digitaalgezag
Cybersecurity

Wachtwoordbeleid voor bedrijven: moderne richtlijnen

RDRedactie Digitaalgezag Laatst bijgewerkt: juni 2026

De meeste bedrijven hebben een wachtwoordbeleid dat gebaseerd is op regels van twintig jaar geleden: minstens acht tekens, een hoofdletter, een cijfer, een vreemd teken, en elke drie maanden verplicht wijzigen. Het probleem is dat de wetenschap inmiddels weet dat juist deze regels mensen onveiliger maken. Ze leiden tot voorspelbare wachtwoorden, briefjes onder het toetsenbord en frustratie, zonder dat ze veel bescherming bieden.

In dit artikel lees je de moderne richtlijnen voor wachtwoordbeleid, gebaseerd op het huidige inzicht van beveiligingsexperts. Je leert waarom de oude regels averechts werken, wat wél werkt, en hoe je een beleid opstelt dat zowel veiliger als prettiger is voor je medewerkers. Want goed wachtwoordbeleid maakt het leven makkelijker, niet moeilijker.

Waarom de oude regels averechts werken

De klassieke wachtwoordregels zijn met goede bedoelingen bedacht, maar de praktijk heeft laten zien dat ze niet werken zoals gehoopt.

Complexiteitseisen leiden tot voorspelbaarheid. Als je mensen dwingt tot een hoofdletter, cijfer en teken, krijg je voorspelbare patronen: "Welkom2024!" of "Wachtwoord1!". Die voldoen aan de regels maar zijn makkelijk te raden, omdat iedereen dezelfde trucjes gebruikt.

Verplicht wijzigen maakt het slechter. Als mensen elke drie maanden moeten wijzigen, kiezen ze zwakkere wachtwoorden die ze makkelijk kunnen onthouden en aanpassen ("Welkom1", "Welkom2", "Welkom3"). Het verplichte wijzigen leidt tot voorspelbare variaties, niet tot sterkere wachtwoorden.

Korte complexe wachtwoorden zijn zwakker dan lange simpele. Een kort wachtwoord met allerlei tekens is voor een computer sneller te kraken dan een lang wachtwoord van gewone woorden. Lengte is belangrijker dan complexiteit, en dat is precies wat de oude regels misten.

De moderne richtlijnen

Het huidige inzicht, onderschreven door toonaangevende beveiligingsinstanties, legt de nadruk op andere dingen.

1. Lengte boven complexiteit. Een lang wachtwoord is sterker dan een kort en complex wachtwoord. Stimuleer wachtwoordzinnen: een reeks van meerdere woorden die samen lang en makkelijk te onthouden zijn, maar moeilijk te raden. Een zin van vier willekeurige woorden is sterker én makkelijker dan "X7!q".

2. Niet meer verplicht periodiek wijzigen. Het moderne advies is om wachtwoorden alleen te wijzigen als er een aanleiding is, bijvoorbeeld een vermoeden dat het is gelekt. Verplicht periodiek wijzigen zonder aanleiding leidt alleen tot zwakkere wachtwoorden.

3. Controleer op bekende gelekte wachtwoorden. Veel systemen kunnen automatisch controleren of een gekozen wachtwoord voorkomt in bekende lekken. Dat is veel effectiever dan complexiteitsregels: het blokkeert juist de wachtwoorden die aanvallers als eerste proberen.

4. Gebruik een wachtwoordmanager. Dit is misschien wel het belangrijkste advies. Een wachtwoordmanager genereert en onthoudt voor elke dienst een uniek, sterk wachtwoord, zodat mensen er maar één hoeven te onthouden (die van de manager zelf). Dit lost het grootste probleem op: hergebruik van wachtwoorden.

5. Combineer altijd met tweefactorauthenticatie. Hoe goed je wachtwoordbeleid ook is, een wachtwoord kan altijd lekken. Tweefactorauthenticatie zorgt dat een gelekt wachtwoord alleen niet genoeg is. Zie Tweefactorauthenticatie instellen. Wachtwoordbeleid en 2FA horen bij elkaar.

Het grootste probleem: hergebruik

De gevaarlijkste gewoonte is niet een zwak wachtwoord, maar hetzelfde wachtwoord overal gebruiken. Want als één dienst gehackt wordt en je wachtwoord lekt, proberen aanvallers dat wachtwoord automatisch op al je andere accounts. Eén lek wordt dan toegang tot alles.

