Ergens rond 2004 besloot iemand — vermoedelijk iemand die zelf nooit een wachtwoord hoefde te onthouden — dat wachtwoorden aan de volgende eisen moesten voldoen: minimaal 8 tekens, een hoofdletter, een kleine letter, een cijfer, een speciaal teken, het vierde getal van pi, de meisjesnaam van je overgrootmoeder, en een haiku in het Japans.
Het resultaat? Welkom2026! Op elk bureau, in elke organisatie, in heel Nederland.
Gevolgd door de onsterfelijke varianten: Welkom2026!, Zomer2025!, Maandag01!, en de klassieker Wachtw00rd!. Want technisch gezien voldoen ze allemaal aan de eisen. Hoofdletter? Check. Cijfer? Check. Speciaal teken? Check. Veilig? Absoluut niet.
Het probleem met wachtwoordbeleid
Hier is het fundamentele probleem: we hebben een systeem gecreëerd dat perfect ontworpen is om wachtwoorden te produceren die moeilijk zijn voor mensen en makkelijk voor computers. Het is het slechtste van beide werelden.
Een computer kraakt Welkom2026! in minder tijd dan je nodig hebt om het te typen. Maar mijn-kat-heet-professor-snorrebransen? Dat is wiskunding gezien zo'n tien miljard keer moeilijker te kraken. En je hoeft het niet op een post-it te schrijven.
Dit is geen geheim. Het NIST — de Amerikaanse standaardorganisatie die wachtwoordbeleid voor de hele wereld heeft beïnvloed — heeft in 2017 al gezegd: stop met die gekke regels. Gebruik lange wachtzinnen. Dwing geen periodieke wijzigingen af. Verbied alleen wachtwoorden die in bekende datalekken voorkomen.
En toch, in 2026, dwingen organisaties hun medewerkers nog steeds om elke 90 dagen hun wachtwoord te wijzigen. Wat leidt tot het volkomen voorspelbare resultaat dat iedereen gewoon het seizoen en het jaar aanpast. Lente2026! wordt Zomer2026!. Een patroon zo voorspelbaar dat een kwaadwillende Python-script het in zes regels code kan raden.
MFA: de reddende engel (die niemand wil gebruiken)
Multi-factor authenticatie (MFA) is het beste dat we hebben. Het principe is simpel: naast iets wat je weet (je wachtwoord), gebruik je iets wat je hebt (je telefoon) of iets wat je bent (je vingerafdruk).
Het is niet perfect. SIM-swapping bestaat. Phishing-aanvallen kunnen MFA-codes onderscheppen. En die ene collega die zijn authenticator-app niet kan vinden omdat hij drie telefoons heeft en op geen van drieën weet welke het is — die bestaat ook.
Maar MFA maakt het voor een aanvaller orden van grootte moeilijker. En dat is wat telt. Security gaat niet over perfectie. Het gaat over de aanvaller genoeg obstakels in de weg leggen dat hij doorloopt naar het volgende doelwit.
Passkeys: de beloofde toekomst
Big Tech heeft besloten dat wachtwoorden dood zijn en dat passkeys de toekomst zijn. Apple, Google en Microsoft zijn het er voor het eerst in de geschiedenis over eens. Dat alleen al zou reden genoeg moeten zijn voor achterdocht.
Passkeys gebruiken publieke-sleutelcryptografie. Je apparaat bewaart een privésleutel, de website een publieke sleutel. Je logt in met je vingerafdruk of face-scan. Geen wachtwoord om te onthouden, geen wachtwoord om te stelen, geen wachtwoord om op een post-it te schrijven.
Het is elegant. Het is veilig. En het zal nog jaren duren voordat je moeder het kan gebruiken.
Want het probleem met passkeys is niet de technologie — het is de transitie. Wat als je je telefoon verliest? Wat als je van Android naar iPhone gaat? Wat als die ene legacy-applicatie uit 2011 geen passkeys ondersteunt maar wel missiekritisch is?
Wat moet je vandaag doen?
Terwijl we wachten op de utopische wachtwoordloze toekomst, zijn er praktische stappen die je nu kunt zetten:
- Gebruik een wachtwoordmanager. Niet "onthoud alle wachtwoorden in je hoofd." Niet "gebruik overal hetzelfde wachtwoord." Een wachtwoordmanager. Punt.
- Schakel MFA in overal waar het kan. Ja, het is een extra stap. Nee, het is niet optioneel. Niet meer.
- Gebruik wachtzinnen waar nodig. Vier willekeurige woorden achter elkaar zijn beter dan
P@ssw0rd!. - Stop met 90-dagen rotatie. Het maakt wachtwoorden niet veiliger. Het maakt ze voorspelbaarder.
- Monitor op gelekte credentials. Diensten als Have I Been Pwned vertellen je of je wachtwoorden in een datalek zijn verschenen.
De paradox
Hier is de paradox waar we mee leven: wachtwoorden zijn de slechtste authenticatiemethode die we hebben, behalve alle andere die we ook gebruiken. Ze zijn frustrerend, onveilig, en achterhaald. En we zullen ze nog minstens tien jaar blijven gebruiken.
Het minste wat je kunt doen is ze goed gebruiken. En als je wilt weten hoe jouw organisatie ervoor staat op het gebied van authenticatie en toegangsbeheer — vraag dan een security-assessment aan. Want Welkom2026! beschermt je tegen precies niemand.
Behalve misschien tegen je eigen IT-afdeling, die het wachtwoord al geraden had voordat je het had ingetypt.