Een op de vijf Nederlanders gebruikt de naam van hun huisdier, kind of favoriete voetbalclub in hun wachtwoorden. Dit blijkt uit een onderzoek van Beyond Identity. Voor dit onderzoek werden duizend Nederlanders ondervraagd naar de manier waarop ze wachtwoorden inzetten. Hun antwoorden brengen veel voorkomende valkuilen rond het gebruik van wachtwoorden aan het licht.
Wachtwoorden als beveiliging
Wachtwoorden zijn bedoeld als beveiliging, maar dit blijkt vaak niet te werken. Misbruik van wachtwoorden behoort tot de populairste methoden van cybercriminelen om toegang te krijgen tot bedrijfsnetwerken en gebruikersaccounts van consumenten. Volgens het Verizon Data Breach Investigations Report was 80% van alle beveiligingsincidenten te wijten aan misbruik van zwakke en gestolen wachtwoorden. 15% van de deelnemers aan het onderzoek van Beyond Identity zei dat hun wachtwoord meer dan 5 keer was gestolen.
De onderzoeksresultaten lijken er ook op te wijzen dat veel gebruikers er nog altijd verouderde wachtwoord procedures op nahouden of voorbijgaan aan ‘best practices’ voor veilig toegangsbeheer.
Dat blijkt wel uit het feit dat exact de helft van de respondenten toegaf steeds opnieuw hetzelfde wachtwoord te gebruiken voor meerdere applicaties. 16% deelde wachtwoorden met hun collega’s. Nog eens 25% van alle respondenten gaf toe dat ze geen gebruikmaakten van sterke en unieke wachtwoorden voor de uiteenlopende applicaties die zij voor hun werk gebruikten. Erger nog: 13% wijzigt hun werkgerelateerde wachtwoorden nooit. Bij persoonlijke wachtwoorden zijn de antwoorden nog verontrustender, hier zegt 27% van de ondervraagden hun wachtwoorden nooit te veranderen.
Wachtwoorden vertegenwoordigen een groot beveiligingsrisico
Tom Jermoluk, de CEO van Beyond Identity: “Beveiliging op basis van wachtwoorden is uit de tijd, maar gebruikers blijven eraan vasthouden. Voor bedrijven is het eenvoudig om de schuld bij eindgebruikers neer te leggen, maar dat is niet eerlijk. Wachtwoorden bieden nu eenmaal geen betrouwbare bescherming tegen cyberaanvallen, en het is tijd dat men de noodzaak inziet om hiervan af te stappen. Wachtwoorden vertegenwoordigen een groot beveiligingsrisico, ze maken gebruikers vatbaar voor cyberaanvallen. En dat is niet nodig, want er zijn goede en veilige alternatieven om applicaties te beveiligen.”
Voor het onderzoek werd ook gekeken naar de manier waarop gebruikers hun wachtwoorden opslaan. 21% van de respondenten noteert die ergens. 10% slaat ze op in Word-bestanden op hun computer en 7% e-mailt ze naar zichzelf. Dit is enorm riskant gezien alle onzekerheden die gepaard gaan met de opslag van wachtwoorden, zeker in een tijd waarin er zoveel alternatieve oplossingen voor cybersecurity en toegangsbeveiliging beschikbaar zijn. De respondenten werden gevraagd of de lengte en complexiteit van een wachtwoord volgens hen een teken waren van de veiligheid daarvan. 85% van de respondenten gaf een bevestigend antwoord. 81% was het eens met de stelling dat het regelmatig wijzigen van hun wachtwoorden hun applicaties veiliger maakte. 67% van alle respondenten was het eens met de stelling dat zij in hun wachtwoorden gebruikmaakten van willekeurige woorden in plaats van persoonlijke informatie. 8% was het daar “zeer oneens” mee. 22% was het niet eens met de stelling dat zij willekeurige woorden gebruikten, ondanks het feit dat dit als beveiligingsmaatregel wordt aanbevolen.
