Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

Wachtwoordmanagers en passkeys: 24 november is Verander-Je-Wachtwoorddag

Wachtwoordmanagers, Have I Been Pwned, passkeys of juist een klassiek opschrijfboekje: er zijn anno 2025 meer dan genoeg manieren om je online veiligheid op orde te houden. Doe dat juist vandaag: op 24 november is het namelijk Verander-Je-Wachtwoorddag, ooit opgericht door Tweakers maar inmiddels wel toe aan moderner advies.

Tweakers riep 24 november in 2014 officieel uit tot Nationale Verander-Je-Wachtwoordendag. De dag kreeg onder andere steun van het Nederlandse Openbaar Ministerie en ging gepaard met de website wachtwoordbewust.nl met tips om sterke wachtwoorden te bedenken - én met een wachtwoordchecker, iets dat anno 2025 als een heel slecht idee klinkt.

De dag begon als een bewustwordingscampagne om regelmatig je wachtwoordhygiëne te checken. "Aanleiding voor het initiatief is dat nog altijd veel mensen een relatief zwak wachtwoord hebben en internetters er niet vaak genoeg bij stilstaan om dit te wijzigen", schreef toenmalig hoofdredacteur Wilbert de Vries destijds. We verwezen ook naar diverse grote datalekken die dat nog eens onderstreepten.

Die grote datalekken zijn er nog steeds. Sterker nog, ze zijn in de afgelopen elf jaar alleen maar groter, wijdverspreider en ernstiger geworden. Het helpt niet mee dat zelfs de kleinste webwinkel je tegenwoordig om een wachtwoord vraagt en we dus ook steeds meer wachtwoorden moeten bedenken. Wat juist wel veranderd is, is hoe we wachtwoorden zijn gaan gebruiken. Zo is 'verander je wachtwoord' inmiddels achterhaald advies. Security-experts zijn het er in meerderheid wel mee eens dat wachtwoorden regelmatig wijzigen niet perse voor betere beveiliging zorgt. Integendeel, vaak: door zulk beleid af te dwingen, gaan gebruikers vaak vanzelf minder sterke wachtwoorden gebruiken.

Verander-Je-Wachtwoorddag is als bewustwordingsdag nog steeds actueel, al zou je het in 2025 anders kunnen invullen. Wellicht is 'Controleer-Je-Wachtwoorddag' beter. Gebruik sites als Have I Been Pwned of Scattered Secrets om te kijken of je gegevens niet uitgelekt zijn, lees ons artikel over de beste wachtwoordmanagers of over wachtwoordmanagers in browsers. Je kunt ter info ook ons artikel uit 2019 lezen over hoe grote bedrijven bezig zijn met de toekomst van het wachtwoord of hoe passkeys precies werken. Of gebruik gewoon een fysiek wachtwoordenboekje. Stiekem zijn die best wel veilig.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 24-11-2025 11:28 95

24-11-2025 • 11:28

95

Lees meer

Windows 11 blokkeert voorvertoning van gedownloade bestanden vanwege veiligheid
Windows 11 blokkeert voorvertoning van gedownloade bestanden vanwege veiligheid Nieuws van 23 oktober 2025
Plex waarschuwt gebruikers na diefstal versleutelde wachtwoorden
Plex waarschuwt gebruikers na diefstal versleutelde wachtwoorden Nieuws van 9 september 2025
Netflix wil einde aan het delen van accounts, maar hoe en waarom nu?
Netflix wil einde aan het delen van accounts, maar hoe en waarom nu? Nieuws van 25 oktober 2022
LastPass beperkt gratis versie, maar het is onduidelijk waarom precies - update
LastPass beperkt gratis versie, maar het is onduidelijk waarom precies - update Nieuws van 17 februari 2021
Meer dan helft Nederlanders weet niet van bestaan wachtwoordmanagers
Meer dan helft Nederlanders weet niet van bestaan wachtwoordmanagers Nieuws van 23 november 2015
Meer producten en artikelen
Beveiliging en antivirus Wachtwoord

Reacties (95)

-Moderatie-faq
95
93
39
4
0
42
Wijzig sortering

Sorteer op:

Weergave:
xxs 24 november 2025 11:34
Inmiddels is het periodiek veranderen van wachtwoorden achterhaald en het afdwingen daartoe ook uit de guidelines van NIST gehaald.

Password Management Practices
  • No Forced Resets: Users should not be required to change passwords regularly unless there is evidence of a compromise. This approach reduces the likelihood of users creating weak passwords.
Reageer
Keypunchie @xxs24 november 2025 11:38
+1 voor bovenstaande.

