First click here and then choose your language with the Google translate bar at the top of this page ↑
Ondanks de toenemende cyberbeveiligingsdreigingen lijkt het ene gebied dat binnen handbereik ligt ook het gebied dat het meest genegeerd wordt. De jaarlijkse lijst van 'slechtste wachtwoorden' is uit. Cybersecuritybedrijf NordPass heeft de 'Meest voorkomende wachtwoorden' van 2022 lijst bekendgemaakt. NordPass werkte samen met onafhankelijke cyberbeveiligingsspecialisten en evalueerde dit jaar een database van 3 terabyte aan onderzoek naar cyberbeveiligingsincidenten in 30 landen. Het onderzoek constateerde een terugkerend patroon dat door de jaren heen is blijven bestaan - mensen hebben de neiging om getallen achter elkaar te gebruiken en hun wachtwoorden te baseren op thema's als actuele gebeurtenissen, modemerken en sport.
Hardnekkig probleem
"Hier zijn de top 200 meest voorkomende wachtwoorden in 2022. We hebben geleerd dat ondanks het groeiende cyberbeveiligingsbewustzijn, oude gewoonten moeilijk sterven. Uit het onderzoek blijkt dat mensen nog steeds zwakke wachtwoorden gebruiken om hun accounts te beschermen. Dit jaar hebben we gekeken hoe cultuur van invloed is op wachtwoorden. Verken de lijst nu," aldus NordPass in een verklaring.
Dit jaar werd "wachtwoord" bijna vijf miljoen keer gebruikt in hun steekproef, waarmee ze alle andere zwakke wachtwoorden ruimschoots overtroffen. Hoewel de wachtwoordkeuzes van jaar tot jaar niet veel zijn veranderd, was de steekproef van NordPass uit 2021 iets anders. Toen stond het wachtwoord "123456" bovenaan de wereldwijde ranglijst en "wachtwoord" op de tweede plaats, maar cijferreeksen waren net zo populair als nu. De meerderheid van de 200 andere wachtwoorden in de studie van dit jaar bestaat dan ook voornamelijk uit cijferreeksen die beginnen met "123", of variaties zoals een reeks nullen, enen of andere getallen. Andere zwakke voorbeelden waren "iloveyou", "football" en "samsung".
In minder dan een seconde gehackt
De meeste wachtwoorden in de top 200 kunnen in minder dan een seconde worden gekraakt - of gehackt. Sommige, zoals "guest" en "col123456", hebben ongeveer 10 seconden nodig, terwijl andere, zoals "Groupd2013", tot 3 uur kunnen duren. Langere wachtwoorden zoals "9136668099" hebben echter 4 dagen nodig om te kraken, zo bleek uit de studie. Dit bewijst dat wachtwoorden van tien tekens of langer - maar niet in een typische volgorde - onmetelijk veiliger zijn.
Actuele gebeurtenissen beïnvloeden wachtwoordkeuze
Gebruikers laten zich bij het maken van hun wachtwoorden vaak inspireren door de actualiteit. "Er is meer dan één manier om opgelicht te worden op Tinder," zei NordPass, verwijzend naar het gebruik van de dating app als wachtwoord 36.384 keer in het onderzoek. "Het gebruik van 'tinder' als wachtwoord is riskanter dan rechts vegen op een miljardair."
Gebruikers lieten zich ook inspireren door evenementen als de Oscars waardoor het wachtwoord "Oscars" 62.983 keer werd gebruikt. Populaire films en shows zoals Encanto, Euphoria en Batman die tussen 2021 en 2022 zijn uitgebracht, zijn nog steeds populaire wachtwoordkeuzes, aldus NordPass. Het wachtwoord "batman" werd bijvoorbeeld 2.562.772 keer gebruikt.
"Hoewel de slechtste wachtwoorden elk jaar veranderen, zijn mensen gewoontedieren. Elk jaar zien onderzoekers hetzelfde patroon - sportteams, filmpersonages en voedingsmiddelen domineren elke wachtwoordlijst," aldus de studie.
Hergebruik van wachtwoorden is gevaarlijk
Gemakkelijk te raden wachtwoorden gebruiken is één ding, maar ze hergebruiken voor meerdere accounts kan uitmonden in grootschalige hackingcampagnes en persoonlijke compromissen. Volgens een recente studie van wachtwoordbeheerder Dashlane wordt wereldwijd meer dan 50 procent van de wachtwoorden hergebruikt. Zo kunnen hackers miljoenen accounts kraken door websites te "vullen" met gestolen, zwakke referenties via geautomatiseerde programma's - ook wel een credential stuffing-aanval genoemd. Credentielijsten zijn vaak te koop op het darkweb, waar iedereen ze gemakkelijk kan kopen voor cryptocurrency.
In een dergelijk geval konden hackers in september inbreken in Microsoft Exchange-servers - die door miljoenen ondernemingen wereldwijd voornamelijk voor e-mail worden gebruikt - en kwaadaardige toepassingen op deze servers implementeren om gebruikers te benaderen met phishing-e-mails die kunnen leiden tot financiële diefstal of identiteitsfraude.
Een ander voorbeeld - een van de grootste cyberbeveiligingsincidenten die dit jaar het nieuws haalden - was de hack bij de Australische Medibank deze maand, die volgens de CEO van het bedrijf mogelijk werd veroorzaakt door een gestolen wachtwoord.
Wachtwoordbeveiliging is van vitaal belang!
