Hoe lang moet een wachtwoord zijn

Wachtwoorden beveiligen bijna alles wat we online doen—e-mail, bankieren, sociale media, cloudopslag, ontwikkelaarsplatforms en meer. De juiste lengte (en samenstelling) voor een wachtwoord kiezen is een van de eenvoudigste manieren om de veiligheid te verbeteren zonder je dagelijkse werkwijze al te veel te veranderen.

Dit artikel legt uit hoe lang een wachtwoord moet zijn, waarom lengte belangrijk is, wat toonaangevende norminstituten aanbevelen en hoe je sterke, unieke wachtwoorden kunt maken die gemakkelijk te beheren zijn.

Wat is een sterk wachtwoord?

Een sterk wachtwoord is er een die moeilijk te raden of te berekenen is voor aanvallers. De kracht komt van twee hoofdingrediënten:

• Lengte: meer tekens verhogen het aantal mogelijke combinaties aanzienlijk.
• Onvoorspelbaarheid: willekeurigheid en het vermijden van veelvoorkomende patronen of persoonlijke informatie.

Wanneer deze twee factoren aanwezig zijn, bieden wachtwoorden weerstand tegen brute-force aanvallen (systematisch proberen van combinaties), woordenboekaanvallen (proberen van veelvoorkomende woorden en patronen) en vele geautomatiseerde kraaktechnieken.

Minimale wachtwoordlengte: streef naar 16 tekens (of meer)

Veiligheidsexperts benadrukken consequent lengte. De Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) raadt aan om wachtwoorden te kiezen die "Lang—minstens 16 tekens lang (nog langer is beter)" zijn. Je kunt hun advies hier lezen: https://www.cisa.gov/secure-our-world/require-strong-passwords

Het National Institute of Standards and Technology (NIST) hanteert een vergelijkbaar standpunt in haar Digital Identity Guidelines, waarin wordt benadrukt dat wachtwoordlengte een primaire factor is bij het karakteriseren van wachtwoordsterkte en dat gebruikers aangemoedigd moeten worden om langere wachtwoorden te maken waar praktisch mogelijk. Zie: https://pages.nist.gov/800-63-4/sp800-63b.html

In de praktijk zou 14 tekens als een ondergrens moeten worden beschouwd, terwijl 16+ tekens een betere standaard is. Voor bijzonder gevoelige of langdurige accounts is het gunstig om nog langer te gaan—mits de site dit toestaat en je het wachtwoord veilig kunt opslaan.

Is het langste wachtwoord altijd het beste?

Langer is bijna altijd sterker tegen brute force. Maar er zijn enkele praktische overwegingen:

• Sitebeperkingen: Sommige diensten stellen een maximumlengte of beperken bepaalde tekens. Als dat gebeurt, gebruik dan de langste lengte die is toegestaan met hoge willekeurigheid.
• Bruikbaarheid: Als je wachtwoorden typt op kleine apparaten of in beperkte omgevingen, kunnen extreem lange reeksen onhandig zijn—tenzij je een wachtwoordbeheerder gebruikt om automatisch in te vullen.
• Bedreigingsmodel: Voor accounts met sterke snelheidslimieten en multi-factor authenticatie (MFA) kunnen lengtes van meer dan 20–24 tekens afnemende meerwaarde hebben vergeleken met het inschakelen van MFA en het garanderen van uniciteit.

Bottom line: Gebruik het langste, meest willekeurige wachtwoord dat binnen het beleid van de site en jouw werkwijze past—en voeg MFA toe waar het beschikbaar is.

Heb ik nummers, hoofdletters en speciale tekens nodig?

Veel sites vereisen een mix van tekensets (kleine letters, hoofdletters, cijfers, symbolen). Het opnemen van meerdere sets verhoogt over het algemeen de zoekruimte en belemmert gokaanvallen. Echter, "complexiteitsregels" zijn minder belangrijk dan lengte en willekeurigheid. Een willekeurig wachtwoord van 20 tekens dat alleen uit letters bestaat, kan sterker zijn dan een reeks van 8 tekens die elk teken-type mixt.

Als een site samenstellingsregels afdwingt, laat je wachtwoordbeheerder dan een willekeurig wachtwoord genereren dat eraan voldoet. Als dat niet zo is, geef dan prioriteit aan lengte en willekeurigheid boven gedwongen complexiteit.

