertrouw ik nog steeds op wachtwoorden?”
In plaats van uw wachtwoorden te wijzigen op de Nationale Wachtwoordwijzigingsdag, waarom verandert u dan niet uw hele authenticatieaanpak?