MindYourPass deed onderzoek
De bedenker van 'MindYourPass' en wachtwoorden expert Merijn de Jonge deed onderzoek binnen organisaties naar het hergebruik van wachtwoorden en kwam met het volgende resultaat.
Klik op afbeelding om te vergroten
Bovenstaande afbeelding laat het hergebruik van wachtwoorden binnen een organisatie zien.
Hergebruik betekent dat eenzelfde persoon op dezelfde computer in dezelfde browser eenzelfde wachtwoord gebruikt op meer dan één account. Het werkelijke hergebruik van wachtwoorden ligt hoger omdat bijvoorbeeld ook verschillende mensen dezelfde wachtwoorden gebruiken.
In het plaatje zijn de knopen applicaties waar medewerkers op inloggen. Een lijn tussen twee knopen betekent dat iemand op de betreffende applicaties hetzelfde wachtwoord heeft gebruikt.
Hoe dikker de lijn hoe meer medewerkers binnen de organisatie dit hebben gedaan. Een rode lijn betekent dat het hergebruikte wachtwoord bij hackers bekend is (het zit in de database van haveibeenpwned). Kleurt een applicatie rood, dan wordt deze zakelijk gebruikt. Kleurt hij groen dan wordt hij juist privé gebruikt. Voor blauwe knopen kon dit niet worden vastgesteld. Een kleurcombinatie duidt op het gecombineerd gebruik van zakelijk en privé.
Bron: mindyourpass.io, nordpass.com, 10guards.com
Meer info over wachtwoorden of alle begrippen en vormen van A tot Z
Meer actueel nieuws
GitHub inbraak via VS Code extensie, DBIR en SonicWall MFA
In de periode van woensdag 20 mei tot en met vrijdag 22 mei 2026 bevestigde GitHub dat dreigingsactor TeamPCP via een kwaadaardige VS Code extensie toegang verkreeg tot 3.800 interne repositories in achttien minuten. Het Verizon Data Breach Investigations Report 2026 toont voor het eerst kwetsbaarheidsexploitatie als dominante aanvalsmethode bij datalekken. En een fout in SonicWall VPN, CVE-2024-12802, wordt actief ingezet als beginpunt voor ransomware campagnes op toestellen waarvan de ondersteuning al is beëindigd.
Vrouw gezocht na babbeltruc bij slachtoffer in Oudenbosch
Op donderdag 15 januari 2026 werd een inwoner van Oudenbosch opgelicht door nepagenten. Een vrouw wist het vertrouwen te winnen, drong de woning binnen en nam sieraden, contant geld en een kluisje mee. De politie zoekt haar via vrijgegeven beelden.
Shai-Hulud npm aanval, MiniPlasma zerodag en Microsoft 365
In de periode van maandag 18 mei tot en met dinsdag 19 mei 2026 waren meerdere dreigingen gelijktijdig actief op verschillende aanvalsoppervlakken. Dreigingsactor TeamPCP publiceerde in 22 minuten 639 kwaadaardige versies van 323 npm pakketten, waarna de broncode van de aanvalsworm werd vrijgegeven op BreachForums. Een beveiligingslek in Windows uit 2020 bleek nooit correct te zijn gerepareerd en biedt elke lokale aanvaller volledige systeemrechten op een volledig bijgewerkt systeem. Microsoft 365 omgevingen stonden tegelijk onder druk via SSPR kaping door Storm-2949 en OAuth sessiestiefstal via EvilTokens. En ransomwaregroep The Gentlemen werd officieel partner van BreachForums terwijl onderzoekers meer dan 1.570 slachtoffers identificeerden.
Ledger post, Apple M5 kernel exploit en LockBit Stahlwille
In de periode van vrijdag 15 mei tot en met zondag 17 mei 2026 ontvingen eigenaren van Ledger hardware wallets vervalste papieren brieven met QR codes die leiden naar phishingsites waarop wordt gevraagd om de herstelzin in te vullen. De campagne is gelinkt aan het datalek bij Global-e uit januari 2026. Tegelijkertijd publiceerden vier beveiligingsonderzoekers een werkende exploit voor de Apple M5 chip, waarbij zij de hardwarematige geheugenbescherming van Apple doorbraken met behulp van een AI model van Anthropic. Op het darkweb portaal van LockBit 5.0 verscheen het Nederlandse bedrijf Stahlwille B.V. als een van zes nieuwe geclaimde slachtoffers.
INT geclaimd, Clinical Diagnostics en Kamervragen Canvas
In de periode van woensdag 13 mei tot en met donderdag 14 mei 2026 publiceerde The Gentlemen ransomwaregroep het Instituut voor de Nederlandse Taal als nieuw slachtoffer op haar darkweb portaal, terwijl op een ondergronds forum werd beweerd dat het Belgische medische platform cabinetmedical.be via een SQL kwetsbaarheid is gecompromitteerd met circa 10.000 patiëntgegevens. De Inspectie Gezondheidszorg en Jeugd maakte op 13 mei bekend dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij de gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn gestolen. Tegelijkertijd heeft de ShinyHunters Canvas zaak een politieke dimensie gekregen, met vragen in de Tweede Kamer aan twee ministers en een oproep van de Amerikaanse Huizencommissie voor Binnenlandse Veiligheid aan Instructure om te getuigen.
Verdachte gezocht na bankhelpdeskfraude in Amsterdam
De politie zoekt een man die op camerabeelden is vastgelegd terwijl hij contactloos betaalt via de bankrekening van een ander. De opname is gemaakt in een supermarkt in Amsterdam, nadat meerdere slachtoffers werden opgelicht door iemand die zich voordeed als bankmedewerker.