Verstandiger is om vandaag na te lopen waar

* je een wachtwoord hergebruikt (niet doen!!) en een andere isntelen.
* je nog geen 2FA gebruikt, maar het wel kan
* je een te kort wachtwoord gebruikt. 12 tekens is echt wel een mimimum, maar, met een passwordmanager, maak het gewoon lekker 24 tekens, waarom niet?
Reageer
Blokker_1999
@Keypunchie24 november 2025 11:42
Ik probeer altijd de max lengte van men manager. Waarom niet? Direct ook een goede test om na te gaan of websites daar geen arbitraire limiet op hebben staan, want dan daalt mijn vertrouwen direct.
Reageer
mavadosh @Blokker_199924 november 2025 12:01
Ik heb wel eens meegemaakt dat ik een wachtwoord van 40 tekens instelde, maar dat het veld er 20 tekens van afsnoepte (bijvoorbeeld) omdat er maar 20 tekens in pasten. Het was dan een hele uitdaging om erachter te komen wat de maximale lengte was.

Het was hier zelfs zo erg dat het wachtwoordveld bij het aanmaken een limiet had, maar niet bij het inloggen. Dus na het aanmaken kon ik er niet in en moest ik telkens tekens weghalen om erachter te komen wat de daadwerkelijke limiet was. |:(
Reageer
i7x @mavadosh24 november 2025 14:47
Week of twee terug ook nog meegemaakt. Opmerkelijk wat voor teleurstellende code er nog wordt geschreven, nota bene wanneer het gaat om wachtwoorden.

Mooiste is als websites netjes alle velden de goede meta data hebben meegegeven, inclusief de eisen voor lengte en soort tekens. Dan wordt het zo gevuld in je manager (ik gebruik die van Apple zelf) en gaat eigenlijk alles vanzelf. Maar regelmatig kom ik ook pagina’s tegen waar dat een zooitje is en bijvoorbeeld een beeld om je wachtwoord een tweede keer in te vullen zichzelf niet zo herkenbaar maakt. Dan moet je dat dus handmatig gaan doen terwijl je nog geen idee hebt wat het wachtwoord is, want je zijn nog in de fase van het aanmaken. Ook zijn er wel eens problemen waarbij je wachtwoord wordt gekoppeld aan het beeld van je e-mail, maar je alleen kunt inloggen met een “gebruikersnaam” welke dan dus niet is opgeslagen in je manager (want velden verkeerd gemarkeerd).

Zo maar enkele voorbeeldjes. Het is zeker een stuk beter dan vroeger, maar zolang je soms nog dit gepruts tegenkomt kan het nog wel erg lastig zijn voor voornamelijk ouderen die dan liever toch nog een papieren notitie bijhouden. Voor mijn eigen moeder heb ik het zelf overal maar netjes ingesteld voor haar, dus bij inloggen is het gewoon drukken op de blauwe knop en dat is het dan (ze heeft een iPad). Tot dusver gaat dat goed, en dat is fijn, want vroeger kwamen de hergebruikte en simpele wachtwoorden wel eens in een datalek terecht.

Mijn eigen honderden accounts hebben trouwens ook allemaal unieke wachtwoorden via de manager, plus waar mogelijk 2fa en passkeys. Ik hoop zeker dat dat nog universeler gebruikt gaat worden in de toekomst.
Reageer
3raser @mavadosh24 november 2025 13:10
Ik heb dit zelfs meegemaakt bij een online bank (Moneyou). Het invoeren van een lang wachtwoord werkte wel maar hij werd daarna gewoon opgeslagen met slechts 12 karakters. Dit leverde wel even wat hoofdbrekens op want waarom kon ik toch maar niet inloggen zelfs nadat ik zojuist het wachtwoord had gereset. |:(
Reageer
Opa @3raser24 november 2025 17:41
Een bovenlimiet van 12 char is crimineel slecht en al helemaal voor een financiële instelling.
Wij hebben als bedrijf een minimum van 14, verder zonder overdreven complexiteiten.
Reageer
nandervv @mavadosh24 november 2025 13:36
ING heeft jaren geleden dit grapje bij mij uitgehaald. Specifiek ook bij 20 karakters.
Reageer
Keypunchie @Blokker_199924 november 2025 11:45
Ik kom, heel zelden, nog wel eens in de situatie dat ik iets met de hand moet overtikken :-)
Reageer
Caelarius @Keypunchie24 november 2025 14:11
Haha, herkenbaar. Toevallig gisteren de nieuwe telefoon van mijn vriendin up-and-running gebracht. Toen had ik haar Google wachtwoord nodig voordat de password manager geïnstalleerd was. Overtypen dus vanaf een ander device. Ik was blij dat die letter/cijfer/leestekenbrei nog enigszins te behappen was. Zeker toen ik het later in het proces om de een of andere reden nog een keer moest doen...... 8)7
Reageer
WPNL @Caelarius24 november 2025 14:50
Daar hebben ze passwordless sign in voor utigevonden toch? :-)
Wel zorgen dat je minimaal 1 apparaat hebt dat het (nog) doet!