“Wachtwoorden zijn intrinsiek onveilig. Het maakt niet uit of gebruikers regelmatig hun wachtwoorden wijzigen of langere wachtwoorden gebruiken. Ook als hun wachtwoord 10 of 1000 tekens lang is of allerhande speciale tekens bevat, kunnen cybercriminelen gebruikers nog altijd met phishing-trucs overhalen om hun wachtwoord prijs te geven. De complexiteit van je wachtwoord is dus irrelevant. Zolang wachtwoorden worden gebruikt zullen ze worden gestolen en gekraakt”, aldus Jermoluk.
Overschatting
Desondanks denkt 70% van alle respondenten dat de wachtwoorden die ze voor werk en privé gebruiken uiterst veilig zijn. Slechts 1% zegt dat ze “absoluut niet veilig” zijn. De grootste bedrijven die aan het onderzoek deelnamen hadden meer dan 5.000 mensen in dienst. Daarmee bestaat de kans dat 50 van hun werknemers gebruikmaken van onveilige wachtwoorden. Dat is meer dan genoeg om de hele organisatie in gevaar te brengen. Een positieve kant van het verhaal is dat de onderzoeksresultaten ook wezen op veranderende houdingen ten opzichte van authenticatietechnologie. 44% van de respondenten zei dat ze zich veiliger zouden voelen bij het gebruik van biometrie of andere vormen van authenticatie dan wachtwoorden. Het feit dat consumenten en bedrijven beginnen te beseffen dat ze andere oplossingen dan wachtwoordbeveiliging nodig hebben is een belangrijke stap in de goede richting.
“Organisaties moeten serieus aan de bak om hun authenticatieprocessen veiliger te maken. De beste oplossing voor problemen met wachtwoorden is om daar volledig van af te stappen. Gartner voorspelt dat 60% van alle multinationals en 90% van alle middelgrote ondernemingen in 2022 gebruik zullen maken van wachtwoordloze beveiliging. Meer dan de helft zal hiervoor een beroep doen op MFA en andere beveiligingsoplossingen. Wachtwoordloze, tegen phishing bestendige multi-factorauthenticatie maakt een einde aan het risico van cyberaanvallen die misbruik maken van wachtwoorden”, zegt Jermoluk.
Over het onderzoek
Het onderzoek werd gehouden onder 4027 werknemers van organisaties met meer dan 250 werknemers in vier regio's: Verenigd Koningrijk, België & Nederland, DACH (Duitsland), en de Nordics (Zweden & Noorwegen). De interviews werden online uitgevoerd door Sapio Research met behulp van een e-mailuitnodiging en een online enquête.
Bron: gartner.com, verizon.com, beyondidentity.com, baaz.nl
Bekijk alle vormen en begrippen
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer actueel nieuws
Dataverrijking: waarom het Odido lek gevaarlijker is dan je denkt
Op 1 maart publiceerde de hackersgroep ShinyHunters de volledige dataset van Odido op het darkweb. Gegevens van 6,5 miljoen personen en 600.000 bedrijven liggen nu open en bloot op internet. Namen, adressen, IBAN nummers, geboortedatums, paspoortnummers en zelfs BSN nummers van zzp'ers. Maar het echte gevaar van dit datalek zit niet in wat er gestolen is. Het zit in wat criminelen er straks mee gaan doen.
