Cybersecurity Handboek Consumenten Inloggen Met Ruggengraat Directe Maatregelen (15 Minuten) Waarom Dit Telt Waarom

Wachtwoorden en Inloggen

Q: Directe maatregelen (15 minuten) Voer direct basismaatregelen uit: MFA, wachtwoordmanager en updates. Gebruik veilige standaardinstellingen voor privacy, browser en apparaat. Leg een herstelplan vast voor accountverlies, oplichting of datalek. Waarom dit telt

De kern van Wachtwoorden en Inloggen is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.

Q: De drie soorten 2FA Methode Hoe werkt het Veiligheid SMS-code Je krijgt een sms met een code die je moet invoeren Beter dan niets, maar niet ideaal – sms’jes kunnen worden onderschept Authenticator-app Een app op je telefoon genereert elke 30 seconden een nieuwe code Goed – werkt ook zonder internetverbinding Hardware-sleutel Een fysiek apparaatje (bijv. een YubiKey) dat je in je computer steekt of tegen je telefoon houdt Uitstekend – vrijwel niet te hacken Welke methode kiezen?

Voor de meeste mensen is een authenticator-app de beste balans tussen veiligheid en gemak. De populairste opties:

Q: Stap voor stap: 2FA inschakelen Installeer een authenticator-app op je telefoon Log in bij het account dat je wilt beveiligen (bijv. je e-mail) Ga naar de beveiligingsinstellingen van dat account Zoek naar “tweestapsverificatie”, “tweefactorauthenticatie” of “2FA” Kies de optie “authenticator-app” Scan de QR-code die verschijnt met je authenticator-app Voer de code in die de app toont om te bevestigen dat het werkt Bewaar de noodcodes die je krijgt op een veilige plek (op papier, in een la). Als je je telefoon verliest, heb je die nodig Waar moet je 2FA absoluut inschakelen?

Begin met je e-mail (wie daarin kan, kan al je andere wachtwoorden resetten), dan je DigiD, je wachtwoordmanager en je sociale media. Je bank heeft het waarschijnlijk al standaard via de app.

Inloggen Met Ruggengraat

Digitale veiligheid hoeft niet ingewikkeld te zijn. Het wordt sterk zodra je een paar vaste keuzes telkens herhaalt.

In Wachtwoorden en Inloggen telt vooral robuuste identiteit: sterke authenticatie, betrouwbaar sessiebeheer en minimaal privilege.

Het doel is niet perfectie, maar voorspelbaar veilig gedrag dat ook op drukke dagen overeind blijft.

Directe maatregelen (15 minuten)

Voer direct basismaatregelen uit: MFA, wachtwoordmanager en updates.
Gebruik veilige standaardinstellingen voor privacy, browser en apparaat.
Leg een herstelplan vast voor accountverlies, oplichting of datalek.

Waarom dit telt

De kern van Wachtwoorden en Inloggen is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.

De nacht dat 32 miljoen wachtwoorden op straat kwamen te liggen

In december 2009 brak een hacker in bij RockYou, een bedrijf dat spelletjes maakte voor Facebook. Niet bijzonder, zou je denken. Maar RockYou had een eigenaardigheid: ze hadden de wachtwoorden van al hun 32 miljoen gebruikers opgeslagen in platte tekst. Geen versleuteling, geen beveiliging, gewoon een gigantisch bestand met wachtwoorden naast e-mailadressen.

Het bestand lekte uit. En daarmee kregen onderzoekers voor het eerst een ongezouten blik op hoe mensen hun wachtwoorden kiezen. Het resultaat was – hoe zeg je dat beleefd – teleurstellend.

Het meest gebruikte wachtwoord? 123456. Gevolgd door 12345, 123456789, password en iloveyou. Meer dan een miljoen mensen hadden 123456 gekozen. Een miljoen mensen dachten allemaal: dit is vast veilig genoeg.

