Op kantoor kiezen Belgische werknemers vaak een makkelijk of kort wachtwoord. Zo’n zes op de tien gebruiken hebben er een die binnen het uur te kraken valt.
Zo’n zes op de tien Belgische werknemers (58%) gebruiken een ontoereikend wachtwoord op kantoor. Dat moet blijken uit een onderzoek van spotit Offensive, het team van hackingexperten van cybersecurity – en netwerkingbedrijf spotit.
Spotit voerde zijn onderzoek uit bij 67.557 medewerkers van verschillende kleine en middelgrote bedrijven en multinationals. Vooral erg korte wachtwoorden, waarbij de bedrijfsnaam met een jaartal gecombineerd wordt, zijn erg populair. ‘Mensen gebruiken een wachtwoord dat erg gemakkelijk te onthouden is, maar dat houdt heel wat risico’s in’, zegt Keanu Nys, Offensive Security lead bij spotit.
Spotit Offensive is de ‘pentesting’ unit van de beveiliger, die de security van klanten (met toestemming) test. Tijdens hun onderzoek konden de beveiligers bij liefst 39.346 medewerkers, of 58%, binnen het uur het wachtwoord ontcijferen via ‘password cracking’. Met die techniek gaan al dan niet ethische hackers woorden en cijfers combineren tot er een patroon kenbaar wordt.
Seizoenen en welkomstwoorden
Na jaren van trainingen over wachtwoordbeveiliging, en de invoering van regels rond het gebruik van speciale tekens, zijn we deels af van ‘wachtwoord123’, maar er komen toch enkele interessante patronen in de studie naar voren. Zo merkt spotit veel zogeheten ‘onboarding’ wachtwoorden op in zijn meest gekozen wachtwoorden. Dat zijn paswoorden als ‘Welkom2025’ of een variatie daarop, die vervolgens niet meer door de nieuwe werknemers worden aangepast. Ook variaties op de bedrijfsnaam, zoals ‘CompanyName2025!’ of ’C0mp4nyN4m3!’ komen vaak voor. Tot slot ziet spotit ook veel seizoensgebonden wachtwoorden, vooral dan bij de bedrijven waar men om de drie maanden een nieuw wachtwoord moet verzinnen. Denk dan aan ‘Winter2025’ of ‘Herfst2025!’. Dat voldoet aan alle regels, maar is wel nog altijd snel te raden.
‘Mensen gebruiken vaak voorspelbare patronen – zeker in een werkcontext – waardoor het voor aanvallers erg gemakkelijk is om een paswoord te raden,’ zegt Nys daarover. ‘We raden het ook af om een korte vervaldatum in te stellen voor wachtwoorden. Kies eerder voor een sterk en lang wachtwoord dat veel langer goed is, om te voorkomen dat gebruikers terugvallen op een simpele variant die ze makkelijk kunnen onthouden.’
Spotit raadt daarnaast nog aan om meerstapsverificatie (MFA) verplicht te maken voor alle gebruikers binnen een bedrijf en waar mogelijk passkeys in te zetten voor de accounts van werknemers. Dat betekent dat ze inloggen met een biometrische sleutel (zoals een vingerafdruk op een gsm) in plaats van met een wachtwoord. Tot slot is het voor IT-departementen een goed idee om veelgebruikte woorden, zoals de bedrijfsnaam, seizoensnamen en oude onboarding-wachtwoorden, toe te voegen aan de bloklijst voor het opstellen van een nieuw wachtwoord.