[Reactie gewijzigd door WPNL op 24 november 2025 14:51]

Reageer
erik530 @Keypunchie24 november 2025 15:34
Ik ook nog wel regelmatig, als ik op mijn werk PC voor iets privé wil inloggen. Ik kan mijn eigen password manager niet op mijn werk openen helaas.
Reageer
Mathijs Kok @Blokker_199924 november 2025 12:34
Mij maakt het echt niet veel uit of een site een ww van 32 of 256 characters wil hebben. Voor de veiligheid maakt dat gewoon niets in de praktijk.
Reageer
downtime @Mathijs Kok24 november 2025 13:19
Kwam niet zo lang geleden nog een site tegen waar het password maximaal 12 tekens mocht zijn. Dat vind ik toch wel vrij dubieus in deze tijd.
Reageer
.MaT @Blokker_199924 november 2025 12:17
Niet vergeten controleren of ze daadwerkelijk alle karakters gebruiken dan.

Telenet bijvoorbeeld heeft lange tijd een limiet gehad van 8 karakters, ookal kon je er veel meer invullen. Enkel de eerste 8 werden gecontroleerd 8)7 . Dan ben je ook vet met een wachtwoord in te stellen van 100 tekens :+

https://www.netweters.be/...karakters/m-p/21590#M1256
https://userbase.be/forum/viewtopic.php?p=309322
Reageer
RobertMe @Blokker_199924 november 2025 12:41
Een limiet op wachtwoord lengte is nooit onverstandig. Het hashen van wachtwoorden is resource intensief (om veiligheidsredenen), dus je wilt geen denial-of-service mogelijkheid creëren door gebruikers wachtwoorden van honderden / duizenden tekens te laten invullen (bij aanmaken account of bij inloggen).

Maar an zich wel een terecht punt dat een website die een limiet heeft van bv 15 tekens toch echt fout bezig is. Als de limiet 100 tekens of zo is zou ik niet perse een reden tot wantrouwen zien.
Reageer
Patriot @RobertMe24 november 2025 15:52
In brede zin onderschrijf ik je punt, het is logisch om zinnige limieten te implementeren (daarom denk ik ook dat @Blokker_1999 het over arbitraire limieten had), maar performance issues vanwege de lengte van het wachtwoord krijg je in de praktijk eerder bij miljoenen tekens dan bij honderden of duizenden.
Reageer
Remc0_ @Blokker_199924 november 2025 12:46
Ik kwam er laatst achter dat bcrypt dus een maximum heeft van 72 bytes. En vaak circuleert rond dat het 55/56 ASCII characters mag zijn, dus vandaar dat je dat wel vaak tegenkomt. (Maar moderne systemen is dit gewoon een zwak excuus natuurlijk.)
Reageer
Niema @Remc0_24 november 2025 14:17
Dan lijkt me een limiet van 50 tekens een stuk logischer. Sowieso is meer dan 50 niet echt nodig.
Reageer
witchdoc @Blokker_199924 november 2025 13:30
uch, doe ik ook, maar toch al regelmatig gehad dat het wel lijkt te werken met b.v. 100 karakters om dan gelijk daarna toch niet ingelogged te raken met dat paswoord.
Reageer
iAR @Blokker_199924 november 2025 13:59
Ik weet nog dat een website als antwoord gaf dat er maximaal 8 karakters mogelijk waren, vanwege de veiligheid 8)7

Sowieso moet dat allemaal ingericht worden zodat automatisch gegenereerde wachtwoorden met allerhande tekens en lengtes moeten kunnen. Het zou ook fijn zijn als Passkeys meer worden en die fucking e-mailcodes (of sms!) worden afgeschaft. Oh en, dat websites hun velden goed definieren, zodat mijn password manager ook gewoon de velden herkent!
Reageer
i7x @iAR24 november 2025 14:52
Inderdaad, een 2fa code vind ik niet erg, werkt gewoon automatisch in de password manager, maar ga een gebruiker niet forceren zijn mail te openen en op een “magische link” te klikken. Enorm irritant, en zo onnodig als er gewoon betere alternatieven beschikbaar zijn.
Reageer
Noxious @Blokker_199924 november 2025 14:10
Toevallig deze week nog een aanmeldscherm gevonden waar in de wachtwoord-box maximaal 20 tekens passen. Maar mijn wachtwoordmanager overruled dat somehow (ze enforcen het met JS en niet met maxlength op de input) en stopt er meer in, waardoor het wordt afgekeurd tijdens de login.