Dat was in 2009. En weet je wat het meest gebruikte wachtwoord is in 2025? Nog steeds 123456. We hebben in zestien jaar precies niets geleerd.

Tot nu. Want na dit hoofdstuk weet jij hoe het wel moet.

Waarom “Welkom123!” geen goed wachtwoord is

Laten we beginnen met een ongemakkelijke waarheid. De meeste mensen denken dat hun wachtwoord moeilijk te raden is. Dat is het niet.

Een aanvaller die wachtwoorden wil kraken, typt ze niet een voor een over. Die gebruikt een computer die miljoenen combinaties per seconde kan proberen. En die computer begint niet bij aaaaaa. Die begint bij een lijst van de meest voorkomende wachtwoorden ter wereld.

Hier is een versimpeld overzicht van hoe snel een wachtwoord gekraakt kan worden:

Wachtwoord	Kraaktijd
`123456`	Minder dan 1 seconde
`Welkom123!`	Minder dan 1 seconde (staat op elke woordenlijst)
`Zomer2024`	Een paar seconden
`P@ssw0rd!`	Minder dan 1 seconde
`kaas`	Minder dan 1 seconde
`mijnkatMiesjeisLief`	Uren tot dagen
`correcte-paard-batterij-nietje`	Eeuwen

Merk het patroon op. Het gaat niet om hoofdletters, uitroeptekens of het vervangen van een ‘o’ door een nul. Dat trucje kennen computers ook. Wat werkt, is lengte en onvoorspelbaarheid.

De harde waarheid: Een wachtwoord van acht tekens met hoofdletters, kleine letters, cijfers en symbolen heeft minder mogelijke combinaties dan een wachtwoord van vijf gewone Nederlandse woorden achter elkaar. Lengte wint altijd van complexiteit.

Wat maakt een wachtwoord dan wel sterk?

Vergeet alles wat je ooit hebt geleerd over wachtwoorden met verplichte hoofdletters en speciale tekens. Die regels zijn achterhaald. Zelfs het Amerikaanse National Institute of Standards and Technology (de organisatie die die regels ooit bedacht) heeft ze in 2017 teruggetrokken.

De moderne aanpak heet: wachtwoordzinnen.

In plaats van K@tje!42 gebruik je een zin van willekeurige woorden. Bijvoorbeeld:

“fiets lamp kasteel dinsdag”
“koffie zonnebloem pantoffel Nigeria”
“de kat droeg een hoge hoed naar de bakker”

Vier of vijf willekeurige woorden. Dat is alles. Geen uitroeptekens nodig. Geen cijfers nodig. De lengte doet het werk.

Hoe kies je goede woorden?

De woorden moeten willekeurig zijn. Niet je favoriete voetbalclub gevolgd door je geboortejaar. Niet de naam van je kat plus je straatnaam. Willekeurig.

Een leuke methode: pak een woordenboek, een krant of een tijdschrift. Sla willekeurige pagina’s op en wijs met je ogen dicht een woord aan. Doe dat vier of vijf keer. Klaar.

Tip: Een wachtwoordzin is makkelijker te onthouden en moeilijker te kraken dan een kort, ingewikkeld wachtwoord. “krokodil verzekering waterstof piano” is miljoenen keren veiliger dan “Krok0d!l1”.

Password managers: je digitale kluis

“Maar ik heb honderden accounts! Ik kan toch niet voor elk account een aparte wachtwoordzin onthouden?”

Klopt. En dat hoeft ook niet. Daarvoor bestaan wachtwoordmanagers (password managers).

Een wachtwoordmanager is een programma dat al je wachtwoorden opslaat in een versleutelde kluis. Je hoeft maar een wachtwoord te onthouden: het hoofdwachtwoord van de kluis zelf. Voor dat ene wachtwoord maak je een goede, lange wachtwoordzin. De rest regelt het programma.

Wat doet een wachtwoordmanager?

