Wachtwoord maken en onthouden
Peter Kulche Expert online privacyBijgewerkt op:7 december 2024
Wachtwoordstrategieën
Er zijn 3 manieren om veilig met wachtwoorden om te gaan:
- Een wachtwoord- of passwordmanager. Een veilige digitale kluis, waarvoor je nog maar 1 sterk hoofdwachtwoord hoeft te onthouden. We hebben 20 passwordmanagers getest, waaronder 1Password, Bitwarden, KeePassXC en LastPass.
- Wachtwoorden met een vast deel en een variabel deel voor iedere site. Onderaan deze pagina leggen we uit hoe je dit precies doet.
- Je wachtwoorden opschrijven en goed opbergen. Nadeel: je wachtwoorden veilig buitenshuis gebruiken is dan erg lastig. En je moet de wachtwoorden telkens overtypen.
Algemene wachtwoordtips
Een wachtwoord moet lang en uniek zijn om geautomatiseerde aanvallen van criminelen af te weren. Met moderne technieken kunnen ze soms miljarden wachtwoorden per seconde proberen. De volgende tips maken je wachtwoorden moeilijker te kraken:
- Hoe meer tekens, des te veiliger
Acht tekens is aan de korte kant. Het is verstandiger een lengte van minimaal 12 tekens aan te houden. Dat maakt het het wachtwoord tot 80 miljoen keer zo sterk. Maar 15 tekens is nog verstandiger en maakt de wachtwoorden toekomstbestendiger. - Zorg dat het niet te raden is
Cijfers, hoofdletters en speciale tekens (&, ?, #, !, %, enz.) versterken het wachtwoord. Het wachtwoord mag geen persoonlijke informatie bevatten die makkelijk te raden is, zoals een naam, geboortedatum of adres. Gebruik verschillende wachtwoorden voor elke website en dienst. - Gebruik een wachtzin
Een wachtzin onthou je makkelijker. Voorbeeld: IkHeb100Fietspompen. Gebruik wachtzinnen van minimaal 4 woorden. Gebruik geen spreekwoord of bekende zin, maar het hoeft niet heel ingewikkeld te zijn. Voorbeeld: 131KilometerIsTeSnel. Als hoofdwachtwoord voor je wachtwoordmanager werkt een sterke wachtzin handig. Bij sommige websites is de maximale wachtwoordlengte te kort voor een veilige wachtzin. - Verander af en toe je wachtwoord
Pas wachtwoorden minimaal 1 keer per jaar aan. Niet te vaak, want je moet het wel kunnen onthouden. Controleer ook eens in de zoveel tijd of je inloggegevens niet in verkeerde handen gevallen zijn, bijvoorbeeld op haveibeenpwned.com. Steeds meer wachtwoordmanagers kunnen ook zo'n check uitvoeren. - Gebruik tweefactorauthenticatie
Gebruik tweefactorauthenticatie
Welke wachtwoordmethode je ook hanteert, wachtwoorden kunnen door een datalek of hack soms toch in verkeerde handen vallen. Gebruik daarom tweefactorauthenticatie (ook wel 2FA, tweetrapsauthenticatie of tweestapsauthenticatie). Naast je wachtwoord gebruik je dan een tweede middel om je te identificeren. Denk aan:
- een app die een tijdgebonden code of bevestigingsknop toont, zoals Google Authenticator of Microsoft Authenticator;
- een sms-code via een ingesteld telefoonnummer (minst veilig wegens gevaar voor sim swapping);
- een apparaatje dat je identificeert via usb of draadloos (NFC), zoals de Yubico Yubikey.
In veel gevallen hoef je tweefactorauthenticatie niet bij elke keer dat je inlogt te gebruiken. Je kunt vaak kiezen een apparaat (bijvoorbeeld 30 dagen) te vertrouwen.
Verschillende sterke wachtwoorden onthouden
Om sterke én voor iedere site verschillende wachtwoorden te gebruiken die je toch kunt onthouden, kun je de volgende methode toepassen. Gebruik als basis 1 sterk wachtwoord dat je onthoudt en voeg daar per site een variabel deel aan toe.
- Vast deel: een voorbeeld voor het vaste deel is een samentrekking van een zin. 'Ik heb 500 boeken over Zuid-Afrika' wordt Ih500boZ-A. Kies een zin die je goed kunt onthouden en waar bij voorkeur hoofdletters en cijfers in zitten.
- Variabel deel: kies een manier om de naam van een dienst in het wachtwoord te verwerken, die door een hacker niet eenvoudig te zien is. Kies bijvoorbeeld altijd de tweede en op-één-na laatste letter uit de naam: voor Facebook krijg je dan 'ao' en bij Tui 'uu'. Nog beter: schuif deze letters dan bijvoorbeeld een plek op in het alfabet: ao wordt bp, en uu wordt vv.
Deze letters gebruik je dan telkens op dezelfde plek in het vaste deel van je wachtwoord. In ons voorbeeld plakken ze we vooraan en daarmee wordt het complete wachtwoord voor Facebook bpIh500boZ-A en voor Tui vvIh500boZ-A.
Bang dat je het variabele deel niet onthoudt? Noteer dan de regel of dit deel van het wachtwoord voor iedere site op papier. Berg de notitie goed op. Vind je dit te lastig, dan is een wachtwoordmanager een goed alternatief.
Geheime vraag
Bij het maken van een account kun je soms een 'geheime vraag' instellen. Met behulp van een door jou gegeven antwoord op een persoonlijke vraag kun je later het wachtwoord opnieuw instellen. Dit raden wij sterk af. Deze kennis is vaak eenvoudig op te zoeken.
Verplicht een website je tot een geheime vraag, bedenk dan een wachtzin als antwoord.
Wachtwoorden in managers en browsers
Met een wachtwoordmanager hoef je nog maar 1 wachtwoord te onthouden. Het programma bewaart de andere wachtwoorden voor je in een veilige digitale kluis. Zo kun je probleemloos lange en moeilijk te kraken wachtwoorden gebruiken voor al je accounts.
Wachtwoordmanagers kunnen ook inloggegevens uitwisselen tussen verschillende apparaten, bijvoorbeeld telefoon en pc. Zo heb je je wachtwoorden altijd bij de hand. Bekijk onze test van wachtwoordmanagers.
Of lees meer over de veiligheid van wachtwoordmanagers en wachtwoorden onthouden in de browser. Dat laatste kent vaak nadelen.
Nieuw & interessant
Webwinkels verplichten account onnodig
Bij 20 van de 100 grootste webwinkels is een gebruikersaccount verplicht voor elke klant, terwijl we daar geen goede reden voor zien. Het gaat om de grootste webshops. De accountdwang is irritant en niet zonder gevaar.Cookies weigeren vaak te lastig
Tracking-cookies en trackingtechnieken weigeren zou niet moeilijker mogen zijn dan de cookies accepteren. Maar hoe zit dat in de praktijk? We onderzochten ruim 100 websites.Let op bij ‘advertentieprivacy’ in Chrome
In Google Chrome krijg je de vraag of je de functie ‘advertentieprivacy’ wilt inschakelen. We zijn nog niet enthousiast. ‘Nee’ is op dit moment beter voor je privacy dan ‘Ja’.Nieuwe regels moeten online platforms veiliger maken
Onlineplatforms moeten beter omgaan met jouw meldingen over illegale zaken op het platform. Zij moeten vanaf nu voldoen aan de Digital Services Act (DSA).