Odido finale: 6,1 miljoen op straat, overheid kwetsbaar
Het datalek bij Odido heeft zijn definitieve omvang bereikt. Beveiligingsonderzoeker Troy Hunt bevestigt dat de gegevens van 6,1 miljoen klanten inmiddels op het darkweb staan, inclusief burgerservicenummers van zelfstandigen. In Den Haag stapelen de zorgen zich op, de Dienst Justitiële Inrichtingen werd vijf maanden lang bespioneerd via een kwetsbaarheid in Ivanti, de Belastingdienst vertrouwt het systeem voor de omzetbelasting toe aan een Amerikaans bedrijf en duizenden applicaties op het Mendix platform lekken wereldwijd gevoelige data. Het IBM X-Force rapport onthult dat een kwart van alle cyberaanvallen op Europa is gericht, terwijl het Nederlandse Jaarbeeld Ransomware laat zien dat gehackte accounts de belangrijkste aanvalsmethode zijn geworden. Dit journaal bestrijkt het nieuws van 28 februari tot en met 2 maart 2026.
NB407: Jouw Odido data staat nu op het darkweb
Deze week werd het ergste scenario werkelijkheid: ShinyHunters publiceerde de gestolen gegevens van honderdduizenden klanten van Odido op het darkweb, inclusief IBAN nummers en paspoortnummers. We leggen uit wat criminelen nu over jou weten en welke stappen je moet nemen. Daarnaast gebruikte een Russische hacker AI om meer dan 600 FortiGate firewalls te kraken, misbruikte een hacker Claude AI voor een overheidshack en onthulde Google een Chinese spionagecampagne die bijna tien jaar lang 53 organisaties bespioneerde. CrowdStrike meldde dat AI aanvallers in recordtijd van 27 seconden door netwerken bewegen. Tot slot zoekt de politie een verdachte van bankhelpdeskfraude bij een goudsmid in Naarden. Lees alle details in de zes artikelen van deze week.
Odido data op straat, AI hackt overheden en Chinese spionage
Het ultimatum van hackersgroep ShinyHunters is verlopen en de gestolen gegevens van honderdduizenden Odido klanten staan op het darkweb. In de eerste publicatie verscheen data van 430.000 particulieren en 290.000 zakelijke klanten, waarna een dag later opnieuw klantgegevens werden vrijgegeven. De politie adviseert bedrijven expliciet niet te betalen. Tegelijkertijd misbruikte een hacker het AI model Claude om 150 gigabyte aan gegevens van de Mexicaanse overheid te stelen, en integreert Kali Linux nu AI voor penetratietesten. Google onthulde een Chinese spionagecampagne die bijna tien jaar lang 53 organisaties in 42 landen bespioneerde, terwijl de Tweede Kamer vragen stelt over een killswitch in Chinese bussen. Dit journaal bestrijkt het nieuws van 26 en 27 februari 2026.
Goudsmid in Naarden voor tonnen opgelicht
Een goudsmid uit Naarden is in oktober 2025 slachtoffer geworden van een geraffineerde vorm van bankhelpdeskfraude. De vrouw werd eerst telefonisch benaderd door iemand die zich voordeed als medewerker van haar bank. Vervolgens verscheen een man op de afgesproken locatie die haar tas vol sieraden, goud en contant geld meenam. De geschatte schade loopt op tot enkele honderdduizenden euro's. De politie heeft camerabeelden van een verdachte en doet een dringend beroep op getuigen.
ShinyHunters publiceert gestolen Odido data: "Dit is jullie schuld"
Wat veel Odido klanten vreesden, is vandaag werkelijkheid geworden. De hackersgroep ShinyHunters heeft de eerste lading gestolen klantgegevens gepubliceerd op het darkweb. Op hun eigen website verscheen vandaag een map met de naam "pay_or_leak" waarin een bestand met de titel "Information.txt" en een map "day1" staan. De boodschap van de criminelen is even kort als dreigend: Odido heeft geweigerd te betalen, dus nu betalen de klanten de prijs.