Slaat al je wachtwoorden veilig versleuteld op
Genereert sterke, unieke wachtwoorden voor elk account
Vult automatisch je inloggegevens in op websites
Waarschuwt je als een wachtwoord gelekt is bij een datalek
Werkt op je computer, telefoon en tablet

Welke kiezen?

Wachtwoordmanager	Prijs	Werkt op	Bijzonderheden
Bitwarden	Gratis (basisversie)	Alles	Open source, zeer betrouwbaar
KeePass	Gratis	Alles (via apps)	Opslag op eigen apparaat, niets in de cloud
1Password	Betaald (ca. 3 euro/maand)	Alles	Gebruiksvriendelijk, familieabonnement
De ingebouwde van je browser	Gratis	Alleen die browser	Beter dan niets, maar een losse manager is veiliger

Aanbeveling voor beginners: Start met Bitwarden. Het is gratis, werkt op alle apparaten, en het bedrijf heeft een uitstekende reputatie. Installeer de app op je telefoon en de extensie in je browser.

Stap voor stap: Bitwarden instellen

Ga naar bitwarden.com en maak een account aan
Kies een sterk hoofdwachtwoord – dit is de enige wachtwoordzin die je hoeft te onthouden, dus maak het een goede (vier of vijf willekeurige woorden)
Installeer de Bitwarden-app op je telefoon (via de App Store of Google Play)
Installeer de Bitwarden-extensie in je browser (Chrome, Firefox, Safari of Edge)
Begin met het opslaan van je wachtwoorden. Elke keer dat je ergens inlogt, biedt Bitwarden aan het wachtwoord op te slaan
Vervang geleidelijk je oude, zwakke wachtwoorden door sterke gegenereerde wachtwoorden

Tweefactorauthenticatie: het extra slot op je deur

Stel, iemand komt op de een of andere manier toch achter je wachtwoord. Bij een datalek, door meekijken op je schouder, of omdat je het per ongeluk op een phishingsite hebt ingevuld (zie hoofdstuk 1).

Als je alleen een wachtwoord hebt, is die persoon nu binnen. Maar als je tweefactorauthenticatie hebt ingeschakeld – vaak afgekort als 2FA – dan heeft die persoon nog steeds niet genoeg.

Tweefactorauthenticatie betekent: naast je wachtwoord (iets wat je weet) heb je een tweede bewijs nodig. Iets wat je hebt. Meestal is dat je telefoon.

De drie soorten 2FA

Methode	Hoe werkt het	Veiligheid
SMS-code	Je krijgt een sms met een code die je moet invoeren	Beter dan niets, maar niet ideaal – sms’jes kunnen worden onderschept
Authenticator-app	Een app op je telefoon genereert elke 30 seconden een nieuwe code	Goed – werkt ook zonder internetverbinding
Hardware-sleutel	Een fysiek apparaatje (bijv. een YubiKey) dat je in je computer steekt of tegen je telefoon houdt	Uitstekend – vrijwel niet te hacken

Welke methode kiezen?

Voor de meeste mensen is een authenticator-app de beste balans tussen veiligheid en gemak. De populairste opties:

Microsoft Authenticator (gratis, werkt overal)
Google Authenticator (gratis, simpel)
Esso / Authy (gratis, met back-upmogelijkheid)

Tip: Kies bij voorkeur een authenticator-app boven sms. In zeldzame gevallen kunnen criminelen je telefoonnummer overnemen (een aanval die “SIM-swapping” heet) en dan ontvangen zij jouw sms-codes.

Stap voor stap: 2FA inschakelen

Installeer een authenticator-app op je telefoon
Log in bij het account dat je wilt beveiligen (bijv. je e-mail)
Ga naar de beveiligingsinstellingen van dat account
Zoek naar “tweestapsverificatie”, “tweefactorauthenticatie” of “2FA”
Kies de optie “authenticator-app”
Scan de QR-code die verschijnt met je authenticator-app
Voer de code in die de app toont om te bevestigen dat het werkt
Bewaar de noodcodes die je krijgt op een veilige plek (op papier, in een la). Als je je telefoon verliest, heb je die nodig

Waar moet je 2FA absoluut inschakelen?

