Veel cyberincidenten ontstaan door het gebruik van zwakke wachtwoorden. Zo bracht Welkom2020 de gemeente Hof van Twente in ernstige problemen. Het is dan ook bedroevend om de door beveiligingsbedrijf Nordpass samengestelde Top 200 van wereldwijd gebruikte wachtwoorden te aanschouwen.
De vijftig populairste wachtwoorden zijn binnen een seconde te achterhalen door hackers. Bij de beste uit de lijst, duurt het maximaal 3 minuten. Tot voor kort was 123456 het meest gebruikte wachtwoord. Het effect daarvan is te vergelijken met het afsluiten van de voordeur met een elastiekje. In het laatste onderzoek van Nordpass kwam Password als populairst naar voren. Men kan dat de gebruikers kwalijk nemen, maar ook de organisaties valt te verwijten dat er geen technologie wordt gebruikt die dwingt tot het bedenken van een moeilijk wachtwoord. Dat hoeft trouwens niet moeilijk te onthouden te zijn. Vooral de lengte van een wachtwoord bepaalt de sterkte. Men kan bijvoorbeeld een zin van zo’n 30 tekens gebruiken.

Top 200
123456 heeft in de Top 200 wel de tweede plaats weten te behouden. 123456789 komt op 3. Hoewel dit vanwege de lengte al iets beter is, duurt het hacken via robots nog altijd slechts een fractie van een seconde. Eenmaal binnen op het netwerk is het een koud kunstje om bijvoorbeeld ransomware te installeren en persoonsgegevens te stelen om daarmee de organisatie te chanteren. Op 4 en 5 komen guest en qwerty. Ook dat zijn toonbeelden van luiheid en onverschilligheid. Dit komt niet alleen bij computergebruikers voor. Ook installateurs van bewakingscamera’s en bijbehorende apparatuur nemen niet altijd de moeite om een goed wachtwoord te kiezen, als de systemen dat niet afdwingen.

Riskante luiheid
Sommige mensen zijn nog iets creatiever en gebruiken bijvoorbeeld wachtwoord123. Ook dat beschermt niet tegen cybercrime. Wie een Amerikaans account probeert te hacken, maakt veel kans met ‘fuckyou’. Verder zijn opeenvolgende toetsen populair, zoals qwerty en asdfg. Anderen denken dat hun naam niet geraden zal worden door hackers. Organisaties kunnen zich op verschillende manieren beveiligen tegen deze riskante luiheid. Genoemd was al de mogelijkheid om lange of complexe wachtwoorden af te dwingen. Beter nog is invoering van 2-staps verificatie. De gebruiker ontvangt dan een inlogcode op de telefoon. Deze code is maar één keer en binnen een bepaalde tijd te gebruiken. Bij webwinkels en dergelijke wordt deze methode helaas vaak niet gebruikt. Daarbij luidt het advies om nooit hetzelfde wachtwoord voor meerdere accounts te gebruiken. Tot slot kan gebruik gemaakt worden van een password manager. Dat is een soort online kluis, waarin wachtwoorden worden opgeslagen, zodat maar één wachtwoord onthouden hoeft te worden.