Ondanks dat we ons steeds meer bewust zijn van online gevaren, kost het nog steeds veel moeite sterke wachtwoorden te kiezen. Meer dan één op de 140 gelekte Nederlandse wachtwoorden is simpelweg ‘123456‘.

Het is problematisch: wachtwoorden zijn voor de meesten van ons nog steeds de meest belangrijke barrière tussen persoonlijke gegevens en kwaadwillenden die er maar al te graag mee aan de haal gaan. Een complex wachtwoord verzinnen dat aan alle veiligheidseisen voldoet is één, maar meerdere unieke wachtwoorden bedenken én onthouden voor al je verschillende accounts is bijna onmogelijk geworden. Het is eenvoudiger makkelijk te onthouden of gelijksoortige wachtwoorden voor meerdere online diensten te kiezen. Gevolg: een wildgroei aan datalekken, accounthacks en andere cybercriminaliteit.

Meest gebruikte wachtwoorden
Ondanks dat Nederlanders zich steeds meer bewust zijn van bovenstaande online gevaren, kost het hen nog steeds veel moeite sterke wachtwoorden te kiezen. Dit blijkt uit recent onderzoek van VPNdiensten.nl. Meer dan één op de 140 gelekte Nederlandse wachtwoorden is simpelweg ‘123456‘. Dit is al vijf jaar het meest gebruikte wachtwoord voor online accounts waarbij een emailadres met een .nl-extensie gebruikt wordt. Ook makkelijk te kraken wachtwoorden met Nederlandse plaatsnamen (meer dan één op de 400 gelekte wachtwoorden) of namen van voetbalclubs (meer dan één op de 600 gelekte wachtwoorden) maken het voor cybercriminelen een fluitje van een cent om digitale gegevens van Nederlanders te stelen.
Voor dit onderzoek werkte VPNdiensten.nl samen met softwarebedrijf NordPass en werden data van 24.870.385 datalekken geanalyseerd. Hieruit werden 9.786.502 e-mailadressen gefilterd eindigend op .nl, en groepeerden de bijbehorende wachtwoorden om tot een lijst van de 1000 meest gebruikte wachtwoorden in gelekte accounts door Nederlanders te komen.

Toetsenbordvolgorde
In de top 25 van meest voorkomende wachtwoorden is er een toetsenbordpatroon: bij meer dan één op de 70 wachtwoorden van de onderzochte gelekte accounts is gekozen voor een rijtje dat makkelijk in te tikken is: ‘123456’ (of een kortere of langere variant), ‘qwerty’ of ‘123123’. Wachtwoorden als deze zijn via de zogenaamde brute force-methode in een fractie van een seconde te kraken.
Ook de wachtwoorden ‘welkom01’, ‘welkom’, ‘welkom1’ en andere varianten, geliefd onder systeembeheerders voor accounts van nieuwe gebruikers, komen veel voor. Het is zaak tijdelijke wachtwoorden zoals deze snel te wijzigen, maar uit het onderzoek blijkt dat meer dan één op 200 van de gelekte wachtwoorden tot deze groep behoort.

Plaatsnamen populair
Opvallend genoeg kiezen veel Nederlanders voor een plaatsnaam in hun wachtwoord. De steden met de meeste inwoners vinden we in de regel ook terug in de meeste wachtwoorden, zoals Amsterdam en Rotterdam.

Hup [wachtwoord] scoor die goal!
Ook voetbalclubs en voetbaltermen vinden we bovengemiddeld terug. Als we ervan uitgaan dat Nederlanders hun favoriete club in hun wachtwoord verwerken, voert de grootste club van Rotterdam duidelijk de boventoon. Waarbij we opmerken dat Twente natuurlijk naast een voetbalclub ook een topografische term is. Andere gebruikte termen in wachtwoorden die we kunnen koppelen aan de populaire sport zijn ‘voetbal’ (11516 keer), ‘FC’ (2459 keer) en ‘oranje’ (829 keer).

Grappige wachtwoorden!?
Het lijkt erop dat de creativiteit bij het bedenken van een wachtwoord ver te zoeken is. Toch vonden we ook grappige en slim gevonden wachtwoorden in de dataset. Een voorbeeld hiervan is: ‘verkeerd’. Geen veilig wachtwoord, maar wel een veelgekozen wachtwoord vanwege de foutmelding: ‘Uw wachtwoord is verkeerd’, als de gebruiker een foutief wachtwoord invult.
Van dezelfde strekking is het wachtwoord voor accounts waar maar weinig wordt ingelogd: ‘verlopen’, zodat de melding: ‘Uw wachtwoord is verlopen’ tevoorschijn komt. Het meest gebruikte wachtwoord in deze categorie is ‘geheim’ op plaats 11 in de top 25. Helaas is een account met ‘geheim’ als wachtwoord dat al heel snel niet meer.

Waarom een sterk wachtwoord zo belangrijk is
Hackers zetten vaak de ‘brute-force’-methode in bij het kraken van gebruikersaccounts. Een systeem aan de lopende band wachtwoorden, met als doel een match met een bestaand wachtwoord te vinden. Vaak gebruikt men een standaardwoordenboek en allerlei combinaties met getallen en symbolen. Het systeem probeert net zo lang wachtwoorden te raden tot het wachtwoord is gevonden.
Als je geen sterk wachtwoord gebruikt, loop je het risico gehackt te worden. Dat kan tot gevolg hebben dat je privégegevens op straat komen te liggen, dat er identiteitsfraude wordt gepleegd met jouw gegevens, of in extreme gevallen dat zelfs je bankrekening wordt geplunderd.
Als je dezelfde wachtwoorden voor meerdere accounts gebruikt, is het makkelijker voor kwaadwillenden om toegang krijgen tot al je gegevens. Het is misschien niet heel erg als een hacker bij het account van dat ene online spelletje kan, maar als hij met hetzelfde gekraakte wachtwoord ook toegang kan krijgen tot je verzekeringsgegevens en daarmee persoonlijke data, heb je een groot probleem.
Vermijd deze wachtwoorden

Wie geen slachtoffer wil worden van hackers, moet nadenken over een sterk wachtwoord. Voorbeelden van hoe het níet moet:

Standaard wachtwoorden: password, default, admin;
Wachtwoorden uit het woordenboek;
Wachtwoorden met slechts een paar getallen erachter;
Wachtwoorden met ‘obfuscatie’, zoals p@ssw0rd, g0ldf1sh, et cetera;
Dubbele woorden;
Wachtwoorden die in een rij op het toetsenbord staan;
Bekende nummers (zoals 112);
Wachtwoorden met de gebruikersnaam erin
Alles wat met persoonsgegevens te maken heeft;
Datums.

Meer informatie en tips hoe je wél een goed wachtwoord kan bedenken, vind je in dit artikel.