Uit een nieuwe analyse van bijna 19 miljard wachtwoorden die tussen 2024 en begin 2025 zijn gelekt, blijkt dat de wachtwoordbeveiliging onder gebruikers extreem slecht blijft. Onderzoekers ontdekten dat ongeveer 94 procent van de wachtwoorden in de dataset werd hergebruikt of gedupliceerd over meerdere accounts. Slechts ongeveer zes procent was uniek.
Het study onthulde dat gebruikers blijven vertrouwen op eenvoudige patronen, korte lengtes en voorspelbare sequenties. De meest voorkomende wachtwoorden waren “123456”, “123456789”, “password” en “qwerty”, die allemaal al meer dan tien jaar consequent bovenaan de wereldwijde lijsten met wachtwoordinbreuken staan. Experts merken op dat dergelijke wachtwoorden binnen enkele seconden kunnen worden gekraakt met geautomatiseerde tools.
Volgens het rapport was ongeveer 42 procent van alle geanalyseerde wachtwoorden tussen de acht en tien tekens lang, waarbij acht de meest voorkomende lengte was. Ongeveer 27 procent bevatte alleen kleine letters en cijfers, wat weinig weerstand bood tegen geautomatiseerde gokaanvallen. Ondanks jaren van bewustmakingscampagnes blijven gebruikers prioriteit geven aan gemak en gedenkwaardigheid boven beveiligingskracht.
Onderzoekers ontdekten ook dat veel wachtwoorden persoonlijke informatie combineren, zoals namen, verjaardagen of sportteams. Deze patronen maken accounts nog kwetsbaarder, omdat aanvallers vaak op woordenboeken gebaseerde methoden gebruiken die eerst veelvoorkomende namen en numerieke combinaties testen. Wachtwoorden die persoonlijke gegevens bevatten, worden vaak gecompromitteerd in de vroege stadia van brute force-pogingen, waardoor accounts worden blootgesteld.
Zwakke wachtwoorden blijven bestaan
Analisten schrijven het voortdurende vertrouwen op zwakke wachtwoorden toe aan gewoonte en vermoeidheid in plaats van onwetendheid. Veel gebruikers onderschatten de kans om direct het doelwit te worden, in de veronderstelling dat aanvallers zich alleen richten op grote organisaties. Anderen vertrouwen op vergelijkbare wachtwoorden voor verschillende services omdat ze bang zijn ze te vergeten. Het hergebruik van inloggegevens blijft echter een van de meest schadelijke cyberbeveiligingsrisico’s, aangezien één gehackt account vele andere kan ontgrendelen.
De studie waarschuwt dat dit patroon aanvallers in staat stelt om “credential stuffing”-campagnes te lanceren, waarbij wachtwoorden van één inbreuk automatisch op meerdere websites worden getest. Deze techniek wordt veel gebruikt om e-mail-, bank- en sociale media-accounts te compromitteren. Zwakke of hergebruikte wachtwoorden maken het voor criminelen veel gemakkelijker om te slagen zonder dat ze geavanceerdere beveiligingscontroles hoeven te omzeilen.
Experts bevelen verschillende praktische stappen aan voor gebruikers. Ten eerste moet elk account een uniek wachtwoord hebben dat lang en complex is, idealiter ten minste twaalf tekens. Wachtwoorden moeten hoofdletters en kleine letters, cijfers en speciale tekens bevatten. Ten tweede moeten gebruikers multi-factor authenticatie inschakelen wanneer dit beschikbaar is, en een extra beschermingslaag toevoegen, zelfs als het wachtwoord wordt gestolen.
Wachtwoordmanagers worden ook sterk aanbevolen voor het maken en opslaan van veilige inloggegevens. Deze tools genereren willekeurige combinaties die bijna onmogelijk te raden zijn en elimineren de noodzaak om meerdere lange reeksen te onthouden. Bovendien kunnen services die gebruikers op de hoogte stellen wanneer hun gegevens worden weergegeven in een bekende inbreuk, de blootstelling helpen verminderen door tijdige wachtwoordwijzigingen door te geven.
Onderzoekers merken op dat veel inbreuken voortkomen uit menselijk gedrag in plaats van systeemfouten. Eenvoudige en repetitieve wachtwoorden verschijnen nog steeds elk jaar in datasets, wat aantoont dat bewustzijn alleen niet genoeg is om gewoonten te veranderen. Experts beweren dat consistente educatie, in combinatie met een betere integratie van wachtwoordmanagers en automatische beveiligingswaarschuwingen, kan helpen bij het verschuiven van al lang bestaande gebruikerspatronen.
De gegevens van 2025 tonen aan dat hergebruik en eenvoud van wachtwoorden grote zwakke punten blijven in online beveiliging. Hoewel bedrijven blijven investeren in sterkere authenticatiesystemen, moeten individuen meer verantwoordelijkheid nemen voor het beschermen van hun eigen accounts. Zonder betekenisvolle gedragsverandering zullen dezelfde zwakke wachtwoorden waarschijnlijk ook in de toekomst worden gedomineerd.