BLOG – Cybercriminelen hoeven tegenwoordig nauwelijks nog ergens ‘in te breken’. In plaats daarvan loggen ze simpelweg in met gestolen gegevens. Hoewel het vandaag World Password Day is, is dat de huidige, harde realiteit van digitale beveiliging – met het traditionele wachtwoord steeds vaker als de zwakste schakel.
Uit het ‘Verizon 2025 Data Breach Investigations Report’ blijkt dat gestolen inloggegevens verantwoordelijk waren voor 22 procent van alle bevestigde datalekken (bij aanvallen op webapplicaties liep dat zelfs op tot 88 procent). Tegelijkertijd meldde IBM X-Force een stijging van 84 procent in infostealer-malware via phishingmails. Zulke malware steelt ongemerkt opgeslagen wachtwoorden uit browsers terwijl gebruikers gewoon doorwerken.
Daar komt nog een bekend probleem bij: wachtwoordhergebruik. Volgens Verizon was bij de gemiddelde gebruiker slechts de helft van alle wachtwoorden uniek. Met andere woorden: één buitgemaakt wachtwoord opent vaak meerdere deuren. Ondanks jarenlange waarschuwingen blijven we zwakke of hergebruikte wachtwoorden gebruiken.
Initial access brokers
Rond die praktijk is inmiddels een complete criminele economie ontstaan. Onderzoeksbureau Kela telde in 2025 maar liefst 3,9 miljard gestolen inloggegevens afkomstig van 4,3 miljoen geïnfecteerde apparaten. Die gegevens worden verkocht aan zogeheten initial access brokers, die vervolgens netwerktoegang doorverkopen aan ransomwaregroepen. Volgens Mandiant waren gestolen credentials betrokken bij 16 procent van alle onderzochte incidenten en bij 21 procent van de ransomwarezaken. De stap van gestolen wachtwoord naar gijzelsoftware duurt inmiddels dagen in plaats van maanden.
Multi-factorauthenticatie helpt, maar biedt geen absolute bescherming. Aanvallers gebruiken methodes zoals prompt bombing en phishingkits die tokens realtime onderscheppen. Multi-factorauthenticatie is daarmee niet langer voldoende op zichzelf; phishing-resistente varianten zijn noodzakelijk.
Passkeys als alternatief
Tegelijkertijd gloort er een alternatief: passkeys. Deze technologie vervangt wachtwoorden door cryptografische sleutels die gekoppeld zijn aan een apparaat of biometrische verificatie. Volgens de FIDO Alliance beschikt inmiddels 69 procent van de consumenten over minstens één passkey. Het inlogslaagpercentage ligt op 93 procent, tegenover 63 procent bij traditionele wachtwoorden. Ook organisaties bewegen mee: 87 procent is bezig met implementatie of heeft passkeys al ingevoerd.
Toch is een volledige overstap niet eenvoudig. Veel bedrijven draaien nog op legacy-systemen, on-premises Active Directory, gedeelde werkplekken of verouderde hardware zonder TPM-chip of biometrie. Ook account recovery en beheer op grote schaal zijn nog niet overal goed geregeld. Voor veel organisaties betekent dit een langdurige hybride fase waarin wachtwoorden en passkeys naast elkaar bestaan.
De richting is echter duidelijk. In plaats van betere wachtwoorden na te jagen, zouden organisaties moeten streven naar minder wachtwoorden. Zet medewerkers op een wachtwoordmanager, voer phishing-resistente multi-factorauthenticatie in en begin met passkeys waar dat al mogelijk is. Wachtwoorden waren ooit een noodzakelijk kwaad. Nu zijn ze vooral nog kwaad. Happy World Password Day!
Rich Greene, certified instructor Sans Institute
