Zware stalen kluisdeur op een kier met gloeiend amber sleutelgat in donkere gang, dramatische lage camerahoek.

Sterk wachtwoordbeleid: wat moet erin staan?

Een sterk wachtwoordbeleid bevat minimale lengte- en complexiteitsvereisten, regels voor wachtwoordbeheer, een duidelijke positie over multi-factor authenticatie en richtlijnen over hoe medewerkers worden ondersteund bij naleving. Het is de schriftelijke basis waarop je de toegangsbeveiliging van je organisatie bouwt. Hieronder beantwoorden we de meest gestelde vragen over wat er precies in moet staan.

Welke minimale eisen moet een wachtwoord voldoen?

Een wachtwoord moet minimaal 12 tekens lang zijn en bestaan uit een combinatie van hoofdletters, kleine letters, cijfers en speciale tekens. Hoe langer een wachtwoord, hoe moeilijker het te kraken is. Voor gevoelige systemen en beheerdersaccounts geldt een minimum van 16 tekens als goede richtlijn binnen een sterk wachtwoordbeleid.

Bij het opstellen van wachtwoordvereisten is het verstandig om verder te kijken dan alleen lengte en complexiteit. Hedendaagse richtlijnen, waaronder die van het NIST (het Amerikaanse instituut voor standaarden), raden aan om ook te controleren of een nieuw wachtwoord voorkomt in bekende lijsten van gecompromitteerde wachtwoorden. Veelgebruikte woorden, namen, datums en toetsenbordpatronen zoals “qwerty123” moeten expliciet worden verboden.

Concrete minimale wachtwoordvereisten voor een beleid zijn:

  • Minimaal 12 tekens (16 voor beheerdersaccounts)
  • Gebruik van minimaal drie van de vier tekensoorten: hoofdletters, kleine letters, cijfers en speciale tekens
  • Geen gebruik van de gebruikersnaam, bedrijfsnaam of voor de hand liggende variaties daarop
  • Geen hergebruik van de laatste vijf tot tien wachtwoorden
  • Geen gebruik van bekende gecompromitteerde wachtwoorden

Het is ook verstandig om in je cybersecuritybeleid op te nemen wat er gebeurt bij meerdere mislukte inlogpogingen. Een automatische vergrendeling na vijf tot tien pogingen vermindert het risico op brute-force aanvallen aanzienlijk.

Moet een wachtwoordbeleid ook multi-factor authenticatie verplichten?

Ja, een modern wachtwoordbeleid moet het gebruik van multi-factor authenticatie (MFA) verplicht stellen, in ieder geval voor alle externe toegang, beheerdersaccounts en systemen met gevoelige gegevens. Een wachtwoord alleen biedt onvoldoende bescherming tegen phishing, credential stuffing en andere aanvalstechnieken waarbij inloggegevens worden gestolen of geraden.

MFA voegt een tweede verificatiestap toe die losstaat van het wachtwoord, zoals een authenticator-app, een sms-code of een hardwaresleutel. Zelfs als een aanvaller het wachtwoord heeft bemachtigd, kan hij zonder die tweede factor niet inloggen. Dit maakt MFA een van de meest effectieve beveiligingsmaatregelen die je kunt nemen.

De NIS2-richtlijn, die via de Cyberbeveiligingswet in Nederland wordt omgezet, benoemt het gebruik van multi-factor authenticatie of continue authenticatie expliciet als minimummaatregel voor organisaties die onder de wet vallen. Dit maakt het voor veel organisaties niet alleen een best practice, maar een wettelijke verplichting.

In je wachtwoordbeleid leg je vast:

  • Voor welke systemen en accounts MFA verplicht is
  • Welke MFA-methoden zijn toegestaan (bij voorkeur een authenticator-app boven sms)
  • Hoe wordt omgegaan met verlies van het MFA-apparaat
  • Wie verantwoordelijk is voor het beheer van MFA-toegang

Hoe vaak moeten wachtwoorden worden vernieuwd?

Wachtwoorden hoeven niet meer op vaste intervallen te worden vernieuwd, tenzij er aanwijzingen zijn dat een account is gecompromitteerd. Dit is een verschuiving ten opzichte van het oudere advies om wachtwoorden elke 30, 60 of 90 dagen te wijzigen. Gedwongen periodieke vernieuwing leidt in de praktijk tot zwakkere wachtwoorden, omdat medewerkers gaan werken met kleine variaties op hun vorige wachtwoord.

De huidige aanpak is risicogebaseerd: verander een wachtwoord direct wanneer er een vermoeden is van een datalek, wanneer een medewerker de organisatie verlaat, of wanneer een systeem is gecompromitteerd. Combineer dit met MFA en een wachtwoordmanager, dan is de noodzaak voor verplichte periodieke vernieuwing grotendeels vervallen.

In je wachtwoordbeleid neem je op onder welke omstandigheden een wachtwoord direct moet worden gewijzigd:

  • Na een (vermoedelijk) beveiligingsincident
  • Bij het verlaten van de organisatie door een medewerker
  • Na gebruik op een onvertrouwd apparaat of netwerk
  • Wanneer een account is opgenomen in een bekende datalekkendatabase

Wat moet er in een wachtwoordbeleid staan over wachtwoordbeheer?