De vier vaak genoemde tekensets zijn:

1. Cijfers (0–9)
2. Kleine letters (a–z)
3. Hoofdletters (A–Z)
4. Symbolen (bijv. ! $ % & ? # @)

Willekeurigheid: de sleutel tot echte kracht

Lengte alleen is niet genoeg als het wachtwoord voorspelbare patronen volgt. Vermijd:

• Toetsenbordpatronen zoals 1qaz2wsx of qwertyuiop
• Veelvoorkomende woorden en zinnen (zelfs hele lange)
• Persoonlijke informatie (namen, datums, adressen)

Twee geweldige manieren om met willekeurigheid te leven:

• Willekeurige wachtwoorden: Laat een wachtwoordgenerator 16–24 tekens lange reeksen maken die meerdere tekensets bevatten. Sla ze op in een wachtwoordbeheerder zodat je ze nooit hoeft te onthouden.
• Wachtwoordzinnen: Gebruik 4–6 willekeurig geselecteerde woorden (niet een algemene quote of songtekst). Willekeurige woorden wachtwoordzinnen zoals tunnel-magneet-zijde-zuurstof-duet kunnen zowel lang als beter te onthouden zijn. Voeg scheidingstekens toe en, indien toegestaan, een symbool of een cijfer.

Waarom "heel lang" toch zwak kan zijn

Sommige lange reeksen zijn gemakkelijke doelen omdat ze voor de hand liggende patronen volgen of voorkomen in inbreukdatasets. Lange toetsenbordreeksen, herhaalde tekenblokken, of veel gedeelde "trucs" behoren tot de eerste gissingen die moderne kraaktools proberen. Lengte moet worden gekoppeld aan onvoorspelbaarheid om effectief te zijn.

Voordat je een wachtwoord gebruikt, is het verstandig om te controleren of het niet voorkomt in bekende inbreukcorpora. Veel wachtwoordbeheerders en veiligheidstools bieden "ben ik gehackt" controles of soortgelijke screening. Je kunt ook een wachtwoordsterktetester gebruiken om je wachtwoorden te evalueren.

Verder dan raden: phishing en hergebruikrisico's

Niet alle accountovernames hebben betrekking op raden. Phishing en hergebruik zijn veelvoorkomende oorzaken van compromittering:

• Phishing: Zelfs een wachtwoord van 30 tekens kan worden gestolen als je het invoert op een nepwebsite. Gebruik waar mogelijk MFA en overweeg hardwarebeveiligingssleutels voor accounts van hoge waarde.
• Hergebruik: Als je een wachtwoord hergebruikt, kan een inbreuk bij één site zich uitbreiden naar andere. Unieke wachtwoorden per site beperken de impact.

Lengte helpt tegen raden, maar phishing en hergebruik worden gemitigeerd door MFA en een wachtwoordbeheerder die unieke inloggegevens moeiteloos maakt.

Beste praktijken voor sterke wachtwoorden

• Gebruik een wachtwoordbeheerder: Genereer en sla unieke, willekeurige wachtwoorden op voor elke account. Dit elimineert de noodzaak om ze te onthouden en vereenvoudigt het gebruik van lange reeksen.
• Geef de voorkeur aan lengte en willekeurigheid: Streef naar 16+ tekens. Als het mogelijk is, neem meerdere tekensets op, maar offer geen lengte op om aan willekeurige regels te voldoen.
• Schakel overal MFA in: Op app-gebaseerde TOTP, push-gebaseerde authenticators of hardware-sleutels verminderen het risico aanzienlijk.
• Hergebruik geen wachtwoorden: Eén site, één wachtwoord—altijd.
• Vermijd persoonlijke informatie en patronen: Geen namen, geboortedata, adressen of toetsenbordpaden.
• Maak regelmatig een review van kritieke accounts: E-mail, financiële diensten, ontwikkelaarsplatforms en beheerdersconsoles verdienen extra aandacht.

Unieke, sterke wachtwoorden beheren voor elk account

De praktische manier om unieke wachtwoorden van 16–24 tekens op tientallen (of honderden) sites te gebruiken, is door een wachtwoordbeheerder te gebruiken. Met een beheerder kun je:

• Sterke wachtwoorden genereren die zijn afgestemd op het beleid van elke site (probeer onze wachtwoordgenerator)
• Automatisch invullen om typefouten te voorkomen (en blootstelling aan meekijken te verminderen)
• Veilig synchroniseren op apparaten
• Controleren op hergebruikte, zwakke, of gehackte wachtwoorden (gebruik onze wachtwoordsterktetester)

Als een site lengte of symbolen beperkt, pas de generator daar dan op aan—en geef nog steeds prioriteit aan maximale lengte.

Snelle aanbevelingen

• Dagelijkse accounts: 16–20 willekeurige tekens
• Waardevolle accounts (e-mail, bankieren, cloudbeheer): 20–24 willekeurige tekens + MFA
• Langdurige geheimen (API-sleutels, SSH-sleutels): gebruik beheeropslag; volg platformrichtlijnen; geef alleen voorkeur aan wachtwoordzinnen als ze echt willekeurig zijn

Laatste gedachten

Hoe lang moet een wachtwoord zijn? Zo lang als de site toelaat—streef naar minstens 16 tekens—en maak het willekeurig en uniek. Voeg MFA toe voor een sterke tweede laag. Met een wachtwoordbeheerder die de generatie en opslag afhandelt, kun je een robuuste beveiliging hebben zonder extra cognitieve belasting.