Sterke wachtwoorden maken en beheren
Bijgewerkt 2026-07-06
Bijna iedereen weet dat hij sterke wachtwoorden zou moeten gebruiken, en toch zijn de meest voorkomende nog steeds 123456 en password. Een deel van het probleem is slecht advies: jarenlang werd ons verteld een korte brij van symbolen te gebruiken en die maandelijks te wijzigen — wat zowel lastig te onthouden als niet bijzonder veilig blijkt. Deze gids legt uit wat een wachtwoord echt sterk maakt en hoe je wachtwoorden beheert zonder gek te worden.
Wat een wachtwoord sterk maakt
Een wachtwoord is sterk als het moeilijk te raden en moeilijk met brute kracht te kraken is — als er zoveel mogelijkheden zijn dat ze allemaal proberen onpraktisch is. Twee dingen drijven dat: lengte en onvoorspelbaarheid.
Lengte wint van complexiteit
Elk extra teken vermenigvuldigt het aantal mogelijke wachtwoorden, dus lengte is verreweg de krachtigste factor. Een lange wachtwoordzin van gewone woorden is veel sterker dan een korte cryptische reeks — en veel makkelijker te onthouden:
Zwakker: P@ss1! (8 tekens, lijkt "complex") Sterker: correct-horse-battery-staple (lang)
De cryptische is zwakker omdat aanvallers alle gebruikelijke trucs kennen — a vervangen door @, 1! aan het eind toevoegen — en hun software die patronen eerst probeert. Pure lengte wint van voorspelbare vervangingen.
Onvoorspelbaarheid (entropie)
De andere helft is willekeur. Een wachtwoord van een echt willekeurige mix van tekens of willekeurig gekozen woorden heeft hoge entropie — een maat voor hoe onvoorspelbaar het is. Alles gebaseerd op persoonlijke gegevens (je naam, verjaardag, huisdier, favoriete team) heeft lage entropie omdat het te raden is, ook al ziet het er rommelig uit.
Hoe aanvallers wachtwoorden werkelijk kraken
De dreiging begrijpen maakt het advies logisch:
- Credential stuffing — als één site wordt gehackt, proberen aanvallers de gelekte e-mail/wachtwoord-paren op elke andere site. Daarom is het hergebruiken van wachtwoorden zo gevaarlijk.
- Woordenboekaanvallen — lijsten met veelvoorkomende wachtwoorden en woorden proberen, inclusief de voorspelbare vervangingen hierboven.
- Brute kracht — elke combinatie proberen. Lengte is wat dit voor de aanvaller hopeloos maakt.
De drie regels die het meest tellen
- Maak ze lang — mik op 16+ tekens of een wachtwoordzin van meerdere woorden.
- Maak elk uniek — hergebruik nooit een wachtwoord over sites heen, zodat één lek de rest niet ontgrendelt.
- Maak ze willekeurig — baseer ze op niets dat met jou te maken heeft.
Een snelle manier om er een te maken die aan alle drie voldoet, is onze wachtwoordgenerator: hij maakt sterke willekeurige wachtwoorden volledig in je browser (er wordt niets ergens heen gestuurd) en laat je lengte en tekentypen afstellen. Voor machine-tot-machine-geheimen zoals API-sleutels doet een generator voor willekeurige tekenreeksen hetzelfde werk.
Hoe je ze allemaal onthoudt: niet doen
De regels hierboven zijn onmogelijk uit het hoofd vol te houden over tientallen accounts — precies waarom mensen wachtwoorden hergebruiken. Het antwoord is stoppen met proberen ze te onthouden:
- Gebruik een wachtwoordmanager. Die genereert, bewaart en vult voor elke site een uniek sterk wachtwoord in, en jij onthoudt maar één sterk hoofdwachtwoord.
- Zet tweefactorauthenticatie (2FA) aan. Ook als een wachtwoord lekt, houdt een tweede factor (een app-code of hardwaresleutel) een aanvaller buiten. Zet het aan overal waar het wordt aangeboden, vooral e-mail en bankieren.
- Bescherm je e-mail boven alles. Je e-mailaccount kan de meeste van je andere wachtwoorden resetten, dus het verdient je langste unieke wachtwoord en 2FA.
Wat je kunt laten
Moderne beveiligingsrichtlijnen (waaronder die van NIST) hebben twee oude gewoonten laten vallen: gedwongen periodieke wijzigingen (ze duwen mensen naar zwakke, voorspelbare varianten) en verplichte symbool-/cijferregels als vervanging voor lengte. Wijzig een wachtwoord als er een reden is — een lek, een gedeeld apparaat — niet volgens de kalender. Richt je energie op lengte, uniekheid en een wachtwoordmanager, en je bent de overweldigende meerderheid van de accounts online voor.
Meer over Beveiliging & privacy
Alle Beveiliging & privacy-gidsen bekijken →Tools genoemd in deze gids