Een wachtwoordbeleid moet duidelijk regelen hoe medewerkers hun wachtwoorden opslaan en beheren. Het gebruik van een goedgekeurde wachtwoordmanager moet verplicht worden gesteld. Wachtwoorden opschrijven op papier, opslaan in een onbeveiligd tekstbestand of delen via e-mail of chat is expliciet verboden.

Een wachtwoordmanager lost een fundamenteel probleem op: mensen kunnen onmogelijk tientallen unieke, complexe wachtwoorden onthouden. Zonder hulpmiddel gaan ze wachtwoorden hergebruiken, wat een groot risico vormt. Als één dienst wordt gehackt en het wachtwoord komt op straat te liggen, zijn alle andere accounts met hetzelfde wachtwoord direct kwetsbaar.

In het beleid leg je vast:

  • Welke wachtwoordmanager(s) zijn goedgekeurd voor gebruik binnen de organisatie
  • Dat wachtwoorden nooit mogen worden gedeeld, ook niet met collega’s of IT-beheerders
  • Hoe gedeelde accounts worden beheerd (bij voorkeur via een team-vault in de wachtwoordmanager)
  • Wat de procedure is als een medewerker vermoedt dat zijn wachtwoord is uitgelekt
  • Hoe tijdelijke wachtwoorden worden uitgegeven en hoe snel deze moeten worden gewijzigd na eerste gebruik

Gedeelde accounts vormen een apart aandachtspunt. Wanneer meerdere mensen inloggen met dezelfde inloggegevens, is het onmogelijk om achteraf te achterhalen wie welke handeling heeft uitgevoerd. Streef ernaar gedeelde accounts te elimineren; als dat niet mogelijk is, leg dan vast hoe de toegang wordt beheerd en gelogd.

Hoe zorg je dat medewerkers het wachtwoordbeleid ook naleven?

Naleving van een wachtwoordbeleid bereik je door een combinatie van technische afdwinging, heldere communicatie en bewustzijnstraining. Beleid dat alleen op papier bestaat maar niet technisch wordt afgedwongen, wordt in de praktijk zelden consequent gevolgd. Zorg er dus voor dat de systemen zelf de wachtwoordvereisten controleren en MFA verplichten.

Technische maatregelen die naleving ondersteunen:

  • Wachtwoordcomplexiteit afdwingen via het identity managementsysteem of Active Directory
  • MFA verplichten op systeemniveau, zodat inloggen zonder tweede factor onmogelijk is
  • Automatische vergrendeling van accounts na herhaalde mislukte inlogpogingen
  • Integratie van een goedgekeurde wachtwoordmanager in de werkplek van medewerkers

Naast technische maatregelen is bewustzijn onmisbaar. Medewerkers die begrijpen waarom een sterk wachtwoordbeleid belangrijk is, zijn eerder geneigd het te volgen. Leg in trainingen uit wat de gevolgen zijn van een gecompromitteerd account, wat phishing is en hoe aanvallers gestolen wachtwoorden inzetten. Een phishingsimulatie kan hierbij een krachtig hulpmiddel zijn: het maakt abstract gevaar concreet en toont medewerkers hoe eenvoudig het is om in een nep-e-mail te trappen.

Zorg tot slot dat het beleid vindbaar, begrijpelijk en actueel is. Een wachtwoordbeleid dat in juridisch jargon is geschreven en ergens diep in een intranet staat, bereikt niemand. Communiceer bij iedere update wat er verandert en waarom, en maak het voor medewerkers zo eenvoudig mogelijk om het goede gedrag te vertonen.

Hoe Q-Cyber helpt met een sterk wachtwoordbeleid

Wij helpen organisaties bij het opstellen, toetsen en implementeren van een wachtwoordbeleid dat aansluit op de werkelijkheid van de organisatie en voldoet aan relevante wet- en regelgeving, waaronder de NIS2-vereisten voor toegangsbeveiliging en multi-factor authenticatie. Onze aanpak is pragmatisch: geen standaard sjablonen, maar beleid dat werkt in jouw specifieke context.

Wat we concreet voor je kunnen doen:

  • Beleid opstellen: We schrijven een helder, praktisch wachtwoordbeleid dat aansluit bij je organisatie en voldoet aan actuele beveiligingsstandaarden
  • Gap-analyse: We brengen in kaart waar je huidige beleid of technische inrichting tekortschiet ten opzichte van de NIS2-vereisten voor toegangsbeveiliging
  • Bewustzijnstraining: We verzorgen trainingen voor medewerkers en bestuurders zodat het beleid ook in de praktijk wordt nageleefd
  • Phishing- en beveiligingstests: We testen hoe medewerkers reageren op social engineering en welke technische kwetsbaarheden er zijn in de huidige toegangsbeveiliging
  • Virtuele CISO: Via Continuous-Q bieden we doorlopend advies en begeleiding, zodat je cybersecuritybeleid actueel blijft

We werken volledig onafhankelijk, zonder binding aan softwarepartijen of leveranciers, zodat ons advies altijd in jouw belang is. Wil je weten hoe jouw wachtwoordbeleid er nu voor staat of hoe je het kunt versterken? Neem contact met ons op en we kijken samen wat er nodig is.