Wachtwoorden worden gebruikt als beveiliging voor allerlei apps, websites, diensten en systemen. Belangrijke vragen die je jezelf altijd moet blijven stellen zijn onder andere wat een sterk wachtwoord is of wat een goed wachtwoordbeleid is. Waar doe je anno 2026 nou goed aan op dat gebied?
Datalekken zijn aan de orde van de dag en regelmatig verschijnen er online lijsten van e-mailadressen, wachtwoorden en andere essentiële informatie uit allerlei bronnen. Iedereen kent ook standaardtips wel om je gegevens veilig te houden. Gebruik voor elke dienst, app of systeem een ander wachtwoord. Kies voor een combinatie van leestekens, cijfers en hoofdletters. Sla nooit wachtwoorden en namen van diensten samen op in een (tekst)bestand, gebruik een wachtwoordmanager en stel multifactor-authenticatie in.
Als je dat allemaal opvolgt ben je nog steeds kwetsbaar en als het gaat om zakelijk gebruik is oppassen geblazen natuurlijk helemaal aan te raden. Al met al kun je zelf van alles doen qua wachtwoordbeheer en zijn er nog heel wat tips om je beter te beschermen, ook juist na een aanval.
Wachtwoord reset na incident is niet genoeg
Veel mensen denken dat het voldoende is om je wachtwoord na een hack of lek te resetten om het bijbehorende account daarna weer veilig te kunnen gebruiken. Dat is het echter niet, want kwaadwillenden kunnen binnen enkele seconden persistence creëren.
Dat betekent dat een aanvaller na een initiële inbraak op een bedrijfsnetwerk technieken toepast om toegang te blijven houden tot dat netwerk. Achter een enkele login zijn vaak meerdere dingen gekoppeld. Dat is natuurlijk handig en fijn, maar levert ook problemen op als het gecompromitteerd wordt.
Het herstarten van de dienst of apparaat of aanpassen van een beveiligingswachtwoord heeft daarop geen invloed. Zaken waaraan gedacht moet worden zijn het automatisch aanmaken van SSH-keys, waardoor onbevoegden alsnog toegang kunnen krijgen tot allerlei zaken.
Het snel instellen van Outlook-regels is een ander voorbeeld, waardoor mails doorgestuurd kunnen worden naar adressen zonder dat je het doorhebt. Zo kan men alsnog allerlei schade berokkenen. Het generen van personal acces tokens (PAT’s) is een andere denkbare optie. Daardoor hoef je niet meer aan de slag met wachtwoorden, maar kun je toch makkelijk inloggen bij diensten.
Multifactor Authenticatie (MFA) is essentieel, maar niet waterdicht
Het instellen van tweefactorauthenticatie (2FA) of multifactor authenticatie (MFA) is zeker aan te raden. Bij zo’n beveiligingsmethode moet er worden voldaan aan twee voorwaarden om in te kunnen loggen op een dienst. Vaak gaat het om de combinatie van een wachtwoord en een code die wordt gegenereerd door een speciale app op een smartphone. Het voegt een extra beveiligingslaag toe aan accounts, waardoor cybercriminelen moeilijker toegang krijgen tot systemen, zelfs als ze wel een wachtwoord hebben bemachtigd.
MFA kan echter omzeild worden door adversary-in-the-middle-aanvallen. Bij die aanvalsmethodiek plaatst de aanvaller zich tussen de gebruiker en de website, service of inlogpagina van een legitieme bron, zonder dat je het doorhebt. Daardoor wordt het mogelijk om inloggegevens of bijvoorbeeld sessiecookies te onderscheppen. Heb je die in handen, dan kun je makkelijker inloggen op diensten zoals een e-mailservice.
Het kan ook dat push-notificaties worden doorgesluisd via proxy-infrastructuur. Dat zorgt ervoor dat codes worden verstuurd via een tussenstation en niet direct. Als dat het geval is, is dat voor kwaadwillenden weer een extra manier om bij zulke diefstalgevoelige gegevens te komen.
Incident Response (IR) is cruciaal
Bij een geslaagde phishing-aanval moet er dus meer gebeuren dan alleen wachtwoordherstel. Zo moet er gedacht worden aan forensisch onderzoek. Wat heeft het gecompromitteerde account gedaan is een vraag die dan erg belangrijk is om te stellen. Een getroffen systeem moet worden geïsoleerd van de rest, zodat er uitvoerig kan worden gekeken naar wat er precies aan de hand is. Het opschonen van het systeem kan vervolgens gebeuren.
IGEL breidt uit: AI-beveiliging, dual boot en ondersteuning voor Arm-apparaten
Het interne beleid is tot slot nog een belangrijk punt om in het achterhoofd te houden. Het kan natuurlijk gebeuren dat er op een phishing-link wordt geklikt in een ontvangen e-mail. Als dat het geval is, moet het geen probleem zijn om dat te melden aan de juiste afdeling.
Een dingetje om te checken of het IT-beleid überhaupt gezond is of niet, is om te kijken naar de vraag van frequentie van beheerders om je wachtwoorden aan te passen. Als dat heel vaak (automatisch) moet worden aangepast, wekt dat misschien een illusie van veiligheid op. Niks blijkt minder waar, want passwords zo snel aanpassen zorgt alleen maar voor schijnveiligheid. Medewerkers gaan dan over op trucjes en doen dan vaak alleen kleine aanpassingen. Zo wordt er bijvoorbeeld voor een ander cijfer gekozen, die van de lopende maand, in het nieuwe wachtwoord.
Onderdeel van breder security-ecosysteem
Al met al moet wachtwoordbeveiliging in 2026 onderdeel zijn van een breder security-ecosysteem. In 2026 is een sterk wachtwoord slechts de basis. De echte weerbaarheid ontstaat pas wanneer authenticatie is ingebed in een intelligent security-ecosysteem. De tijd dat aanvallers probeerden een code te kraken ligt grotendeels achter ons. Tegenwoordig richten zulke groepen zich op session hijacking, waarbij actieve sessies binnen enkele seconden kunnen worden overgenomen.
Omdat zulke incidenten sneller plaatsvinden dan een menselijke beheerder kan reageren, is een geautomatiseerde response essentieel. Systemen moeten in staat zijn om bij verdachte signalen direct en autonoom in te grijpen, nog voordat er schade wordt aangericht.
Dat vereist weer dat er continue gemonitord moet worden. Door ongebruikelijke activiteiten binnen accounts constant te analyseren, kan het ecosysteem namelijk afwijkingen in gedrag direct signaleren. Wachtwoordbeveiliging is daarmee geëvolueerd van een eenmalig slot naar een dynamisch proces waarin sessiebeheer, snelheid en alertheid onlosmakelijk met elkaar verbonden zijn om de integriteit van data te waarborgen.
Meer interesse in dit onderwerp?
Onlangs zaten we bij Techzine om de tafel met ethical hackers Rutger Flohil en Bob van der Staak. Zij deelden hun expertise over moderne aanvalstechnieken en hoe organisaties zich daartegen kunnen beschermen.