Begin met je e-mail (wie daarin kan, kan al je andere wachtwoorden resetten), dan je DigiD, je wachtwoordmanager en je sociale media. Je bank heeft het waarschijnlijk al standaard via de app.

Passkeys: de toekomst zonder wachtwoorden

Er is goed nieuws. De technologiewereld werkt aan een wereld zonder wachtwoorden. De oplossing heet passkeys.

Een passkey is een digitale sleutel die op je apparaat wordt opgeslagen. Als je wilt inloggen, bewijs je dat jij het bent met je vingerafdruk, gezichtsherkenning of de pincode van je telefoon. Geen wachtwoord om te onthouden. Niets om te typen. Niets om te phishen.

Het werkt zo:

Je maakt een account aan op een website die passkeys ondersteunt
In plaats van een wachtwoord te kiezen, maak je een passkey aan
Je telefoon of computer slaat de sleutel veilig op
Als je wilt inloggen, bevestig je met je vingerafdruk of gezicht
Klaar

Apple, Google en Microsoft ondersteunen passkeys al in hun besturingssystemen en browsers. Steeds meer websites bieden het aan: Google, Microsoft, Amazon, eBay, PayPal en vele anderen.

Tip: Als een website je de optie geeft om een passkey in te stellen, doe het. Het is veiliger dan welk wachtwoord dan ook, en het is makkelijker in gebruik.

Passkeys zijn nog niet overal beschikbaar, dus je hebt voorlopig nog wachtwoorden nodig. Maar begin ze te gebruiken waar het kan, en je bent klaar voor de toekomst.

DigiD: je digitale identiteitsbewijs

DigiD is bijzonder. Het is niet zomaar een account – het is de sleutel tot je belastingaangifte, je zorgverzekering, je pensioen, je gemeentezaken. Als iemand toegang krijgt tot jouw DigiD, kan die persoon overheidszaken regelen namens jou.

Beveilig je DigiD in drie stappen

Gebruik de DigiD-app in plaats van alleen een wachtwoord. De app voegt automatisch een tweede factor toe via je telefoon.
Schakel sms-controle in als extra beveiliging. Ga naar mijn.digid.nl en activeer dit onder “Inloggen”.
Kies een sterk wachtwoord – een wachtwoordzin van vier of meer woorden. Gebruik dit wachtwoord nergens anders.

Let op: De overheid, de Belastingdienst of je gemeente zal je nooit per e-mail of sms vragen om je DigiD-gegevens in te vullen. Als je zo’n bericht krijgt, is het altijd phishing. Altijd.

DigiD-beveiligingsniveaus

Niveau	Wat het inhoudt	Wanneer nodig
Basis	Gebruikersnaam + wachtwoord	Eenvoudige zaken
Midden	App of sms-controle	Belastingaangifte, zorgzaken
Substantieel	DigiD-app met identiteitsbewijs	Officiele documenten
Hoog	DigiD-app met identiteitsbewijs + pincode	Zeer gevoelige zaken

Streef minimaal naar het niveau “Midden” door de DigiD-app te installeren en te activeren.

Wachtwoorden hergebruiken: het domino-effect

Dit is misschien wel de belangrijkste boodschap van dit hele hoofdstuk.

Gebruik nooit hetzelfde wachtwoord voor meerdere accounts.

Nooit. Echt nooit.

Hier is waarom. Stel dat je hetzelfde wachtwoord gebruikt voor je e-mail, Facebook, een webwinkel en een oud forum. Dat forum wordt gehackt. De aanvallers hebben nu je e-mailadres en wachtwoord. Wat doen ze? Ze proberen diezelfde combinatie bij honderden andere websites. Gmail, Facebook, Amazon, PayPal, je bank. Dit heet credential stuffing – het “proppen” van gestolen inloggegevens in andere diensten. En het werkt verbluffend goed. Die ene domino valt, en de rest volgt.

