De meeste incidenten beginnen nog steeds bij iets wat iedereen kent en waarvan iedereen weet dat het mis kan gaan: accounts en wachtwoorden. Het is de basishygiëne die al jaren onderwerp is van rapporten en die in werkelijkheid nauwelijks verbetert.

Securityspecialisten weten dit natuurlijk als geen ander. Maar zelfs binnen security teams is het beheer van accounts en wachtwoorden vaak minder op orde dan we hardop durven toe te geven. Niet omdat professionals zich niet bewust zijn van de risico’s, maar omdat de hoeveelheid digitale identiteiten niet meer te overzien is en het onderhoud ervan volledig bij individuen is komen te liggen. 

In dit artikel leg ik uit waarom de echte oplossing ligt in het wegnemen van de menselijke factor. Wachtwoorden moeten verdwijnen in de techniek, in systemen die automatisch sterke, unieke toegang regelen zonder dat gebruikers er een seconde bij stil hoeven te  staan: daar ligt de weg naar duurzame digitale veiligheid.

Probleem 1: De hoeveelheid digitale identiteiten is niet meer te overzien

Wie zijn eigen digitale ‘leven’ in kaart probeert te brengen, wordt al snel overdonderd door de grote hoeveelheid accounts die hij of zij in de jaren heeft opgebouwd. Zelf heb ik bijvoorbeeld 402 accounts in mijn wachtwoordmanager staan. De gemiddelde professional heeft tientallen tot honderden accounts, verspreid over werk, privé, oude hobby’s, vergeten diensten en tools die ooit één keer nodig waren. Dat aantal blijft doorgroeien, zonder dat er ooit een moment van opschoning tegenover staat.

Het grote aantal accounts zorgt voor een fundamenteel overzichtsprobleem. De meeste mensen weten niet eens meer waar ze allemaal een account hebben, laat staan welke wachtwoorden of toegangsrechten bij welke dienst horen. Zelfs organisaties hebben moeite om dit voor hun medewerkers in kaart te brengen, zeker wanneer schaduw-IT, tijdelijke tools of proefabonnementen zich opstapelen.

Daarnaast staat niet elk account op zichzelf. Het bevat persoonsgegevens, voorkeuren, soms zelfs financiële gegevens of toegang tot andere systemen. Hoe meer identiteiten we creëren, hoe meer data we verspreiden, en hoe groter de schade als één account wordt gecompromitteerd.

De voortdurende druk om nieuwe accounts aan te maken en wachtwoorden te beheren leidt bovendien tot ‘security fatigue’. Mensen haken af, kiezen gemak boven veiligheid en hergebruiken wachtwoorden of slaan ze onveilig op.

Hoe lang is deze situatie dus houdbaar? We kunnen iedereen blijven vragen hun wachtwoorden uniek, sterk en up-to-date te houden, maar hoe meer accounts we aanmaken, hoe minder realistisch dat wordt. Dat geldt voor collega’s die weten wat de risico’s zijn, en al helemaal voor eindgebruikers die weinig affiniteit hebben met beveiliging.

Probleem 2: Wachtwoordalternatieven lossen het probleem niet op

De problemen met wachtwoorden zijn niet nieuw, en dus zijn er inmiddels al talloze alternatieven bedacht: denk aan SSO, passkeys, biometrisch inloggen, magic links, YubiKeys en allerlei varianten van MFA. Elk van deze oplossingen is ontworpen om de menselijke zwakte rond wachtwoordgebruik te omzeilen. Maar ze hebben één ding gemeen: ze werken lang niet overal.

Het gevolg is een versnipperd landschap waarin gebruikers moeten weten welke methode bij welke toepassing hoort. Terwijl deze oplossingen inloggen veiliger zouden moeten maken, wordt het voor de gebruiker vooral complexer en daarmee onveiliger. Voor IT-professionals is dat misschien nog te overzien, maar voor de gemiddelde medewerker is het vooral verwarrend en foutgevoelig.

Omdat geen enkel alternatief universeel werkt zoals wachtwoorden, blijft er voortdurend ruimte ontstaan voor weer een nieuwe oplossing. Maar adoptie gaat langzaam: de digitale wereld bestaat uit miljoenen applicaties, websites en apparaten die allemaal andere eisen en mogelijkheden hebben. Daardoor wordt elke nieuwe methode uiteindelijk óók slechts een extra optie die naast alle bestaande varianten komt te staan, zonder dat er een echte standaard ontstaat.

Kijk bijvoorbeeld naar passkeys: op dit moment zitten er in Nederland 275.000 websites in de database van MindYourPass. Dat betekent dat daarop ingelogd kan worden met wachtwoorden. Op passkeys.com staat nu (januari 2026) een lijst van 174 websites die passkeys ondersteunen: wereldwijd. Waarschijnlijk is dat een onderschatting, en is de werkelijke lijst langer, maar zelfs met factor 10 hebben we het nog steeds over een fractie van alle websites. 