Het wachtwoord uit m'n wachtwoordmanager kopiëren en er zelf in plakken werkt dan weer wel (die wordt afgekapt op de maximale lengte).

Als bonus is het ook nog het klantendashboard bij een grote bekende identityprovider ;)
Reageer
xxs @Keypunchie24 november 2025 11:42
Het staat in principe ook in het artikel wat door Tijs geschreven is maar ik wilde deze even benadrukken.

Veel werkgevers houden nog steeds vast aan de oude guidelines om periodiek te veranderen.
Reageer
Andros @xxs24 november 2025 12:21
En veel werknemers zijn dat al lang beu en gebruiken gewoon "oudwachtwoord1" om het een maand later te veranderen in "oudwachtwoord2" om er vanaf te zijn. Die meldingen komen altijd als het niet uit komt en je die toepassing direct nodig hebt.
Reageer
Cid Highwind @Andros24 november 2025 13:23
Plus dat je met single sign on dus te maken hebt met een Windows login waar geen PW manager toegang tot heeft. Dus een complex wachtwoord is technisch onmogelijk tenzij je met je PW manager op de telefoon iedere keer dat je van het toilet of van een pauze terugkomt een string van 20 characters over moet gaan typen.

Dan mag ik de klant wel om een aparte post in de urenregistratie vragen.
Reageer
logix147 @Cid Highwind24 november 2025 15:09
Er bestaat ook zoiets als biometrisch inloggen natuurlijk, alleen die heb ik ooit ook al eens gehoord: " Dat doen we hier uit veiligheid niet " en toen ben ik maar gegaan in 2023.

In principe is hoofd wachtwoord voor je wachtwoord manager per definitie zwak want geen mens gaat 20 random tekens onthouden - het moet alleen niet te makkelijk te raden zijn of dusdanig complex dat je post-it gevalletjes hebt.
Reageer
i7x @xxs24 november 2025 14:59
Mijn werk wachtwoord is het enige dat ik ergens genoteerd heb om deze reden. En ik zal zeker niet de enige zijn. Als ik, en wij allemaal hier, weten dat het onzinnig beleid is, dan moet die chief van it het ook wel weten. En zo niet (blijkbaar het geval), dan is het misschien een goed idee te herevalueren of hij daar wel op de goede plek zit als dit mis gaat. Maar daar heb ik natuurlijk weinig hoop op.
Reageer
DrBackBeat @Keypunchie24 november 2025 11:47
Dit zijn absoluut uitzonderingen op de regel, maar ik heb met ongemakkelijke regelmaat dat ik nog wel eens handmatig een wachtwoord moet aflezen en op een ander apparaat moet inkloppen. Apparaten waar ik liever niet mijn wachtwoordmanager op installeer/inlog, maar ook gewoon waar dat niet kan. Bijvoorbeeld mijn sterk verouderde Android 7 'tablet' die in m'n auto zit ingebouwd, m'n 3DS en Wii U, en nog wat IoT achtige devices. Ik vink daarom ook in Bitwarden aan dat ik geen gegenereerde wachtwoorden wil zien met teveel gelijkende karakters (zelfs als ze mooi kleur-gecodeerd worden).

In ieder geval, de 16 tekens die ik genereer vind ik dan wel even genoeg.
Reageer
FirePuma142 @DrBackBeat24 november 2025 12:14
Wachtwoordzinnen zijn dan een goede oplossing.
Reageer
WaterFire @FirePuma14224 november 2025 12:33
Die 4 van de 5 collega's vervolgens hardop uitspreken tijdens het intikken omdat het zo'n leuke zin is.. |:(
Reageer
Opa @WaterFire24 november 2025 17:47
JeNeemtTeveelRuimteJos!
IkBenErfelijkBelast...
ZegIkStondLaatstOpDeTramhalte :+
Reageer
moonlander @Keypunchie24 november 2025 12:01
Probleem is ook nog wel dat bepaalde apps op je mobiel geen automatisch invullen van wachtwoorden ondersteunen. Wat je dan krijgt is dat je simpele wachtwoorden gaat gebruiken.
Reageer
DonChaot @Keypunchie24 november 2025 13:24
Als je 12 tekens als minimum ziet, waarom is het dan voor banken ok om slechts vijf cijfers te hebben om in te loggen? Dit is namelijk bij meerdere banken voldoende om in te loggen.
Reageer
Keypunchie @DonChaot24 november 2025 14:00
Omdat je al een keer op een andere manier authenticiteit hebt vastgesteld. Vaak met twee-factor.

Daardoor heb jij lokaal al een token, en de code die je gebruikt, daarmee log je niet in, maar ontgrendel je het token (dat alleen op dat device staat).
Reageer
svane @DonChaot24 november 2025 14:09
Bij welke bank is vijf cijfers voldoende om in te loggen?

