First click here and then choose your language with the Google translate bar at the top of this page ↑
Ondanks de toenemende cyberbeveiligingsdreigingen lijkt het ene gebied dat binnen handbereik ligt ook het gebied dat het meest genegeerd wordt. De jaarlijkse lijst van 'slechtste wachtwoorden' is uit. Cybersecuritybedrijf NordPass heeft de 'Meest voorkomende wachtwoorden' van 2022 lijst bekendgemaakt. NordPass werkte samen met onafhankelijke cyberbeveiligingsspecialisten en evalueerde dit jaar een database van 3 terabyte aan onderzoek naar cyberbeveiligingsincidenten in 30 landen. Het onderzoek constateerde een terugkerend patroon dat door de jaren heen is blijven bestaan - mensen hebben de neiging om getallen achter elkaar te gebruiken en hun wachtwoorden te baseren op thema's als actuele gebeurtenissen, modemerken en sport.
Hardnekkig probleem
"Hier zijn de top 200 meest voorkomende wachtwoorden in 2022. We hebben geleerd dat ondanks het groeiende cyberbeveiligingsbewustzijn, oude gewoonten moeilijk sterven. Uit het onderzoek blijkt dat mensen nog steeds zwakke wachtwoorden gebruiken om hun accounts te beschermen. Dit jaar hebben we gekeken hoe cultuur van invloed is op wachtwoorden. Verken de lijst nu," aldus NordPass in een verklaring.
Dit jaar werd "wachtwoord" bijna vijf miljoen keer gebruikt in hun steekproef, waarmee ze alle andere zwakke wachtwoorden ruimschoots overtroffen. Hoewel de wachtwoordkeuzes van jaar tot jaar niet veel zijn veranderd, was de steekproef van NordPass uit 2021 iets anders. Toen stond het wachtwoord "123456" bovenaan de wereldwijde ranglijst en "wachtwoord" op de tweede plaats, maar cijferreeksen waren net zo populair als nu. De meerderheid van de 200 andere wachtwoorden in de studie van dit jaar bestaat dan ook voornamelijk uit cijferreeksen die beginnen met "123", of variaties zoals een reeks nullen, enen of andere getallen. Andere zwakke voorbeelden waren "iloveyou", "football" en "samsung".
In minder dan een seconde gehackt
De meeste wachtwoorden in de top 200 kunnen in minder dan een seconde worden gekraakt - of gehackt. Sommige, zoals "guest" en "col123456", hebben ongeveer 10 seconden nodig, terwijl andere, zoals "Groupd2013", tot 3 uur kunnen duren. Langere wachtwoorden zoals "9136668099" hebben echter 4 dagen nodig om te kraken, zo bleek uit de studie. Dit bewijst dat wachtwoorden van tien tekens of langer - maar niet in een typische volgorde - onmetelijk veiliger zijn.
Actuele gebeurtenissen beïnvloeden wachtwoordkeuze
Gebruikers laten zich bij het maken van hun wachtwoorden vaak inspireren door de actualiteit. "Er is meer dan één manier om opgelicht te worden op Tinder," zei NordPass, verwijzend naar het gebruik van de dating app als wachtwoord 36.384 keer in het onderzoek. "Het gebruik van 'tinder' als wachtwoord is riskanter dan rechts vegen op een miljardair."
Gebruikers lieten zich ook inspireren door evenementen als de Oscars waardoor het wachtwoord "Oscars" 62.983 keer werd gebruikt. Populaire films en shows zoals Encanto, Euphoria en Batman die tussen 2021 en 2022 zijn uitgebracht, zijn nog steeds populaire wachtwoordkeuzes, aldus NordPass. Het wachtwoord "batman" werd bijvoorbeeld 2.562.772 keer gebruikt.
"Hoewel de slechtste wachtwoorden elk jaar veranderen, zijn mensen gewoontedieren. Elk jaar zien onderzoekers hetzelfde patroon - sportteams, filmpersonages en voedingsmiddelen domineren elke wachtwoordlijst," aldus de studie.
Hergebruik van wachtwoorden is gevaarlijk
Gemakkelijk te raden wachtwoorden gebruiken is één ding, maar ze hergebruiken voor meerdere accounts kan uitmonden in grootschalige hackingcampagnes en persoonlijke compromissen. Volgens een recente studie van wachtwoordbeheerder Dashlane wordt wereldwijd meer dan 50 procent van de wachtwoorden hergebruikt. Zo kunnen hackers miljoenen accounts kraken door websites te "vullen" met gestolen, zwakke referenties via geautomatiseerde programma's - ook wel een credential stuffing-aanval genoemd. Credentielijsten zijn vaak te koop op het darkweb, waar iedereen ze gemakkelijk kan kopen voor cryptocurrency.
In een dergelijk geval konden hackers in september inbreken in Microsoft Exchange-servers - die door miljoenen ondernemingen wereldwijd voornamelijk voor e-mail worden gebruikt - en kwaadaardige toepassingen op deze servers implementeren om gebruikers te benaderen met phishing-e-mails die kunnen leiden tot financiële diefstal of identiteitsfraude.
Een ander voorbeeld - een van de grootste cyberbeveiligingsincidenten die dit jaar het nieuws haalden - was de hack bij de Australische Medibank deze maand, die volgens de CEO van het bedrijf mogelijk werd veroorzaakt door een gestolen wachtwoord.
Wachtwoordbeveiliging is van vitaal belang!
MindYourPass deed onderzoek
De bedenker van 'MindYourPass' en wachtwoorden expert Merijn de Jonge deed onderzoek binnen organisaties naar het hergebruik van wachtwoorden en kwam met het volgende resultaat.
