TL;DR: De oude wachtwoordregels (elke 90 dagen wijzigen, hoofdletter + cijfer + speciaal teken) zijn achterhaald en maken uw bedrijf juist kwetsbaarder. De nieuwe NIST-standaard draait om lange wachtwoordzinnen zonder verplichte rotatie, aangevuld met een wachtwoordmanager en multi-factor authenticatie. Onder NIS2 is een actueel wachtwoordbeleid bovendien een wettelijke verplichting.
Uw medewerkers veranderen braaf elke drie maanden hun wachtwoord. Ze voegen netjes een hoofdletter, een cijfer en een uitroepteken toe. En toch is het wachtwoord van uw boekhouder waarschijnlijk “Zomer2026!”. Herkenbaar? Dan werkt uw bedrijf nog met wachtwoordregels die al sinds 2017 als achterhaald worden beschouwd. De wetenschap is helder: die regels duwden mensen richting voorspelbaar en dus kraakbaar gedrag. In dit artikel leest u hoe een modern wachtwoordbeleid eruitziet, waarom het uw medewerkers minder frustreert en uw bedrijf beter beschermt, en hoe passkeys het wachtwoord op termijn overbodig maken.
Waarom de oude wachtwoordregels niet meer werken
Jarenlang gold dezelfde formule: minimaal acht tekens, minstens één hoofdletter, één cijfer en één speciaal teken, en elke 90 dagen verplicht wijzigen. In de praktijk levert dat wachtwoorden op als “Welkom01!” of “Bedrijf@2025”. Medewerkers kapitaliseren de eerste letter, vervangen een ‘a’ door ‘@’ of een ‘e’ door ‘3’, en plakken er een cijfer achteraan. Bij de verplichte wijziging verhogen ze simpelweg het getal. Dat patroon is voor aanvallers met brute-force algoritmen en woordenlijsten triviaal te voorspellen.
Het National Institute of Standards and Technology (NIST) publiceerde in juli 2025 de definitieve versie van SP 800-63B Revision 4, de internationale standaard voor authenticatie. De conclusies breken radicaal met de oude aanpak. Complexiteitseisen worden niet langer aanbevolen, want ze leiden tot zwakker gedrag. Verplichte periodieke rotatie wordt afgeschaft, tenzij er concreet bewijs is van een compromis. De minimale lengte gaat naar 15 tekens wanneer een wachtwoord de enige authenticatiefactor is. En elk nieuw wachtwoord moet gescreend worden tegen databases met eerder gelekte inloggegevens.
Concreet: het wachtwoord “P@ssw0rd123!” (12 tekens, voldoet aan alle oude regels) is zwakker dan “mijn-kat-springt-over-de-tafel” (31 tekens, geen speciaal teken, maar enorme entropie door lengte). Een wachtwoordzin die u kunt onthouden zonder post-it is veiliger dan een cryptische reeks die u elke drie maanden met een teller ophoogt.
De drie pijlers van modern wachtwoordbeheer
Een modern wachtwoordbeleid rust op drie samenhangende pijlers die elkaar versterken.
Pijler 1: lange wachtwoordzinnen. Stel de minimale lengte in op 15 tekens en sta spaties toe. Moedig medewerkers aan om een willekeurige zin te bedenken die voor hen betekenis heeft maar voor een buitenstaander niet te raden is. Schaf verplichte rotatie af: wachtwoorden wijzigen alleen bij een vermoeden van een datalek of compromis. Screen nieuwe wachtwoorden tegen lijsten met bekende gelekte inloggegevens via diensten zoals Have I Been Pwned.
Pijler 2: een zakelijke wachtwoordmanager. Zelfs met sterke wachtwoordzinnen is het onmogelijk om voor elke applicatie een uniek wachtwoord te onthouden. Een wachtwoordmanager genereert, bewaart en vult unieke wachtwoorden automatisch in. Het resultaat: medewerkers hoeven nog maar één sterk master-wachtwoord te onthouden. De rest doet de software.
Pijler 3: multi-factor authenticatie (MFA). Een wachtwoord alleen is onvoldoende. MFA voegt een tweede verificatielaag toe, iets wat u heeft (een smartphone of hardware key) of iets wat u bent (een vingerafdruk). Uit analyse van Microsoft blijkt dat MFA 99,9% van de geautomatiseerde aanvallen op accounts stopt. Maak MFA verplicht op alle externe toegangspunten: e-mail, VPN, cloudapplicaties en alle accounts met beheerdersrechten.
