Waarom wachtwoorden hun houdbaarheidsdatum voorbij zijn
Cybercriminelen hoeven tegenwoordig nauwelijks nog ergens ‘in te breken’. In plaats daarvan loggen ze simpelweg in met gestolen gegevens. Dat is de harde realiteit van digitale beveiliging in 2026, met het traditionele wachtwoord steeds vaker de zwakste schakel.
Uit het Verizon 2025 Data Breach Investigations Report blijkt dat gestolen inloggegevens verantwoordelijk waren voor 22% van alle bevestigde datalekken (bij aanvallen op webapplicaties liep dat zelfs op tot 88%). Tegelijkertijd meldde IBM X-Force een stijging van 84% in zogeheten infostealer-malware via phishingmails. Zulke malware steelt ongemerkt opgeslagen wachtwoorden uit browsers terwijl gebruikers gewoon doorwerken.
Daar komt nog een bekend probleem bij: wachtwoordhergebruik. Volgens Verizon was bij de gemiddelde gebruiker slechts 49% van alle wachtwoorden uniek. Met andere woorden: één buitgemaakt wachtwoord opent vaak meerdere deuren. Ondanks jarenlange waarschuwingen blijven veel mensen zwakke of hergebruikte wachtwoorden gebruiken.
Initial access brokers
Rond die praktijk is inmiddels een complete criminele economie ontstaan. Onderzoeksbureau KELA telde in 2025 maar liefst 3,9 miljard gestolen inloggegevens afkomstig van 4,3 miljoen geïnfecteerde apparaten. Die gegevens worden verkocht aan zogeheten initial access brokers, die vervolgens netwerktoegang doorverkopen aan ransomwaregroepen. Volgens Mandiant waren gestolen credentials betrokken bij 16% van alle onderzochte incidenten en bij 21% van de ransomwarezaken. De stap van gestolen wachtwoord naar gijzelsoftware duurt inmiddels dagen in plaats van maanden.
Multi Factor Authentication helpt, maar biedt geen absolute bescherming. Aanvallers gebruiken methodes zoals prompt bombing en phishingkits die tokens realtime onderscheppen. MFA is daarmee niet langer voldoende op zichzelf; phishing-resistente varianten zijn noodzakelijk.
Passkeys als alternatief
Tegelijkertijd gloort er een alternatief: passkeys. Deze technologie vervangt wachtwoorden door cryptografische sleutels die gekoppeld zijn aan een apparaat of biometrische verificatie. Volgens de FIDO Alliance beschikt inmiddels 69% van de consumenten over minstens één passkey. Het inlogslaagpercentage ligt op 93%, tegenover 63% bij traditionele wachtwoorden. Ook organisaties bewegen mee: 87% is bezig met implementatie of heeft passkeys al ingevoerd.
Toch is een volledige overstap niet eenvoudig. Veel bedrijven draaien nog op legacy-systemen, on-premises Active Directory, gedeelde werkplekken of verouderde hardware zonder TPM-chip of biometrie. Ook account recovery en beheer op grote schaal zijn nog niet overal goed geregeld. Voor veel organisaties betekent dit een langdurige hybride fase waarin wachtwoorden en passkeys naast elkaar bestaan.
De richting is echter duidelijk. In plaats van betere wachtwoorden na te jagen, zouden organisaties moeten streven naar minder wachtwoorden. Zet medewerkers op een wachtwoordmanager, voer phishing-resistente MFA in en begin met passkeys waar dat al mogelijk is. Wachtwoorden waren ooit een noodzakelijk kwaad. Nu zijn ze vooral nog kwaad.
Happy World Password Day!
Rich Greene
Certified Instructor bij SANS Institute
Lees meer