Hoe weet je of je gegevens gelekt zijn?

Ga naar haveibeenpwned.com – een gratis, betrouwbare website gerund door beveiligingsonderzoeker Troy Hunt. Vul je e-mailadres in en je ziet onmiddellijk of het voorkomt in bekende datalekken.

Tip: Schrik niet als je e-mailadres in een of meer lekken voorkomt. Dat geldt voor de meeste mensen. Het belangrijkste is wat je er vervolgens mee doet: wijzig het wachtwoord van elke dienst die in het lek voorkomt, en zorg dat je overal een uniek wachtwoord gebruikt.

De wachtwoordhierarchie

Niet alle accounts zijn even belangrijk. Behandel ze ook niet zo.

Niveau	Voorbeelden	Wat je nodig hebt
Kritiek	E-mail, DigiD, wachtwoordmanager, bankieren	Sterke wachtwoordzin + 2FA + regelmatig controleren
Belangrijk	Sociale media, webwinkels met betaalgegevens, cloud-opslag	Uniek gegenereerd wachtwoord + 2FA waar mogelijk
Overig	Forums, nieuwsbrieven, eenmalige accounts	Uniek gegenereerd wachtwoord

De kernregel: Elk account krijgt een eigen wachtwoord. Geen uitzonderingen. Je wachtwoordmanager maakt dit moeiteloos.

Veelgemaakte fouten

Fout	Doe dit in plaats daarvan
Wachtwoorden op een Post-it bij je scherm	Gebruik een wachtwoordmanager
Wachtwoorden in een Word-bestand of notitie-app	Gebruik een wachtwoordmanager (die is versleuteld)
Wachtwoord delen via WhatsApp of e-mail	Deel via je wachtwoordmanager (die heeft een deelfunctie)
Overal hetzelfde wachtwoord gebruiken	Elk account een eigen wachtwoord
Inloggen op publieke computers	Vermijd het; gebruik je eigen telefoon

Doe dit vandaag

De belangrijkste stappen die je nu kunt zetten. In volgorde van impact.

Controleer op haveibeenpwned.com of je e-mailadres voorkomt in bekende datalekken
Installeer een wachtwoordmanager (begin met Bitwarden – het is gratis)
Bedenk een sterke wachtwoordzin van vier of vijf willekeurige woorden als hoofdwachtwoord
Schakel tweefactorauthenticatie in op je e-mailaccount (dit is de allerbelangrijkste stap)
Schakel tweefactorauthenticatie in op je DigiD via de DigiD-app
Vervang je drie meest gebruikte wachtwoorden door unieke, door je wachtwoordmanager gegenereerde wachtwoorden
Controleer of je ergens hetzelfde wachtwoord gebruikt als bij je e-mail – zo ja, verander dat onmiddellijk
Zet een herinnering in je agenda over een maand: “nog vijf wachtwoorden vervangen” – maak er een gewoonte van

Je hoeft niet alles in een keer te doen. Begin vandaag met je e-mail en je wachtwoordmanager. Vervang elke week een paar wachtwoorden. Over een maand heb je een digitaal leven dat honderd keer veiliger is dan gisteren. En het enige wat je hoeft te onthouden, is die ene wachtwoordzin.

← Vorige Phishing en Oplichting Herkennen Volgende → Je Telefoon Beveiligen

Verder lezen in de kennisbank

Deze artikelen in het portaal geven je meer achtergrond en praktische context:

Je hebt een account nodig om de kennisbank te openen. Inloggen of registreren.

Gerelateerde securitymaatregelen

Deze artikelen bieden aanvullende context en verdieping:

Op de hoogte blijven?

Ontvang maandelijks cybersecurity-inzichten in je inbox.

← Consumenten & Thuisgebruikers ← Home