Belangrijk: MFA is geen wondermiddel. Aanvallers ontwikkelen geavanceerde technieken om MFA te omzeilen, van SIM-swapping tot real-time phishing met adversary-in-the-middle toolkits. Een recente analyse van deze technieken toont waarom phishing-resistente methoden zoals hardware keys en passkeys de voorkeur verdienen boven SMS-codes. Maar ook een imperfecte MFA is vele malen beter dan geen MFA.
Wachtwoordmanagers voor bedrijven: wat u moet weten
Een zakelijke wachtwoordmanager verschilt van een persoonlijke variant. U heeft centraal beheer nodig: inzicht in wie toegang heeft tot welke gedeelde wachtwoorden, de mogelijkheid om toegang direct in te trekken bij vertrek van een medewerker, en auditlogs voor compliance-doeleinden.
De markt biedt diverse volwassen oplossingen. Open-source platformen bieden maximale transparantie en soms de mogelijkheid tot zelf hosten. Commerciële oplossingen scoren vaak op gebruiksgemak en integratie met bestaande IT-omgevingen. Voor bedrijven die al werken met Microsoft 365 Business Premium is basisfunctionaliteit voor wachtwoordbeheer en toegangsbeveiliging ingebouwd via Entra ID.
Bij het kiezen van een wachtwoordmanager, let op deze criteria: ondersteuning voor gedeelde kluizen per team of afdeling, integratie met uw identity provider (zoals Microsoft Entra ID), MFA-bescherming op de kluis zelf, een duidelijk offboarding-proces, en rapportagemogelijkheden voor audits.
Een veelgehoord bezwaar is het risico van een “single point of failure”. De LastPass-inbraak van eind 2022 illustreert dat dit risico reëel is: aanvallers stalen versleutelde kluizen, en bij gebruikers met een zwak master-wachtwoord konden die kluizen worden gekraakt. De les: het master-wachtwoord van uw wachtwoordmanager moet een zeer lange wachtwoordzin zijn, en de toegang tot de manager zelf moet beveiligd zijn met phishing-resistente MFA. Een wachtwoordmanager is geen magische oplossing, maar een essentieel onderdeel van een bredere strategie.
Passkeys: de toekomst zonder wachtwoorden
Terwijl een sterk wachtwoordbeleid het heden beschermt, bouwt de industrie aan een toekomst waarin wachtwoorden niet meer nodig zijn. Passkeys, gebaseerd op de FIDO2/WebAuthn-standaard, vormen het meest veelbelovende alternatief.
Bij het aanmaken van een passkey genereert uw apparaat een cryptografisch sleutelpaar. De publieke sleutel gaat naar de server, de privésleutel blijft veilig op uw apparaat, beschermd door biometrie (vingerafdruk of gezichtsscan) of een pincode. Bij het inloggen bewijst u het bezit van de privésleutel. Omdat die sleutel nooit over het internet wordt verstuurd, is er niets om te phishen of te stelen via een server-side datalek.
Apple, Google en Microsoft ondersteunen passkeys inmiddels in hun ecosystemen. Voor bedrijven betekent dit dat medewerkers op hun Windows-laptop via Windows Hello of op hun smartphone via Face ID kunnen inloggen zonder ooit een wachtwoord in te typen. Volgens de FIDO Alliance zijn passkeys 20% sneller dan traditionele wachtwoorden, met een hoger slaagpercentage bij het inloggen.
We zitten in een overgangsperiode. Niet elke applicatie ondersteunt passkeys, en voor legacy-systemen blijven wachtwoorden nodig. Het advies: activeer passkeys waar mogelijk (begin bij Microsoft 365 en Google Workspace), maar onderhoud parallel een sterk wachtwoordbeleid voor alle overige systemen.
Wachtwoordbeleid als NIS2-vereiste
Voor bedrijven die onder de NIS2-wetgeving vallen, is een actueel wachtwoordbeleid geen vrijblijvende aanbeveling maar een wettelijke verplichting. Artikel 21 van de Belgische NIS2-wet vereist expliciet dat organisaties “cyberhygiënepraktijken” implementeren, en toegangsbeveiliging is een kernonderdeel van het CyberFundamentals framework.
Bij een conformiteitsbeoordeling toetst de auditor niet alleen of er een papieren beleid bestaat, maar ook of het technisch wordt afgedwongen. Concreet wordt onder meer het volgende verwacht: bewijs dat alle standaardwachtwoorden van hardware (firewalls, printers, routers) zijn gewijzigd, een beperkte lijst van beheerdersaccounts met MFA, logging van significante gebeurtenissen zoals mislukte inlogpogingen, en een aantoonbaar proces voor het intrekken van toegang bij vertrek van medewerkers. Wie zijn cybersecurity audit voorbereidt, doet er goed aan het wachtwoordbeleid als een van de eerste documenten te actualiseren.