Bij mijn bank-app heb ik nodig:
  1. De 5 cijferige code
  2. mijn fysieke telefoon
  3. de code / faceID om mijn telefoon te ontgrendelen
Ik neem aan dat voor jouw bank vergelijkbare vereisten zijn?

Ook blokkeren banken je waarschijnlijk na x foute pogingen om in te loggen.
Reageer
SunnieNL @DonChaot24 november 2025 14:45
Via een browser doet een bank dat (5 cijferige pincode) niet, tenzij ze nog werken met een authenticator ernaast en je je bankpas moet tonen. Op mobiele telefoons wordt er vanuit gegaan dat je al biometrisch of op een andere manier authenticeerd op het apparaat en moet je de eerste keer volledige inloggen. Dan alleen mag je een pincode zetten (al geven ze de voorkeur op biometrisch) en wordt het advies gegeven een andere pincode te gebruiken dan degene die je op je device hebt ingesteld of gebruikt voor je pinpas.

[Reactie gewijzigd door SunnieNL op 24 november 2025 14:46]

Reageer
Randfiguur @Keypunchie24 november 2025 13:59
je een te kort wachtwoord gebruikt. 12 tekens is echt wel een mimimum, maar, met een passwordmanager, maak het gewoon lekker 24 tekens, waarom niet?
Medewerkers van de Rijksoverheid kregen vandaag een mail die meldt dat vanaf 1 december de minimale wachtwoordlengte 16 karakters is. Volgens mij is die nu nog 8 karakters (weet ik niet zeker).

Goede zaak.

[Reactie gewijzigd door Randfiguur op 24 november 2025 13:59]

Reageer
Opa @Randfiguur24 november 2025 17:50
Ben ik toch benieuwd hoeveel medewerkers hun oude wachtwoord gewoon twee keer achter elkaar opgeven als nieuw wachtwoord. :X
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@xxs24 november 2025 11:59
Dat klopt maar dat vereist wel een bepaald volwassenheid van de gebruiker; die moet namelijk wel enig idee hebben wanneer het verstandig is om zijn / haar wachtwoord te wijzigen. Helaas blijken veel mensen in de praktijk niet in staat om te bepalen wanneer hun credentials mogelijk compromised zijn.

Het afstappen van password rotation is een overweging die iedereen en elk bedrijf voor zichzelf moet maken en die keuze hangt van meer dingen af dan alleen blind een advies vanuit de NIST volgen.

Zo zie je ook andere adviezen die de rotation beperken maar niet uitschakelen.
Organizations may consider reduced reset frequency for long, high-entropy passwords, but should always initiate resets when compromise is confirmed or strongly suspected.
Wel of geen (phishing resistant) MFA is ook nogal een game changer.

[Reactie gewijzigd door Bor op 24 november 2025 12:09]

Reageer
daredevil__2000 @Bor24 november 2025 13:00
Wel of geen (phishing resistant) MFA is ook nogal een game changer.
Wel jammer dat je bij Tweakers dan weer niet een phishing resistant MFA key kan koppelen maar alleen TOTP. Zou een tech website als Tweakers toch wel sieren als zij juist de volwassenheid als organisatie laten zien door deze mogelijkheid aan te bieden.
Reageer
The Zep Man
@xxs24 november 2025 11:43
Niet inmiddels. Dat doet het NIST al sinds 2017.
Reageer
xxs @The Zep Man24 november 2025 12:20
OT

Ik snap je punt maar inmiddels is de tijd die verstreken is tussen het advies om je WW periodiek te veranderen en heden dat staat los van wanneer exact dat veranderde advies gegeven is.
Reageer
The Zep Man
@xxs24 november 2025 13:00
Was commentaar op:
Inmiddels is het periodiek veranderen van wachtwoorden achterhaald en het afdwingen daartoe ook uit de guidelines van NIST gehaald.
Het is niet "inmiddels" en het is niet beperkt tot het "heden". Het is al heel lang zo. Dit maakt het argument sterker om het niet meer te doen. Als een dienstverlener of werkgever het wel vereist, dan loopt die al heel lang achter met wat in de industrie wordt aanbevolen.
Reageer
lenwar
@xxs24 november 2025 11:56
Het blijft een lastige. Want je hebt met heel veel verschillende methoden te maken.

Een 'zwak wachtwoord' (voetbalclub01, of naam van kind 2017) kan iemand die jou kent makkelijk raden, of eventueel zelfs relatief makkelijk meelezen over je schouder. Een keylogger interesseert het niet hoe sterk je wachtwoord is.

Rainbowtables tegen hashes zijn voornamelijk zinvol als er geen salt of pepper gebruikt wordt aan de server-kant. Een heel zwak wachtwoord maar wel gesalt/peppered is op dat vlak even sterk als een sterk wachtwoord.