Klik op afbeelding om te vergroten
Bovenstaande afbeelding laat het hergebruik van wachtwoorden binnen een organisatie zien.
Hergebruik betekent dat eenzelfde persoon op dezelfde computer in dezelfde browser eenzelfde wachtwoord gebruikt op meer dan één account. Het werkelijke hergebruik van wachtwoorden ligt hoger omdat bijvoorbeeld ook verschillende mensen dezelfde wachtwoorden gebruiken.
In het plaatje zijn de knopen applicaties waar medewerkers op inloggen. Een lijn tussen twee knopen betekent dat iemand op de betreffende applicaties hetzelfde wachtwoord heeft gebruikt.
Hoe dikker de lijn hoe meer medewerkers binnen de organisatie dit hebben gedaan. Een rode lijn betekent dat het hergebruikte wachtwoord bij hackers bekend is (het zit in de database van haveibeenpwned). Kleurt een applicatie rood, dan wordt deze zakelijk gebruikt. Kleurt hij groen dan wordt hij juist privé gebruikt. Voor blauwe knopen kon dit niet worden vastgesteld. Een kleurcombinatie duidt op het gecombineerd gebruik van zakelijk en privé.
Bron: mindyourpass.io, nordpass.com, 10guards.com
Meer info over wachtwoorden of alle begrippen en vormen van A tot Z
Meer actueel nieuws
Supply chain aanvallen, Marimo gehackt en FBI leest Signal
Aanvallers misbruiken steeds vaker de vertrouwensrelaties tussen softwareleveranciers en cloudservices. De officiele website van CPUID verspreidde zes uur lang malware via de downloads van CPU-Z en HWMonitor, ShinyHunters stal authenticatietokens om via Anodot in Snowflake omgevingen te komen en de Lazarus Group registreerde legale Amerikaanse bedrijven als dekmantel voor malwarecampagnes. Ondertussen werd een kritieke kwetsbaarheid in het Python notebook platform Marimo binnen tien uur na openbaarmaking actief misbruikt. De FBI liet in een rechtszaak zien dat gewiste Signal berichten te herstellen zijn via de notificatiedatabase van een iPhone. En ransomwaregroepen breiden hun arsenaal uit met bijna negentig verschillende tools om beveiligingssoftware uit te schakelen.
NB413: ChipSoft ransomware treft ziekenhuizen, REvil baas ontmaskerd en twee Fortinet zerodays
Deze week werd Nederland opgeschrikt door een ransomware aanval op ChipSoft, de grootste leverancier van patiëntendossiers in Nederland. Elf ziekenhuizen haalden uit voorzorg hun portalen offline en de Autoriteit Persoonsgegevens ontving 23 meldingen. Ondertussen onthulde de Duitse BKA de identiteit van de beruchte REvil ransomware leider UNKN, ontmantelden de FBI en het VK een Russische spionagecampagne via gehackte routers en namen aanvallen op Kubernetes met 282 procent toe. Twee kritieke zerodays in FortiClient EMS werden binnen een week ontdekt en actief misbruikt en Noord-Koreaanse hackers stalen in 2025 al meer dan twee miljard dollar aan crypto. LinkedIn bleek stilletjes browserextensies van gebruikers te volgen en een bankhelpdeskfraudeur kreeg zeven jaar cel na het stelen van 900.000 euro. De politie zoekt daarnaast meer slachtoffers van verdachte Turpien. Lees alle details in de vier artikelen van deze week.
ChipSoft ransomware treft zorg, VENOM steelt executive logins en 7 jaar cel
Een ransomware aanval op EPD leverancier ChipSoft treft de hele Nederlandse zorg, elf ziekenhuizen halen hun portalen offline en de Tweede Kamer stelt vragen over de gevaarlijke afhankelijkheid van een handvol leveranciers. Cybercriminelen misbruiken echte Meta notificaties om meer dan veertigduizend phishing mails te versturen en het gesloten VENOM platform jaagt specifiek op CEO's en CFO's. Het updatesysteem van een populaire WordPress plugin wordt gekaapt voor een volledige supply chain aanval en onderzoekers ontdekken dat het CLAUDE.md bestand van AI assistent Claude Code misbruikt kan worden voor SQL injectie. In de rechtbank krijgt een 24 jarige man uit Delfzijl zeven jaar cel voor het stelen van 900.000 euro via bankhelpdeskfraude.
Politie zoekt extra slachtoffers van verdachte Turpien
De politie roept slachtoffers van een man uit Spijkenisse op om zich te melden. De verdachte zou onder de naam Turpien op Snapchat tientallen meisjes hebben afgeperst. Inmiddels zit hij vast, maar door de hoeveelheid beeldmateriaal die bij hem werd aangetroffen, vermoedt de politie dat er nog meer slachtoffers zijn die nog niet bekend zijn.
APT28 kaapt routers, Kubernetes onder vuur en BKA ontmaskert REvil baas
Bron: Cybercrimeinfo, ondezoeksteam
Twee FortiClient zerodays, Noord-Korea's miljardenbusiness en LinkedIn als spion
Twee kritieke kwetsbaarheden in FortiClient EMS in één week, beide actief misbruikt als zeroday. Noord-Korea blijkt in 2025 voor meer dan twee miljard dollar aan crypto gestolen te hebben en hackt de populaire Axios library via een nep Teams update. Device code phishing neemt 37 keer toe door nieuwe phishing kits. En onderzoekers ontdekken dat LinkedIn meer dan 6.000 browserextensies scant van gebruikers.