ShinyHunters eist miljoenen, AI breekt door in 27 seconden
De hackersgroep ShinyHunters eist miljoenen euro's losgeld van Odido en dreigt de gestolen data van miljoenen klanten openbaar te maken. Diezelfde groep blijkt ook achter datalekken bij CarGurus, Optimizely en tientallen andere organisaties te zitten. Het CrowdStrike Global Threat Report 2026 onthult dat aanvallers met behulp van AI nu gemiddeld in 29 minuten door een netwerk bewegen, met een record van slechts 27 seconden. Ondertussen kopieerden drie Chinese bedrijven op illegale wijze de mogelijkheden van het Claude AI model via 16 miljoen queries. In Nederland en Belgie sluiten instanties de rijen: SIDN verwijderde honderden kwaadaardige domeinen, DNB neemt extra maatregelen en Firefox lanceert een schakelaar om alle AI functies uit te zetten. Dit journaal bestrijkt het nieuws van 24 en 25 februari 2026.
Gehackt bij Odido: wat criminelen nu over jou weten
🚨 Update 26 februari: ShinyHunters publiceert gestolen Odido data: "Dit is jullie schuld"
AI kraakt 600 firewalls, beurzen dalen en Odido escaleert
Een Russisch sprekende hacker gebruikte kunstmatige intelligentie om in vijf weken meer dan 600 FortiGate firewalls te compromitteren, terwijl de lancering van Claude Code Security een schokgolf door de cybersecuritymarkt stuurde. De software supply chain blijft onder vuur: meer dan 30.000 OpenClaw instances werden gecompromitteerd en een nieuwe npm worm richt zich specifiek op AI coding tools. In Nederland en Belgie escaleert de nasleep van het datalek bij Odido met risico's voor bankrekeningen, verloor een Belgische kerkfabriek 100.000 euro door factuurphishing en kregen advocaten een tik op de vingers voor verkeerd gebruik van AI in de rechtszaal. Dit journaal bestrijkt het nieuws van 21, 22 en 23 februari 2026.
NB406: PromptSpy kapt je Android en 90% ransomware via je firewall
Deze week verscheen de social engineering techniek ClickFix in maar liefst vier varianten waarmee aanvallers slachtoffers verleiden om zelf malware te installeren. In België kwamen gevoelige gegevens op straat en de NAVO sloeg alarm. Onderzoekers onthulden hoe aanvallers het geheugen van AI vergiftigen, de Odido-soap groeide verder en de beruchte ransomwarebende LockBit kondigde versie 5.0 aan. ESET ontdekte PromptSpy, de eerste malware voor Android die Google Gemini AI misbruikt, het Delftse architectenbureau cepezed verscheen op de leksite van ransomwaregroep DragonForce en een nieuw rapport onthulde dat 90% van alle ransomware begint bij kwetsbare firewalls. Tot slot zoekt de politie een nepagent die via een babbeltruc een kluis stal van een oudere vrouw in Breda. Lees alle details in de vier artikelen van deze week.
PromptSpy, cepezed gehackt en 90% ransomware via firewalls
Onderzoekers van ESET onthulden PromptSpy, de eerste malware voor Android die Google Gemini AI misbruikt om gestolen gegevens te analyseren, terwijl op ClawHub 1.184 kwaadaardige skills werden aangetroffen en de populaire coderingstool Cline slachtoffer werd van een supply chain aanval. In Nederland en België verscheen het Delftse architectenbureau cepezed op de leksite van de ransomwaregroep DragonForce en claimde een cybercrimineel 27.000 personeelsgegevens van RTL Group te hebben buitgemaakt. Een nieuw rapport van Barracuda laat zien dat 90% van alle incidenten met ransomware begint bij kwetsbare firewalls en VPN. Dit journaal bestrijkt het nieuws van 18 en 19 februari 2026.
Nepagent steelt kluis bij babbeltruc in Breda
Een oudere vrouw uit de wijk IJpelaar in Breda werd op woensdag 3 september 2025 gebeld door iemand die zich voordeed als politieagent. Even later stond een jonge verdachte voor haar deur, die er met haar kluis vandoor ging. De kluis werd later teruggevonden, maar de inhoud was verdwenen. De politie zoekt de verdachte via Bureau Brabant en vraagt het publiek om hulp.