Er bestaan nog verschillende meningen over wanneer je je wachtwoord moet wijzigen. Meestal gebeurt het pas als het te laat is omdat mensen niet bewust zijn van de gevaren van een zwak wachtwoord.
Vraag het aan je collega’s en je krijgt telkens verschillende antwoorden. Sommigen wijzigen hun wachtwoord elke maand, anderen alleen als ze er aan herinnerd worden, en misschien gebruikt iemand nog het wachtwoord van zijn eerste e-mailaccount. Maar hoe zit het nu echt? Moet je je wachtwoord vaak veranderen, en helpt dat eigenlijk wel?
Oude reflex
In veel bedrijven bestaat nog altijd de reflex om wachtwoorden verplicht om de drie maanden te laten wijzigen. Vaak zelfs automatisch: op een ochtend verschijnt er plots een pop-up. Je typt iets half verzonnen in, wat genoeg verschilt van je vorig wachtwoord, in de hoop dat je het morgen nog kent.
Tegenwoordig is dat eigenlijk niet meer nodig. In de jaren ’80 en ’90 waren wachtwoorden eenvoudig, en technologie om ze te kraken was relatief zwak. Regelmatig wisselen was toen dé manier om een gestolen wachtwoord minder bruikbaar te maken. In die context was het dus eigenlijk logisch. Een aanvaller moest veel meer moeite doen om een wachtwoord te kraken. Als dat na drie maanden toch niet meer klopte, was je ze een stap voor.
Van kraken naar pikken
Vandaag worden wachtwoorden niet meer vooral gekraakt, maar wel gestolen. Phishingmails werken daarvoor verrassend genoeg nog steeds heel goed. Bij grote datalekken verschijnen miljoenen combinaties van e-mailadressen en wachtwoorden op het internet. Criminelen proberen die massaal uit op allerlei accounts.
In dat scenario helpt het weinig als je je wachtwoord vorige week nog hebt aangepast. Als je het intikt op een valse site, is het direct onbruikbaar. En als je een wachtwoord hergebruikt dat al in een oud datalek staat, ben je zelfs met een nieuw wachtwoord nog kwetsbaar.
Nieuwe inzichten
De klassieke drie-maandenregel blijkt in moderne beveiliging eerder vervelend dan nuttig. Mensen geraken het beu om om de drie maanden iets nieuws te bedenken en kiezen voorspelbare patronen: Welkom2023 wordt Welkom2024, of er wordt gewoon een extra cijfer toegevoegd. Niet zo effectief dus.
Beveiligingsbedrijven raden daarom vandaag net af om op vaste tijdstippen je wachtwoord te veranderen. Het is zinvoller om een sterk en uniek wachtwoord te kiezen of te laten genereren door je browser, niet door AI, en dat enkel te wijzigen als daar reden voor is. Wat ook steeds vaker voorkomt is het gebruik van een wachtwoordzin: IkGaOpZondagNaarDeMarkt. Dat blijkt ook minder makkelijk te achterhalen.
Wat is dan wel slim?
In de eerste plaats is het cruciaal om een uniek wachtwoord te gebruiken voor elk belangrijk account. Gebruik dus geen kopie van je e-mailwachtwoord op je cloudopslag of website login. Wordt één account gehackt, dan blijft de schade beperkt.r
Daarnaast is multifactor-authenticatie (MFA) is je beste extra beveiligingslaag. Zelfs als je wachtwoord wordt achterhaald, heeft een aanvaller dan nog steeds niet genoeg om in je account te geraken.
Wees tenslotte alert. Pas je wachtwoord meteen aan als je een waarschuwing krijgt van een datalek, of als je denkt dat je account werd misbruikt. Dat is het moment om je wachtwoord te veranderen, en niet omdat een driemaandelijkse pop-up je dat verplicht.
