6 op de 10 bedrijfswachtwoorden zijn binnen het uur te kraken
Belgische werknemers kiezen vaak voor veel te makkelijke en korte paswoorden
6 op de 10 Belgische werknemers (58%) hebben een paswoord dat cybercriminelen in een vingerknip kunnen hacken. Dat blijkt uit een onderzoek van spotit Offensive, het team van hackingexperten van cybersecurity – en netwerkingbedrijf spotit. Zij voerden dit paswoordsterkte-onderzoek uit bij 67.557 medewerkers van verschillende kleine en middelgrote bedrijven en multinationals. Vooral erg korte wachtwoorden, waarbij de bedrijfsnaam met een jaartal gecombineerd wordt, zijn erg populair. “Mensen gebruiken een wachtwoord dat erg gemakkelijk te onthouden is, maar dat houdt heel wat risico’s in”, zegt Keanu Nys, Offensive Security Lead bij spotit.
Oktober is cybersecurity awareness month. Heel wat Belgische bedrijven trainden hun werknemers via platformen zoals ‘Phished’ om hen zo bewuster te leren omgaan met ‘vuile’ phishing links. IT-afdelingen gaven dan weer volop de boodschap om je drie maanden oude paswoord te veranderen, zodat het voor hackers minder makkelijk is om de code te kraken.
Welkom2025 of Bedrijf2025
Spotit Offensive, de business unit van netwerking – en cybersecuritybedrijf spotit dat de online omgeving met toestemming van klanten test en hackt (pentesting), onderzocht daarom de wachtwoordsterkte van 67.557 medewerkers van verschillende kleine en grote Belgische bedrijven. Hun conclusie? Voor een iets of wat geoefend hacker is het een fluitje van een cent om die paswoorden te kraken. Bij liefst 39.346 medewerkers, of 58%, konden de ethische hackers van spotit Offensive binnen het uur het wachtwoord ontcijferen via ”password cracking”. Dat is een techniek waarbij de hacker woorden en cijfers combineert, totdat een patroon kenbaar wordt.
Top 3 meest gekozen wachtwoorden
Onboarding wachtwoorden | Variaties op bedrijfsnamen | Seizoensgebonden wachtwoorden |
Welkom2025 | Companyname2025 | Winter2025 |
Welkom2025! | CompanyName2025! | Zomer2025! |
Welcome@CompanyName! | C0mp4nyN4m3! | Herfst2025! |
“Mensen gebruiken vaak voorspelbare patronen – zeker in een werkcontext – waardoor het voor aanvallers erg gemakkelijk is om een paswoord te raden. De combinatie van de naam van het bedrijf en een jaartal of seizoensgebonden combinaties worden dan ook veelvuldig gebruikt. Dat laatste zien we vooral wanneer wachtwoorden om de drie maanden verplicht moeten worden aangepast. We raden het ook af om een korte vervaldatum in te stellen voor wachtwoorden. Kies eerder voor een sterk en lang wachtwoord dat veel langer goed is, om te voorkomen dat gebruikers terugvallen op een simpele variant die ze makkelijk kunnen onthouden.” – Keanu Nys, Offensive Security Lead spotit
Inactieve accounts vergeten deactiveren
Het onderzoek van spotit Offensive toont voorts aan dat een paswoord kraken vlotter verloopt bij multinationals in vergelijk tot de kleine en middelgrote bedrijven. In 60% van de gevallen konden de ethische hackers het wachtwoord ontcijferen, terwijl dat bij bedrijven tot maximum 1.500 medewerkers slechts in 40% van de accounts lukte tijdens deze steekproef.
“Dankzij de Europese richtlijn NIS2 zijn zeker grote bedrijven effectief meer bezig met cybersecurity en zijn ze op dat vlak heel wat matuurder geworden. Maar we zien in onze pentesten dat de wachtwoorden van hun medewerkers nog steeds vlot te kraken zijn. Een van de oorzaken ligt bij niet-verwijderde gebruikersaccounts van werknemers die al jaren weg zijn. Dat zijn net geen uitgepakte cadeaus voor hackers, omdat het profielen zijn die door de IT-dienst mogelijks uit het oog zijn verloren. Daarnaast is het voor grote bedrijven ook niet evident om iedere werknemer mee te krijgen in je verhaal van bewustwording. Als bedrijf mag je dan wel het belang van veilige paswoorden inzien, het is uiteindelijk de gebruiker die de zwakste schakel is.” – Keanu Nys, Offensive Security Lead spotit
Beter voorkomen dan genezen
Hoe kan je dan vermijden dat hackers je wachtwoord ontcijferen? Met de volgende zes tips van Keanu Nys van spotit kom je als bedrijf al ver:
- Dwing als bedrijf een langer wachtwoord van minstens 14 karakters af van je medewerkers door technische restricties toe te passen. Hoe langer je paswoord, hoe moeilijker het te kraken is voor specifieke technieken. (zie foto hieronder)
- Vermijd een wachtwoord waarbij er een link is tussen de naam van het bedrijf, het seizoen en het jaartal. Deze wachtwoorden zijn heel eenvoudig om te kraken door automatisch variaties op deze woorden te gaan genereren.
- Maak multifactorauthenticatie (MFA) verplicht voor alle users van een bedrijf. Maak hier geen uitzonderingen op. Dit is niet 100% waterdicht, maar het biedt wel extra bescherming tegen wachtwoord gerelateerde aanvallen.
- Voeg, indien technisch mogelijk, passkeys toe aan accounts van werknemers. Dan heb je geen wachtwoord meer nodig, maar volstaat een fysieke biometrische sleutel (zoals je gsm) om in te loggen.
- Voeg veelvoorkomende woorden (zoals seizoenen, bedrijfsnaam, oude onboarding wachtwoorden) toe aan een bloklijst. Voor Microsoft accounts kan dit worden afgedwongen voor de gebruikers in je omgeving: https://learn.microsoft.com/en-us/entra/identity/authentication/concept-password-ban-bad
- Maak je medewerkers bewust van het belang van een sterk wachtwoord en van de gevaren van het internet. Voer geregeld tests uit en blijf je medewerkers trainen.
Perscontact:
Keanu Nys
Stijn Vandebuerie
Jürgen Eeckhout