Kortom, als we helemaal van wachtwoorden af willen, vergt dat net zo'n inspanning als wanneer we alle huizen in Nederland van het gas af zouden willen halen. 

Probleem 3: Websites ondersteunen wachtwoordmanagers niet overal goed

Ook aan de kant van websites zit een probleem: er bestaat geen duidelijke standaard voor hoe inlogpagina’s technisch zijn opgebouwd. Elk formulier ziet er anders uit: denk aan andere veldnamen, afwijkende HTML-structuren, extra scripts of onduidelijke volgordes. 

Dat maakt het niet alleen verwarrend voor gebruikers om te herkennen waar en hoe ze moeten inloggen, maar bemoeilijkt vooral het werk van wachtwoordmanagers: die kunnen daardoor niet altijd betrouwbaar vaststellen waar gebruikersnaam en wachtwoord automatisch ingevuld moeten worden en maken hierbij fouten of werken niet. En juist een wachtwoordmanager is essentieel om inloggen makkelijk én veilig te maken. Op desktop applicaties werken wachtwoordmanagers überhaupt niet.

Daarnaast verschillen ook de regels voor wachtwoorden per website. De ene site vereist speciale tekens, de andere verbiedt ze juist. Sommige platforms staan geen herhaalde tekens toe, terwijl daar cryptografisch niets mis mee is en wachtwoordgenerators dit standaard doen. Het gevolg: automatisch gegenereerde, sterke wachtwoorden worden lang niet altijd geaccepteerd. Dit bemoeilijkt  het probleemloos gebruik van een wachtwoordmanager aanzienlijk  en dwingt mensen  alsnog zelf te moeten improviseren met kwetsbare wachtwoorden als gevolg.

Zolang die standaardisatie van inlogpagina's ontbreekt, is de correcte werking van wachtwoordmanagers onmogelijk. Dit is frustrerend voor gebruikers die hierdoor gedwongen worden af te wijken van veilige patronen. Dat ondermijnt precies het doel van de wachtwoordmanager die bedoeld is om menselijke fouten te voorkomen, en legt de verantwoordelijkheid opnieuw bij de gebruiker, waar die eigenlijk niet hoort te liggen.

De conclusie: Wachtwoorden zelf zijn niet het probleem

Is het eigenlijk een probleem dat we nog altijd met wachtwoorden werken? Op zichzelf niet. De techniek is simpel en robuust en werkt overal. Als ze uniek, complex en lang zijn, dan zijn wachtwoorden voor de meeste toepassingen veilig genoeg. Hierin zit de uitdaging want mensen zijn slecht in het verzinnen én onthouden van zulke wachtwoorden.

Het probleem zit dus niet in het concept van het wachtwoord, maar in de schaal waarop we het moeten toepassen en dat we er als mensen over na moeten denken. De vele wachtwoordalternatieven hebben een gefragmenteerd digitaal landschap opgeleverd dat het veilig werken onnodig complex maakt. Dat is geen houdbare situatie, en daar moeten we als cybersecurity vakgebied eerlijk over zijn.

De pijnlijke conclusie is dat veel van de risico’s in stand worden gehouden door de manier waarop wij het systeem hebben ingericht. We weten al jaren dat wachtwoorden kwetsbaar zijn. We weten dat gebruikers moeite hebben met digitale hygiëne. En we weten dat trainingen, voorlichting en nieuwe technieken nauwelijks structurele gedragsverandering opleveren. Toch blijven we ervan uitgaan dat mensen zich aanpassen aan de techniek, terwijl de techniek te weinig rekening houdt met hoe mensen werkelijk werken.

De oplossing: Back to the basics, met behulp van technologie

De werkelijkheid dwingt ons tot een koerswijziging. Niet door nóg meer alternatieven voor wachtwoorden te verzinnen, maar door te accepteren dat wachtwoorden voorlopig blijven bestaan en het gebruik ervan fundamenteel te verbeteren. De enige werkelijk haalbare oplossing is een systeem waarin mensen zelf niet meer hoeven na te denken over hun wachtwoorden.

‍

De toekomst van veilig inloggen ligt niet in nóg een nieuwe oplossing, maar in het vereenvoudigen van wat er al is. 

‍

Daarom moet de techniek het werk overnemen want wachtwoorden zijn geen mensenwerk. Een wachtwoordmanager kan dat veel beter, maar die moet wel foutloos kunnen werken. Daarom moeten inlogpagina's meer worden gestandaardiseerd zodat wachtwoordmanagers zich er niet in verslikken.

Wanneer wachtwoordmanagers moeiteloos werken, wordt inloggen veilig én makkelijk: niet omdat mensen perfect handelen, maar omdat de techniek haar werk doet. De toekomst van veilig inloggen ligt daarom niet in nóg een nieuwe oplossing, maar in het vereenvoudigen van wat er al is. Dat betekent: techniek die automatisch sterke wachtwoorden genereert en beheert, en een digitale infrastructuur die dit overal betrouwbaar ondersteunt.

‍