Uiteindelijk moet er dus een 'zo min mogelijk slechte' oplossing komen.
Ik denk dat het in principe een goed idee is, om 'eens in de zoveel tijd' je wachtwoorden te veranderen. Maar dan niet elke 60 dagen (ofzo). Dus laat mensen het zelf doen. (al zullen ze het dan nooit doen.)

Het zou denk ik ook al een stuk beter zijn, als je gebruikersnaam niet overal maar je e-mail adres is, of gelijk is aan een screenname. (Dat is ook een factor.) Laat mensen gewoon een willekeurig iets kiezen. Dat kun je ook hashen in die wachtwoorddatabase.)
Dus bijvoorbeeld:
- e-mail: jantje@lustkaas.moe (hash met pepper opslaan) (voor hersteldoeleinden)
- loginnaam: Appelflap31 (hash met salt (en eventueel pepper) opslaan)
- Wachtwoord: Banaan91! (hash met salt (en eventueel pepper) opslaan)
- schermnaam op forum: JantjeLustAlles (plaintext opslaan)

Niemand op het forum kan de gebruikersnaam van JantjeLustAlles gokken. En de persoon die de gebruikersnaamdatabase heeft gestolen kan er ook weinig mee. Enige minpuntje voor de webdienst is dat ze geen mailings kunnen uitsturen voor hun spamnieuwsbrief.
Reageer
NoTimeRemains @lenwar24 november 2025 12:06
Wikipedia: Salt (cryptography)

Wikipedia: Pepper (cryptography)
Reageer
xxs @lenwar24 november 2025 12:22
The magic word i.m.h.o.: MFA
Reageer
Sluuut @xxs24 november 2025 14:11
Niet helemaal magisch, MFA tokens zijn ook gewoon te stelen. En als iemand zat in de kroeg 100x een MFA verzoek krijgt, kan die op een gegeven moment ook 'ok' klikken om er maar vanaf te zijn.

Het is fijn dat het er is, maar geen 100% dekkende oplossing.
Reageer
lenwar
@xxs24 november 2025 15:00
En dan ligt het er heel erg aan op wat voor manier. MFA in de vorm van TOTP ("Google Authenticator" (of één van al die andere)) is alleen zinvol tegen 'wachtwoord raden/schoudermeekijkers'/keyloggers. Beide kanten moeten dezelfde onversleutelde string opslaan. (in plain text). Dus bij de diefstal van een wachtwoorddatabase hebben ze gewoon je TOTP-string.

Bij het stelen van de wachtwoorddatabase, kun je dus zelfs beter SMS (of nog beter e-mail) hebben, want dan moet de betreffende crimineel nog een methode hebben om jouw telefoonnummer naar zich toe te trekken (en om dat per account te doen is gedoe). Bij e-mail moeten ze ook toegang tot je mail account hebben.

Hoe makkelijk kun jij bij diensten je TOTP-token laten roteren? Dat gaat vaak vrij rottig. Je kunt vaak heel makkelijk je wachtwoord veranderen, maar als je je TOTP-token wil verversen, dan moet je het vaan uit- en aanzetten.

Al-met-al is het vervelend dat dit allemaal nodig is :( .

N.B. Ik zeg dus niet dat TOTP een slecht idee is, maar je moet je er niet blind op staren. En uiteraard geldt: Zelfs een zwakke 2FA is beter dan geen 2FA! Dus doe het altijd! :)
Reageer
vgroenewold @lenwar24 november 2025 14:08
Dat doe ik al overal met simplelogin.com Inmiddels zijn er nog een stuk of 5 services over waar ik of de mail niet kan aanpassen of ik nog geen zin in heb gehad. Nu hopen dat de service zelf niet verdwijnt. :)
Reageer
pbk @xxs24 november 2025 11:41
Dit staat toch al in het artikel?

er zijn anno 2025 meer dan genoeg manieren om je online veiligheid op orde te houden. Doe dat juist vandaag: op 24 november is het namelijk Verander-Je-Wachtwoorddag, ooit opgericht door Tweakers maar inmiddels wel toe aan moderner advies.

