Identieke wachtwoorden: de risico's van herhaaldelijk gebruik van wachtwoorden
Eén login gehackt – alle toegangen in gevaar.
IT-beheerders dragen de grootste verantwoordelijkheid voor de bescherming van systemen en gegevens. Een bijzonder hardnekkig risico zijn identieke of hergebruikte wachtwoorden. Hiermee openen gebruikers – vaak onbedoeld – de deur voor aanvallers voor credential stuffing, account-overnames en laterale bewegingen in het netwerk. Studies tonen aan dat het gebruik van gestolen toegangsgegevens een van de meest voorkomende initiële vectoren bij beveiligingsincidenten is (zie bronnen hieronder).
- Gebruik nooit hetzelfde wachtwoord voor verschillende accounts.
- Geen gedwongen, regelmatige wachtwoordwijzigingen zonder reden – in plaats daarvan lange, unieke wachtwoorden/wachtwoordzinnen en MFA/passkeys.
- Controleer nieuwe en bestaande wachtwoorden op gecompromitteerde lijsten; in Password Depot: Extra's → Veiligheidscontrole → Controleer op Pwned-wachtwoorden.
Risico van overkoepelende compromittering
Als een account gecompromitteerd raakt, testen aanvallers automatisch dezelfde inloggegevens op andere diensten (credential stuffing). Een enkel lek kan zo een kettingreactie veroorzaken – van e-mail en samenwerkingstools tot clouddiensten. Het resultaat: diefstal van gegevens, identiteitsmisbruik en ongeoorloofde toegang tot bedrijfsmiddelen.
Bijzonder kritiek zijn “Basic Web Application Attacks”, waarbij gestolen of hergebruikte toegangsgegevens domineren – een duidelijke aanwijzing dat hergebruik van wachtwoorden in de praktijk direct kan worden misbruikt (zie bronnen).
Ransomware & account-overnames
Zodra aanvallers over geldige toegangsgegevens beschikken, kunnen ze hun privileges uitbreiden, zich lateraal in het netwerk bewegen en schadelijke software verspreiden – tot en met het verspreiden van ransomware. Officiële aanbevelingen benadrukken daarom: het hergebruik van wachtwoorden elimineren en phishing-bestendige MFA (bijv. FIDO2/passkeys) activeren waar dit technisch mogelijk is (CISA, NIST).
Maatregelen ter verbetering van de wachtwoordbeveiliging
Beleid (Policy)
- Geen preventieve, regelmatige wachtwoordwijzigingen – alleen afdwingen bij vermoeden of bewijs van compromittering (NIST, NCSC).
- Eén wachtwoord per account/dienst – hergebruik strikt verbieden (NIST, NCSC).
- Verhoog de minimale lengte (bijv. ≥ 14 tekens) en vermijd onnodige complexiteitsvereisten; focus in plaats daarvan op lengte, uniekheid en het blokkeren van “veelgebruikte wachtwoorden” (NIST).
- Controleer wachtwoorden aan de hand van gecompromitteerde lijsten (NIST SP 800‑63B) – zie de praktische opmerking over Password Depot hieronder.
- MFA verplicht, bij voorkeur phishingbestendig (FIDO2/Passkeys), ten minste voor beheer-, externe en cloudtoegang (CISA).
Technische controles
- Rate‑Limiting & Monitoring bij aanmeldingen activeren; verdachte patronen (bijv. veel aanmeldingspogingen vanuit verspreide netwerken) herkennen en blokkeren (NIST).
- “Plakken” toestaan, zodat wachtwoordbeheerders veilig kunnen worden gebruikt – geen verbod op kopiëren/plakken in het wachtwoordveld (NIST).
- Risicogebaseerde MFA-uitdagingen en consequente MFA-registratie afdwingen (CISA).
- Passkeys invoeren waar mogelijk; wachtwoordinvoer op termijn vervangen.
- Gecompromitteerde wachtwoorden identificeren: controleren in Password Depot via Extra's → Veiligheidscontrole → Controleren op Pwned-wachtwoorden en de betreffende vermeldingen onmiddellijk wijzigen.
- Open Extra's → Veiligheidscontrole → Controleer op Pwned-wachtwoorden om opgeslagen wachtwoorden te controleren op gecompromitteerde lijsten.
- Voer deze controle regelmatig uit, vooral na openbare datalekken of phishingincidenten.
- Vervang gemarkeerde wachtwoorden onmiddellijk door lange, unieke wachtwoordzinnen en activeer waar mogelijk MFA/passkeys.
Bewustwording en gebruik
- Train gebruikers regelmatig in credential stuffing, phishing en het hergebruik van wachtwoorden (NCSC/CISA).
- Wachtwoordbeheerders aanbevelen en beschikbaar stellen; doel: lange, willekeurige, unieke wachtwoorden per dienst.
- Incidenten (lekken, phishing, malware-aanvallen) definiëren als aanleiding voor onmiddellijke wachtwoordwijziging en tokenvernieuwing (NIST/CISA).
Duidelijk: hergebruik is de echte vijand. Gedwongen, regelmatige wijzigingen zonder reden verslechteren de kwaliteit van de wachtwoorden – en lossen het probleem niet op. Zet in op lengte, uniekheid, MFA/passkeys en het controleren van gecompromitteerde lijsten (bijv. direct in Password Depot).
Conclusie: Het herhaaldelijk gebruik van wachtwoorden vormt een aanzienlijk veiligheidsrisico en bevordert account-overnames tot zelfs ransomware-incidenten. Beheerteams moeten duidelijke, actuele richtlijnen implementeren en technisch beveiligen – inclusief regelmatige controles op gecompromitteerde wachtwoorden met Password Depot – om identiteiten en systemen duurzaam te beschermen.
Bronnen (selectie)
- NIST SP 800‑63B: Digital Identity Guidelines – Memorized Secrets (o. a. geen gedwongen wijzigingen; vergelijking met gecompromitteerde lijsten; plakken toestaan)
- CISA “Secure Our World”: Use Strong Passwords (aanbeveling voor wachtwoordbeheerders en unieke wachtwoorden)
- NCSC (VK): Problemen met het afdwingen van regelmatige wachtwoordexpiratie & Credential‑Stuffing Advisory
- Verizon DBIR: rapportpagina & samenvatting (jaarlijks bijgewerkt)
- Have I Been Pwned: Pwned Passwords (openbare gegevensbron voor gecompromitteerde wachtwoorden)
Houd wachtwoorden uniek
Ontdek hoe Password Depot u helpt elk wachtwoord uniek en veilig te beheren.
Tips voor sterke wachtwoorden