Know-how / Wachtwoordbeveiliging

Identieke wachtwoorden: de risico’s van herhaald wachtwoordgebruik

Eén login gehackt – alle toegangen in gevaar.

IT-beheerders dragen de grootste verantwoordelijkheid voor de bescherming van systemen en gegevens. Een bijzonder hardnekkig risico zijn identieke of hergebruikte wachtwoorden. Daarmee zetten gebruikers – vaak onbedoeld – de deur wagenwijd open voor credential stuffing, accountovernames en laterale bewegingen binnen het netwerk. Uit studies blijkt dat het gebruik van gestolen toegangsgegevens tot de meest voorkomende initiële aanvalsvectoren bij beveiligingsincidenten behoort (zie bronnen hieronder).

Gebruik nooit hetzelfde wachtwoord voor verschillende accounts.
Geen verplichte, periodieke wachtwoordwijziging zonder concrete aanleiding – kies in plaats daarvan voor lange, unieke wachtwoorden/passphrases en MFA/passkeys.
Nieuwe en bestaande wachtwoorden controleren aan de hand van gecompromitteerde lijsten; in Password Depot: Extra's → Beveiligingscontrole → Controleren op Pwned‑wachtwoorden.

Risico op bredere compromittering

Als één account wordt gecompromitteerd, testen aanvallers dezelfde inloggegevens geautomatiseerd op andere diensten (Credential‑Stuffing). Eén enkel datalek kan zo uitgroeien tot een kettingreactie – van e‑mail en collaboration‑tools tot Cloud‑diensten. Gevolg: diefstal van gegevens, identiteitsmisbruik en ongeautoriseerde toegang tot bedrijfsresources.

Bijzonder kritisch zijn „Basic Web Application Attacks", waarbij gestolen of hergebruikte inloggegevens de boventoon voeren – een duidelijke aanwijzing dat hergebruik van wachtwoorden in de praktijk direct kan worden misbruikt (zie bronnen).

Ransomware & accountovernames

Zodra aanvallers over geldige inloggegevens beschikken, kunnen zij privileges uitbreiden, zich lateraal door het netwerk bewegen en malware uitrollen – tot en met de uitrol van ransomware. Officiële aanbevelingen benadrukken daarom: hergebruik van wachtwoorden elimineren en phishingbestendige MFA (bijv. FIDO2/passkeys) activeren waar dat technisch mogelijk is (CISA, NIST).

Maatregelen ter verbetering van de wachtwoordbeveiliging

Beleid (policy)

Geen preventieve, periodieke wachtwoordwijzigingen – alleen afdwingen bij vermoeden of bewijs van compromittering (NIST, NCSC).
Eén wachtwoord per account/dienst – hergebruik strikt verbieden (NIST, NCSC).
Minimumlengte verhogen (bijv. ≥ 14 tekens) en onnodige complexiteitseisen vermijden; focus in plaats daarvan op lengte, uniciteit en het blokkeren van „veelgebruikte wachtwoorden” (NIST).
Wachtwoorden controleren aan de hand van gecompromitteerde lijsten (NIST SP 800–63B) – zie de praktijkopmerking over Password Depot hieronder.
MFA verplicht stellen, bij voorkeur phishingbestendig (FIDO2/Passkeys), in elk geval voor admin-, remote- en Cloud-toegangen (CISA).

Technische controles

Rate-limiting & monitoring bij aanmeldingen inschakelen; verdachte patronen (bijv. veel loginpogingen vanuit gedistribueerde netwerken) herkennen en blokkeren (NIST).
„Paste”/plakken toestaan, zodat wachtwoordmanagers veilig kunnen worden gebruikt – geen copy/paste-verbod in het wachtwoordveld (NIST).
Risicogebaseerde MFA-challenges en consequente MFA-registratie afdwingen (CISA).
Passkeys waar mogelijk invoeren; wachtwoordinvoer op termijn vervangen.
Gecompromitteerde wachtwoorden identificeren: In Password Depot via Extras → Veiligheidscontrole → Controleren op pwned wachtwoorden controleren en getroffen records onmiddellijk wijzigen.

Praktijk met Password Depot:

Open Extra → Veiligheidscontrole → Controleren in Pwned-wachtwoorden, om opgeslagen wachtwoorden te controleren aan de hand van gecompromitteerde lijsten.
Voer deze controle regelmatig uit – vooral na openbare datalekken of phishingincidenten.
Vervang gemarkeerde wachtwoorden direct door lange, unieke wachtwoordzinnen en activeer waar mogelijk MFA/passkeys.

Awareness & beheer

Train gebruikers regelmatig in Credential-Stuffing, phishing en het hergebruik van wachtwoorden (NCSC/CISA).
wachtwoordmanager aanbevelen en beschikbaar stellen; doel: lange, willekeurige, unieke wachtwoorden per dienst.
Incidenten (lekken, phishing, malwarebesmettingen) definiëren als aanleiding voor onmiddellijke wachtwoordwijziging en vernieuwing van tokens (NIST/CISA).

Kort gezegd: Hergebruik is de echte vijand. Afgedwongen, regelmatige wijzigingen zonder concrete aanleiding verslechteren de kwaliteit van wachtwoorden – en lossen het probleem niet op. Zet in op lengte, uniciteit, MFA/passkeys en de controle aan de hand van gecompromitteerde lijsten (bijv. direct in Password Depot).

Conclusie: Het herhaald gebruik van wachtwoorden vormt een aanzienlijk beveiligingsrisico en vergroot de kans op accountovernames tot en met ransomware-incidenten. Admin-teams moeten duidelijke, actuele richtlijnen implementeren en technisch borgen – inclusief de regelmatige controle op gecompromitteerde wachtwoorden met Password Depot – om identiteiten en systemen duurzaam te beschermen.

Bronnen (selectie)

NIST SP 800–63B: Digital Identity Guidelines – Memorized Secrets (o.a. geen verplichte wijzigingen; controle tegen gecompromitteerde lijsten; plakken toestaan)
CISA „Secure Our World": Use Strong Passwords (aanbeveling voor wachtwoordmanagers & unieke wachtwoorden)
NCSC (UK): Problems with forcing regular password expiry & Credential-Stuffing Advisory
Verizon DBIR: Rapportpagina & Executive Summary (jaarlijks bijgewerkt)
Have I Been Pwned: Pwned Passwords (openbare gegevensbron voor gecompromitteerde wachtwoorden)

Houd wachtwoorden uniek

Ontdek hoe Password Depot u helpt om elk wachtwoord uniek en veilig te beheren.

Tips voor veilige wachtwoorden