en

Zo is 'verander je wachtwoord' inmiddels achterhaald advies. Security-experts zijn het er in meerderheid wel mee eens dat wachtwoorden regelmatig wijzigen niet perse voor betere beveiliging zorgt. Integendeel, vaak: door zulk beleid af te dwingen, gaan gebruikers vaak vanzelf minder sterke wachtwoorden gebruiken
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@pbk24 november 2025 12:07
Integendeel, vaak: door zulk beleid af te dwingen, gaan gebruikers vaak vanzelf minder sterke wachtwoorden gebruiken
Helaas gebruiken veel mensen ook zonder afgedwongen password rotation minder sterke tot zelfs slechts wachtwoorden in de praktijk. Je moet je password policy altijd afstemmen op het dreigingslandschap.
Reageer
ZinloosGeweldig @xxs24 november 2025 12:09
He verdorie, heb ik net al m'n certificaten en secrets gerotate lees ik dit :P
Reageer
Keypunchie @ZinloosGeweldig24 november 2025 13:00
Certificaten/private keys roteren doe je hopelijk toch geautomatiseerd?
Reageer
DigitalExorcist @xxs24 november 2025 12:27
Kwam naar dit artikel om precies hetzelfde te zeggen. Wijzigen van wachtwoorden leidt tot hergebruik en versimpeling omdat mensen niet in staat zijn (en terecht, overigens) zoveel verschillende wachtwoorden te onthouden.

Het devies is natuurlijk een goeie passwordmanager (nee NIET die van je browser zelf dus...) en sowieso MFA te implementeren, en méér indien mogelijk.
Reageer
Martinspire @xxs24 november 2025 12:33
Niet alleen dat. Ik denk dat het ook enorm veel werk voor support afdelingen scheelt als mensen niet meer geforceerd moeten vervangen, want mensen maken dan ook veel meer fouten.
Reageer
iqcgubon @xxs24 november 2025 14:54
Dit snappen ze be mijn werkgever nog steeds niet. Ik zit ondertussen aan 11 uitroeptekens achter mijn wachtwoord...
Reageer
banaj @xxs24 november 2025 14:57
Het is er niet uitgehaald, maar wordt niet meer aangeraden als er geen bewijs is van een lek van het wachtwoord. Dat voorbehoud betekent:: wachtwoord is niet bekend door een infostealer (= keylogger op gehackt systeem), of een datalek elders gecombineerd met hergebruik.

Die checks worden vrijwel nergens (goed) uitgevoerd. Dus wachtwoorden wijzigen is altijd een goed idee, om gedateerde wachtwoorden uit bijvoorbeeld infostealers ongeldig te maken.
Reageer
Mushroomician @xxs24 november 2025 15:24
De MSP van mijn werkgever heeft het er maar moeilijk mee. Waarom lopen die MSP's altijd zover achter...
Reageer
NyteMyre 24 november 2025 11:29
Wachtwoord01 -> Wachtwoord02 dag
Reageer
Harmsen @NyteMyre24 november 2025 11:30
Nee, Wachtwoord2025 is handiger, dan weet je ook in welk jaar je het als laatste hebt gedaan :Y)
Reageer
Opperpanter2 @Harmsen24 november 2025 11:37
Passkey2025
Reageer
Zebby @Opperpanter224 november 2025 12:55
PassKey112025!

Hoofdletters, kleine letters, cijfers, speciaal karakter, en maand erin voor het maandelijkse verplicht aanpassen!
Reageer
Olaf van der Spek 24 november 2025 11:50
Het is jammer dat authenticatie / account management anno 2025 eigenlijk nog zo slecht is.
Nog steeds handmatig aantonen dat een email adres van jou is door op een linkje te klikken.
Geen ondersteuning voor anonieme aliassen (zoals bij Sign in with Apple) in gmail of outlook.

Ondersteunt Tweakers eigenlijk al passkeys?

[Reactie gewijzigd door Olaf van der Spek op 24 november 2025 11:52]

Reageer
AibohphobiA BoB @Olaf van der Spek24 november 2025 13:08
Zo te zien niet, wel 2fa.

Het is trouwens nauwelijks te vinden waar je je Tweakers wachtwoord kan wijzigen. Gelukkig is dat ook niet nodig aangezien deze dag sowieso als onzinnig (zo niet gevaarlijk) is bestempeld.
Reageer
Llopigat 24 november 2025 11:59
Passkeys vind ik wel een goed idee maar je zit nog steeds zo vast aan de implementatie van Google of Apple. Google zijn monsters en Apple apparatuur heb ik niet dus dat ga ik niet doen.

Je hebt ook wel bitwarden maar daar worden veel beperkingen aan gesteld, bijvoorbeeld chrome ondersteunt pas sinds kort bitwarden passkeys en alleen op de desktop naar wat ik heb begrepen. PayPal ondersteunt alleen passkeys in chrome en weigert firefox (ik gebruik geen chrome) dus ik zit nogal vast.

