Waarom wachtwoorden hun houdbaarheidsdatum voorbij zijn

donderdag, 7 mei 2026 (16:03) - Computable

In dit artikel:

Op World Password Day schetst de blog een hardnekkige realiteit: aanvallers hoeven steeds minder ‘in te breken’ omdat gestolen inloggegevens volstaan. Het Verizon 2025 Data Breach Investigations Report wijst uit dat gestolen credentials 22% van alle datalekken veroorzaakten (bij webapplicaties zelfs tot 88%). IBM X-Force signaleert een toename van 84% in infostealer-malware via phishing, die ongemerkt wachtwoorden uit browsers plukt. Tegelijk gebruikt de gemiddelde persoon maar zelden unieke wachtwoorden: volgens Verizon is maar de helft van iemands wachtwoorden uniek, waardoor één lek vaak meerdere accounts opent.

Rond deze handel is een complete criminaliteitsketen ontstaan: Kela telde in 2025 ongeveer 3,9 miljard gelekte inloggegevens van 4,3 miljoen geïnfecteerde apparaten, die via initial access brokers bij ransomwaregroepen belanden. Mandiant meldt dat gestolen credentials betrokken waren bij respectievelijk 16% van de onderzochte incidenten en 21% van ransomwaregevallen — de escalatie naar gijzelsoftware verloopt nu in dagen in plaats van maanden.

Multi-factorauthenticatie biedt verbetering maar geen waterdichte oplossing; technieken als prompt bombing en realtime token‑kapingen ondermijnen veel MFA-vormen, waardoor phishing‑resistente opties noodzakelijk zijn. Een veelbelovend alternatief zijn passkeys: cryptografische sleutels gekoppeld aan een apparaat of biometrie. De FIDO Alliance meldt dat 69% van consumenten inmiddels minstens één passkey heeft en dat het inlogslaagpercentage 93% is versus 63% voor traditionele wachtwoorden; 87% van organisaties is bezig met of heeft al implementatie.

Volledige vervanging van wachtwoorden loopt vast op legacy-systemen, on-premises Active Directory, gedeelde werkplekken en verouderde hardware zonder TPM/biometrie, plus uitdagingen rond accountherstel en grootschalig beheer. De route vooruit is duidelijk: minder afhankelijkheid van wachtwoorden — gebruik wachtwoordmanagers, implementeer phishing‑resistente MFA en begin waar mogelijk met passkeys — omdat het traditionele wachtwoord steeds vaker de zwakke schakel vormt.