1 februari was de Nationale Verander je Wachtwoord Dag, een goedbedoelde herinnering die, ironisch genoeg, alles benadrukt wat er mis is met de manier waarop we in 2026 over veiligheid denken.
Hier is de waarheid: als je de eerste dag van de maand plichtsgetrouw “Summer2025!” naar “Winter2026!” voor al uw accounts heeft u uzelf niet veiliger gemaakt. Sterker nog, je had de zaken misschien nog erger gemaakt.
Tientallen jaren van slecht advies
We hebben tientallen jaren besteed aan het leren van mensen de verkeerde lessen over wachtwoordbeveiliging. Voeg een nummer toe. Voeg een speciaal karakter toe. Verander het elke 90 dagen. Deze vereisten zijn in ons collectieve bewustzijn gegrift, herhaald door IT-afdelingen, afgedwongen door inlogformulieren en geïnternaliseerd door miljoenen gebruikers die dachten dat ze het juiste deden.
Ondertussen evolueerde het feitelijke dreigingslandschap in een geheel andere richting. De aanvallers van vandaag zitten niet meer achter een toetsenbord en typen handmatig wachtwoorden. Ze voeren offline brute force-aanvallen uit met speciale GPU-rigs die 100 miljard wachtwoorden per seconde kunnen proberen tegen hash-algoritmen zoals MD5 of SHA-1. Bij die snelheid levert uw slimme vervanging van “@” door “a” u microseconden extra veiligheid op.
Het National Institute of Standards and Technology (NIST), dat de gouden standaard voor cyberbeveiligingsrichtlijnen vaststelt, begrijpt de nieuwe realiteit. Hun nieuwste richtlijnen voor digitale identiteit vertegenwoordigen een fundamentele verschuiving in de manier waarop we over wachtwoordbeveiliging moeten denken, en het is niet wat de meeste mensen verwachten.
Lengte verslaat elke keer de complexiteit
NIST’s begeleiding is verfrissend eenvoudig. Lengte is veel belangrijker dan complexiteit. Een wachtwoord moet minimaal 15 tekens lang zijn, maar die tekens hoeven geen cryptische wirwar van symbolen te zijn die u onvermijdelijk vergeet (of erger nog, op een notitie schrijft).
In plaats daarvan onderschrijft NIST het concept van ‘wachtzinnen’ of meerdere aaneengeregen woorden die gemakkelijk te onthouden maar moeilijk te raden zijn. “DontAskMeToChangeMyPassword” is veiliger dan “P@ssw0rd!” en oneindig gemakkelijker te onthouden.
Nog verrassender voor velen is dat NIST niet langer aanbeveelt om speciale tekens of cijfers te vereisen, en dat ze de praktijk van het afdwingen van regelmatige wachtwoordwijzigingen hebben opgegeven. Waarom? Omdat deze regels wachtwoorden niet veiliger maken, maken ze ze alleen moeilijker te beheren voor mensen, wat leidt tot voorspelbare oplossingen die de beveiliging feitelijk verzwakken.
Wachtwoorden zijn het probleem, niet de oplossing
Maar hier wordt de begeleiding van NIST pas echt interessant. Ze erkennen dat zelfs het sterkste wachtwoord fundamenteel onveilig is. Bij phishing-aanvallen maakt het niet uit hoe lang uw wachtwoord is. Datalekken leggen inloggegevens bloot, ongeacht de complexiteit. En met ruim 3.000 datalekken in 2025 Alleen is de vraag niet of uw wachtwoord is gecompromitteerd, maar hoe vaak.
De voornaamste aanbeveling van NIST gaat niet over het bedenken van het perfecte wachtwoord. Het gaat erom volledig verder te gaan dan alleen wachtwoorden.
Ze benadrukken multifactor-authenticatie (MFA) als essentieel en niet als optioneel. Ze zijn voorstander van wachtwoordsleutels: cryptografische sleutels die op uw apparaten zijn opgeslagen en die niet kunnen worden gephishing, geraden of gestolen bij databaselekken. Ze onderschrijven wachtwoordmanagers die voor elk account unieke inloggegevens genereren en opslaan.
Organisaties realiseren zich dat het wachtwoord het probleem is, en niet de oplossing. Wachtwoordloze authenticatie is geen futuristisch concept meer. Het is een praktische noodzaak voor bedrijven die serieus bezig zijn met beveiliging en gebruikerservaring.
Wat je eigenlijk moet doen
Als je wachtwoorden moet gebruiken (en laten we eerlijk zijn, je hebt ze waarschijnlijk nog steeds nodig voor veel accounts), volg dan de richtlijnen van NIST. Maak ze lang, gebruik een wachtwoordbeheerder en schakel MFA overal in waar dit beschikbaar is. Beter nog, omarm wachtwoordsleutels wanneer deze worden aangeboden: ze zijn veiliger en handiger dan welk wachtwoord dan ook ooit zou kunnen zijn.
Maar de echte vraag is niet “hoe maak ik een beter wachtwoord?” Het is “waarom vertrouw ik überhaupt nog op wachtwoorden?”
In plaats van uw wachtwoord te wijzigen op de Nationale Verander uw Wachtwoord Dag, waarom verandert u dan niet uw hele benadering van authenticatie?
