Belgische werknemers kiezen vaak voor een wachtwoord dat ze eenvoudig kunnen onthouden, maar dat eenvoudig te kraken is voor hackers.
Is het wachtwoord van je bedrijfsaccount sterk genoeg? Uit een onderzoek door Spotit bij meer dan 67.000 Belgische werknemers blijkt dat 58 procent van de bedrijfswachtwoorden binnen het uur te kraken zijn. Vooral voorspelbare patronen zoals de bedrijfsnaam in combinatie met een jaartal blijven populair.
lees ook
Made in Belgium: kwaliteitslabel voor beveiliging?
Veelgebruikte wachtwoorden zijn voorspelbaar
Het ethisch hackingteam van Spotit, een Belgisch cybersecuritybedrijf, onderzocht de sterkte van de wachtwoorden van 67.557 medewerkers bij kleine, middelgrote en grote Belgische bedrijven. Daaruit blijkt dat 6 op de 10 wachtwoorden (39.346 in totaal) via zogenaamde ‘password cracking’-technieken in minder dan een uur te achterhalen zijn.
Veelgebruikte wachtwoorden zoals Welkom2025, Bedrijfsnaam2025 of Zomer2025! bevatten voorspelbare patronen. Die maken het voor hackers eenvoudig om combinaties automatisch te testen. “We zien dat werknemers vaak kiezen voor korte, makkelijk te onthouden wachtwoorden, wat het risico op een succesvolle aanval aanzienlijk verhoogt,” zegt Keanu Nys, Offensive Security Lead bij Spotit.
Vooral bij multinationals blijken wachtwoorden zwakker te zijn dan bij kmo’s. In 60 procent van de gevallen slaagde Spotit erin om bij grote bedrijven een wachtwoord te kraken. Bij kleinere organisaties lag dat op 40 procent. Een mogelijke verklaring is het aantal verouderde accounts dat nog actief is. Wanneer accounts van ex-werknemers niet tijdig worden verwijderd, ontstaan er extra risico’s.
Dit zijn de populairste, en eenvoudig te kraken, wachtwoorden voor bedrijfsaccounts die Spotit tegenkwam:
| Onboarding wachtwoorden | Variaties op bedrijfsnamen | Seizoensgebonden wachtwoorden |
| Welkom2025 | Companyname2025 | Winter2025 |
| Welkom2025! | CompanyName2025! | Zomer2025! |
| Welcome@CompanyName! | C0mp4nyN4m3! | Herfst2025! |
Minstens veertien tekens
Spotit raadt bedrijven aan om het gebruik van langere wachtwoorden technisch af te dwingen bij hun werknemers. Een veilig bedrijfswachtwoord dient uit minstens veertien tekens te bestaan. Daarnaast is het belangrijk om voorspelbare patronen zoals bedrijfsnamen en jaartallen te vermijden, zeker bij verplichte wachtwoordwijzigingen. Volg ook onze tips voor het perfecte wachtwoord.
Andere aanbevelingen zijn het verplicht invoeren van multifactorauthenticatie (MFA), het blokkeren van veelgebruikte wachtwoorden via een bloklijst, en het gebruik van passkeys: het systeem dat ontworpen is om wachtwoorden te vervangen. Tot slot blijft het opleiden en sensibiliseren van medewerkers cruciaal. Regelmatige tests en trainingen helpen om de bewustwording rond cyberrisico’s te verhogen.
Met de opkomst van strengere regelgeving zoals de NIS2-richtlijn groeit het belang van een degelijk wachtwoordbeleid. Toch blijkt uit de praktijk dat technische maatregelen alleen niet volstaan zolang gebruikers het zwakke punt in de keten blijven.