Identieke wachtwoorden: de risico's van herhaaldelijk gebruik van wachtwoorden

Eén login gehackt – alle toegangen in gevaar.

IT-beheerders dragen de grootste verantwoordelijkheid voor de bescherming van systemen en gegevens. Een bijzonder hardnekkig risico zijn identieke of hergebruikte wachtwoorden. Hiermee openen gebruikers – vaak onbedoeld – de deur voor aanvallers voor credential stuffing, account-overnames en laterale bewegingen in het netwerk. Studies tonen aan dat het gebruik van gestolen toegangsgegevens een van de meest voorkomende initiële vectoren bij beveiligingsincidenten is (zie bronnen hieronder).

Risico van overkoepelende compromittering

Als een account gecompromitteerd raakt, testen aanvallers automatisch dezelfde inloggegevens op andere diensten (credential stuffing). Een enkele lek kan zo een kettingreactie veroorzaken – van e-mail en samenwerkingstools tot clouddiensten. Het resultaat: diefstal van gegevens, identiteitsmisbruik en ongeoorloofde toegang tot bedrijfsmiddelen.

Bijzonder kritiek zijn “Basic Web Application Attacks”, waarbij gestolen of hergebruikte toegangsgegevens domineren – een duidelijke aanwijzing dat hergebruik van wachtwoorden in de praktijk direct kan worden misbruikt (zie bronnen).

Ransomware & account-overnames

Zodra aanvallers over geldige toegangsgegevens beschikken, kunnen ze hun privileges uitbreiden, zich lateraal in het netwerk bewegen en schadelijke software verspreiden – tot en met het verspreiden van ransomware. Officiële aanbevelingen benadrukken daarom: het hergebruik van wachtwoorden elimineren en phishing-bestendige MFA (bijv. FIDO2/passkeys) activeren waar dit technisch mogelijk is (CISA, NIST).

Maatregelen ter verbetering van de wachtwoordbeveiliging

Beleid (Policy)

  • Geen preventieve, regelmatige wachtwoordwijzigingen – alleen afdwingen bij vermoeden of bewijs van compromittering (NIST, NCSC).
  • Eén wachtwoord per account/dienst – hergebruik strikt verbieden (NIST, NCSC).
  • Verhoog de minimale lengte (bijv. ≥ 14 tekens) en vermijd onnodige complexiteitsvereisten; focus in plaats daarvan op lengte, uniekheid en het blokkeren van “veelgebruikte wachtwoorden” (NIST).
  • Controleer wachtwoorden aan de hand van gecompromitteerde lijsten (NIST SP 800‑63B) – zie de praktische opmerking over Password Depot hieronder.
  • MFA verplicht, bij voorkeur phishingbestendig (FIDO2/Passkeys), ten minste voor beheer-, externe en cloudtoegang (CISA).

Technische controles

  • Rate‑Limiting & Monitoring bij aanmeldingen activeren; verdachte patronen (bijv. veel aanmeldingspogingen vanuit verspreide netwerken) herkennen en blokkeren (NIST).
  • “Plakken” toestaan, zodat wachtwoordbeheerders veilig kunnen worden gebruikt – geen verbod op kopiëren/plakken in het wachtwoordveld (NIST).
  • Risicogebaseerde MFA-uitdagingen en consequente MFA-registratie afdwingen (CISA).
  • Passkeys invoeren waar mogelijk; wachtwoordinvoer op termijn vervangen.
  • Gecompromitteerde wachtwoorden identificeren: controleren in Password Depot via Extra's → Veiligheidscontrole → Controleren op Pwned-wachtwoorden en de betreffende vermeldingen onmiddellijk wijzigen.

Bewustwording en gebruik

  • Train gebruikers regelmatig in credential stuffing, phishing en het hergebruik van wachtwoorden (NCSC/CISA).
  • Wachtwoordbeheerders aanbevelen en beschikbaar stellen; doel: lange, willekeurige, unieke wachtwoorden per dienst.
  • Incidenten (lekken, phishing, malware-aanvallen) definiëren als aanleiding voor onmiddellijke wachtwoordwijziging en tokenvernieuwing (NIST/CISA).
Duidelijk: hergebruik is de echte vijand. Gedwongen, regelmatige wijzigingen zonder reden verslechteren de kwaliteit van de wachtwoorden – en lossen het probleem niet op. Zet in op lengte, uniekheid, MFA/passkeys en het controleren van gecompromitteerde lijsten (bijv. direct in Password Depot).

Conclusie: Het herhaaldelijk gebruik van wachtwoorden vormt een aanzienlijk veiligheidsrisico en bevordert account-overnames tot zelfs ransomware-incidenten. Beheerteams moeten duidelijke, actuele richtlijnen implementeren en technisch beveiligen – inclusief regelmatige controles op gecompromitteerde wachtwoorden met Password Depot – om identiteiten en systemen duurzaam te beschermen.

Bronnen (selectie)