Praktische checklist: uw wachtwoordbeleid in zes punten
Een modern wachtwoordbeleid hoeft niet ingewikkeld te zijn. Deze zes punten vormen de basis:
- Stel de minimale wachtwoordlengte in op 15 tekens en sta spaties toe.
- Schaf verplichte periodieke rotatie af. Dwing een wijziging alleen af bij een vermoeden van compromis.
- Maak MFA verplicht op alle externe toegang en alle beheerdersaccounts.
- Stel het gebruik van de door het bedrijf gekozen wachtwoordmanager verplicht voor alle zakelijke accounts.
- Verbied expliciet het hergebruik van zakelijke wachtwoorden voor privédoeleinden.
- Definieer een procedure voor onboarding (uniek tijdelijk wachtwoord, verplichte wijziging bij eerste login) en offboarding (toegang intrekken binnen enkele uren, gedeelde wachtwoorden in de manager roteren).
De investering in een zakelijke wachtwoordmanager en MFA-uitrol is beperkt en valt bovendien onder de VLAIO-subsidies voor cybersecurity. Kleine ondernemingen krijgen tot 45% terug via de KMO-portefeuille, en het VLAIO Verbetertraject vergoedt tot 50%.
Veelgestelde vragen over wachtwoordbeleid
Hoe lang moet een sterk wachtwoord zijn in 2026?
Volgens de NIST-standaard (SP 800-63B Rev.4) moeten wachtwoorden die als enige authenticatiefactor dienen minimaal 15 tekens lang zijn. Een wachtwoordzin van 20 of meer tekens met spaties is ideaal. In combinatie met MFA mag de minimale lengte lager zijn, maar langer blijft altijd beter.
Moet ik mijn medewerkers nog verplichten om regelmatig hun wachtwoord te wijzigen?
Nee. Zowel NIST als Microsoft raden verplichte periodieke rotatie af. Onderzoek toont dat dit leidt tot voorspelbare, zwakkere wachtwoorden. Verplicht een wijziging alleen wanneer er een vermoeden is van een datalek, een phishing-incident of een ander compromis.
Wat is het verschil tussen een passkey en een wachtwoord?
Een wachtwoord is een reeks tekens die u onthoudt en intypt. Een passkey is een cryptografisch sleutelpaar waarbij de privésleutel op uw apparaat blijft en u zich identificeert via biometrie of een pincode. Omdat de privésleutel nooit wordt verstuurd, is een passkey bestand tegen phishing en datalekken aan de serverkant.
Is een wachtwoordmanager niet een extra risico?
Een wachtwoordmanager centraliseert uw inloggegevens, wat een risico kan zijn als de manager zelf wordt gecompromitteerd. Dat risico beheert u door een zeer sterk master-wachtwoord te kiezen (een lange wachtwoordzin) en de toegang tot de manager te beveiligen met phishing-resistente MFA. Het alternatief, medewerkers die overal hetzelfde wachtwoord gebruiken, is een veel groter risico.
Verplicht NIS2 een specifiek wachtwoordbeleid?
NIS2 schrijft geen specifiek format voor, maar artikel 21 vereist “cyberhygiënepraktijken” en passende toegangsbeveiliging. Het CyberFundamentals framework van het CCB concretiseert dit met controls rond identiteitsverificatie, beheer van geprivilegieerde accounts en het wijzigen van standaardwachtwoorden. Een auditor verwacht zowel een beleidsdocument als technische bewijzen dat het beleid wordt afgedwongen.
Kan ik passkeys al gebruiken in mijn bedrijf?
Ja, gedeeltelijk. Microsoft 365, Google Workspace en een groeiend aantal SaaS-applicaties ondersteunen passkeys. Voor legacy-systemen en applicaties zonder passkey-ondersteuning blijven wachtwoorden nodig. Het advies is om passkeys te activeren waar mogelijk en parallel een sterk wachtwoordbeleid te handhaven.
Tijdens een cybersecurity audit controleert Cyberplan ook uw wachtwoordbeleid en toegangsbeheer. Van de configuratie van uw wachtwoordmanager tot de MFA-instellingen in uw Microsoft-omgeving: u krijgt een helder beeld van waar uw bedrijf staat en welke verbeteringen prioriteit verdienen. Ontdek wat een audit voor uw bedrijf betekent.