Dit is precies waarom een wachtwoordmanager zo waardevol is: hij maakt het moeiteloos om voor elke dienst een uniek wachtwoord te hebben, zonder dat iemand ze allemaal hoeft te onthouden. Het verandert "een uniek wachtwoord per dienst" van een onmogelijke opgave in iets wat vanzelf gaat. Voor de meeste bedrijven is het invoeren van een wachtwoordmanager de grootste sprong in wachtwoordveiligheid die ze kunnen maken.

Een werkbaar wachtwoordbeleid opstellen

Een modern, praktisch beleid voor het MKB ziet er ongeveer zo uit:

Stel lengte centraal. Vraag om lange wachtwoorden of wachtwoordzinnen, in plaats van korte met allerlei verplichte tekens.

Schaf verplicht periodiek wijzigen af. Wijzig alleen bij een concrete aanleiding.

Voer een wachtwoordmanager in. Faciliteer en stimuleer het gebruik ervan voor het hele bedrijf. Dit lost hergebruik op.

Controleer op gelekte wachtwoorden waar je systemen dat ondersteunen.

Verplicht tweefactorauthenticatie als sluitstuk, want geen wachtwoordbeleid is waterdicht zonder.

Leg uit waarom. Net als bij andere maatregelen: mensen werken makkelijker mee als ze het nut begrijpen. Vertel waarom lange wachtwoordzinnen beter zijn en waarom hergebruik gevaarlijk is.

De andere kant: beleid moet werkbaar blijven

Een belangrijk principe: het strengste beleid is niet het veiligste als mensen het omzeilen. Een beleid dat te streng of te omslachtig is, leidt tot briefjes met wachtwoorden, gedeelde accounts en sluiproutes, en dat maakt je juist onveiliger. Het doel is een beleid dat veilig én werkbaar is, zodat mensen het volgen in plaats van eromheen werken. De moderne richtlijnen zijn niet alleen veiliger, ze zijn ook prettiger, en dat is precies waarom ze werken.

Veelgestelde vragen

Moet ik mijn medewerkers hun wachtwoord regelmatig laten wijzigen?

Nee, dat is verouderd advies. Verplicht periodiek wijzigen zonder aanleiding leidt tot zwakkere, voorspelbare wachtwoorden ("Welkom1", "Welkom2"). Het moderne advies is om wachtwoorden alleen te wijzigen als er een concrete aanleiding is, zoals een vermoeden dat het is gelekt. Steek je energie liever in lengte, een wachtwoordmanager en tweefactorauthenticatie.

Wat is een sterk wachtwoord volgens de moderne richtlijnen?

Een lang wachtwoord is sterker dan een kort en complex wachtwoord. De aanrader is een wachtwoordzin: een reeks van meerdere woorden die samen lang en makkelijk te onthouden zijn, maar moeilijk te raden. Lengte is belangrijker dan het verplicht toevoegen van hoofdletters, cijfers en tekens, die vooral tot voorspelbare patronen leiden.

Wat is het grootste wachtwoordrisico?

Hetzelfde wachtwoord op meerdere diensten gebruiken. Als één dienst wordt gehackt en je wachtwoord lekt, proberen aanvallers dat automatisch op al je andere accounts, waardoor één lek toegang tot alles wordt. Een wachtwoordmanager lost dit op door voor elke dienst een uniek wachtwoord te genereren en te onthouden, zonder dat iemand ze allemaal hoeft te kennen.

Is een wachtwoordmanager wel veilig?

Ja, een goede wachtwoordmanager is aanzienlijk veiliger dan het alternatief, namelijk overal hetzelfde of zwakke wachtwoorden gebruiken. Hij versleutelt je wachtwoorden en je hoeft er maar één te onthouden om bij de rest te komen. Combineer de manager zelf met een sterk hoofdwachtwoord en tweefactorauthenticatie, dan is het een van de beste stappen die je voor je wachtwoordveiligheid kunt zetten.

Heeft een sterk wachtwoord nog zin met tweefactorauthenticatie?

Ja, ze vullen elkaar aan. Tweefactorauthenticatie beschermt als je wachtwoord lekt, maar je wilt voorkomen dat het zover komt, en een sterk, uniek wachtwoord doet dat. Andersom is een sterk wachtwoord niet waterdicht, want het kan altijd lekken, en dan vangt 2FA het op. Goed wachtwoordbeleid en tweefactorauthenticatie horen daarom bij elkaar, niet als vervanging van elkaar.

---