Het liefst zou ik gewoon fysieke yubikeys gebruiken maar veel sites ondersteunen maar 1 passkey. Zoals ook weer PayPal. Dusja, voorlopig moet het meer open gaan worden.
Reageer
FrostyPeet 24 november 2025 12:00
Ik ben een 61 jarige man die al veel "password hypes" heeft meegemaakt. Wel of niet veranderen elke X dagen. Gevolg "Januari1996", "Februari1996". Wel of geen afgedwongen sterke wachtwoorden naast de al dan niet verplichte wachtwoord wijzigingen elke X dagen.. Gevolg "J@nuari 1998", "Febru@ri1998". Vervolgens ging het afdelingsaccount, wat iedereen gebruikte want we moesten elkaars werk overnemen, over naar persoonlijke accounts. Gevolg "J@anuari1999Pietje", "Febru@ri1999Pietje". Toen moesten de wachtwoorden weg want onveilig enzo. Maar ja, die RND generators. Lastig als je de "seed" kwijtraakt. Gevolg: printscreen van de QR code van de "seed" zodat de RND op zoveel apparaten als nodig kan worden ingesteld zonder "recovery" gedoe. Want ja, je inlog kwijtraken dat was vragen om ellende. Als die RND app niet zou werken, kwam je er niet in. Gelukkig was er nog het recovery password "J@nuari2019".

Het blijft mensenwerk :D
Reageer
yevgeny 24 november 2025 12:49
TIP:

Gebruik de rechter alt toets om ongebruikelijke tekens in je password te gebruiken.

qwerty wordt dan äåé®þü
Reageer
FrostyPeet @yevgeny24 november 2025 14:09
Hopelijk verpest de login software het niet, dit soort ongewone tekens. Niets zo vervelend als zoiets op te slaan en bij het inloggen er achter komen dat het verificatie algoritme niet overweg kan met u-accent-grave o.i.d.
Reageer
pordkert @yevgeny24 november 2025 14:17
Lang niet alle wachtwoordvelden staan dat soort karakters toe. Standaard laat ik mijn wachtwoordmanager ook dat soort karakters meenemen, maar voldoet een wachtwoord dan niet aan de vereisten. Soms is het zelfs zo erg gesteld dat een wachtwoord maximaal 12 tekens mag zijn met minimaal een hoofdletter, kleine letter, cijfer en een speciaal teken (?, ! of .).
Reageer
Annihlator @yevgeny24 november 2025 14:24
Tot je op een werkplek komt met een anders (veelal fout) ingesteld toetsenbord, anders-dan us-int'l
Reageer
FrostyPeet 24 november 2025 14:12
Pst... Niet verder vertellen.

https://www.passwordcard.org/en
Reageer
Basje93 24 november 2025 12:16
Toevallig, ik ben net afgelopen week bezig geweest (en nog steeds bezig) om al mijn wachtwoorden te veranderen in unieke wachtwoorden en overbodige accounts overal op te heffen. Vooral dat laatste wordt echt zo lastig gemaakt. Ik wou dat dat wettelijk verplicht werd dat het zo makkelijk werd om een account op te heffen als dat het is om er één aan te maken.
Reageer
Gekookte boon 24 november 2025 12:30
Voor belangrijke accounts kan het handig zijn om wachtwoordzinnen (pass phrases) te gebruiken. En hier vervolgens een concrete zin bij bedenken.

Proton Pass ziet wachtwoordzinnen met vier of meer woorden, gescheiden door koppeltekens, als sterk. Bijvoorbeeld: overfull-stooge-bagel-ranch. Tweakers vindt dit zelfs ‘supersterk’.

Zelf ga ik voor vijf woorden. Je eigen taal is dan wat makkelijker te onthouden uiteraard.
Reageer
Martinspire 24 november 2025 12:38
Ik ben na een paar ww-managers te proberen uiteindelijk uitgekomen op Proton. Deze gaf mij veel vertrouwen in zowel de beveiliging als gebruiksvriendelijkheid. Ik vond met name de apps op zowel windows als android het beste werken (soms heb je 1 wel maar de ander niet bv). Ook geen problemen dat ww niet automatisch gevuld kunnen worden en de integratie werkt mijns inziens het best van allen. Uiteraard nog wel wat items op mijn wenslijst, maar over het algemeen werkt het prima. Hiervoor zat ik bij Bitwarden, maar deze is toch wel wat verouderd. Daarvoor Lastpass, maar na die databreuk heb ik daar geen vertrouwen meer in.

Qua authenticator ben ik nog wel wisselend. MS Authenticator vind ik toch wat te irritant in gebruik en een aantal alternatieven hebben geen opties om te synchroniseren. Ik heb het liefste op meerdere apparaten mijn wachtwoorden en authenticators zodat als er 1 stuk gaat, ik niet de laatste items kwijt ben. Want ik ken mijzelf daarin. Ente heb ik nu op het oog, want hoewel de Proton app mij ook wel bevalt, vind ik het toch wel prettig als niet alles bij dezelfde toko vandaan komt.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq