Veilig wachtwoord maken: hoe sterk is sterk genoeg? (2026)
Een sterk wachtwoord is je eerste verdediging tegen inbraak op je accounts. Maar wat maakt een wachtwoord nu écht sterk? Niet de hoofdletters en uitroeptekens die websites je opdringen, maar de lengte en willekeur. In deze gids leer je wat wachtwoordsterkte betekent in bits entropie, waarom een lange wachtwoordzin slimmer is dan 'P@ssw0rd!', en hoe je in vier stappen een wachtwoord maakt dat tientallen jaren standhoudt — onderbouwd met het advies van het NCSC en NIST.
Waarom wachtwoordsterkte telt
Elk jaar lekken miljarden inloggegevens via datalekken bij websites en diensten. Criminelen verzamelen die lekken in enorme lijsten en proberen de combinaties geautomatiseerd uit op andere sites — een aanval die 'credential stuffing' heet. Hergebruik je hetzelfde wachtwoord op meerdere plekken, dan opent één gelekt wachtwoord meteen al je accounts.
Daarnaast bestaat de 'brute-force'-aanval: een aanvaller die een gelekte database met versleutelde wachtwoorden buitmaakt, laat krachtige hardware er miljarden gokken per seconde op los. Hoe meer mogelijke wachtwoorden er zijn, hoe langer dat duurt. Daar draait wachtwoordsterkte om: een wachtwoord zó onvoorspelbaar maken dat raden onbetaalbaar lang duurt. Controleer de sterkte van je eigen wachtwoord direct met de wachtwoord-sterkte-checker.
Entropie in bits: de echte maat voor sterkte
Wachtwoordsterkte druk je uit in 'bits entropie'. Entropie meet hoe onvoorspelbaar een wachtwoord is: hoeveel keer een aanvaller gemiddeld moet gokken. Elke bit verdubbelt het aantal mogelijkheden. 10 bits zijn 1.024 mogelijkheden, 20 bits ruim een miljoen, 40 bits meer dan duizend miljard.
De formule voor een willekeurig wachtwoord is: entropie = lengte × log2(grootte van de tekenset). Log2 is de tweede-machtslogaritme — het aantal bits per teken. Een tekenset van alleen kleine letters (26 tekens) levert log2(26) ≈ 4,7 bits per teken. Voeg je hoofdletters, cijfers en symbolen toe (samen ongeveer 94 tekens), dan stijgt dat naar log2(94) ≈ 6,55 bits per teken.
Let op: deze formule geldt alleen voor écht willekeurige wachtwoorden. Een woord uit het woordenboek of een naam met een cijfer erachter heeft veel minder entropie dan de formule suggereert, omdat aanvallers eerst de voor de hand liggende patronen proberen.
- Kleine letters (a-z): ~4,7 bits per teken
- Letters + cijfers (a-z, A-Z, 0-9): ~5,95 bits per teken
- Letters + cijfers + symbolen (~94 tekens): ~6,55 bits per teken
- Eén willekeurig woord uit een lijst van 7.776 woorden (diceware): ~12,9 bits per woord
Hoeveel entropie is 'voldoende'?
Een veelgebruikte vuistregel: mik op minimaal 70 tot 80 bits entropie voor accounts die je wilt beschermen. Bij die sterkte duurt een offline brute-force-aanval, zelfs met snelle hardware die miljarden pogingen per seconde haalt, gemiddeld vele duizenden jaren. Voor extra gevoelige zaken — je hoofdwachtwoord van je wachtwoordmanager, je e-mail, je bank — mag je gerust naar 100 bits of meer streven.
Een praktisch voorbeeld: een volledig willekeurig wachtwoord van 12 tekens uit alle 94 mogelijke tekens haalt ongeveer 12 × 6,55 ≈ 79 bits. Een wachtwoordzin van vier willekeurige diceware-woorden komt op ongeveer 4 × 12,9 ≈ 52 bits, en vijf woorden op ruim 64 bits; zes woorden brengen je voorbij de 77 bits. Wil je het precies weten voor jouw wachtwoord, gebruik dan de wachtwoord-sterkte-checker die de geschatte entropie en kraaktijd toont.
Waarom lengte belangrijker is dan symbolen
Veel mensen denken dat een hoofdletter, cijfer en uitroepteken een wachtwoord 'veilig' maken. In werkelijkheid telt lengte veel zwaarder. Elk extra teken vermenigvuldigt het aantal mogelijkheden met de grootte van de tekenset, terwijl het toevoegen van symbolen slechts de tekenset per teken iets vergroot.
Rekenvoorbeeld: een wachtwoord van 8 tekens uit de volledige 94-tekenset haalt ongeveer 52 bits. Verleng je het naar 14 tekens met alleen kleine letters, dan kom je op 14 × 4,7 ≈ 66 bits — fors sterker, ondanks de 'simpelere' tekens. Daarom adviseren moderne richtlijnen om eerst de lengte op te schroeven en pas daarna complexiteit toe te voegen.
Bovendien is een lang maar uitspreekbaar wachtwoord makkelijker te onthouden dan een korte wirwar van tekens. Dat is precies waarom de wachtwoordzin zo aantrekkelijk is. Heb je liever dat een tool het werk doet, dan genereert de wachtwoord-generator in één klik een lang, willekeurig wachtwoord.
Van bits naar kraaktijd: de tabel
Onderstaande tabel vertaalt entropie naar een geschatte kraaktijd bij een offline brute-force-aanval. De aanname is een snelle aanvaller die ongeveer 100 miljard (10^11) pogingen per seconde haalt — realistisch voor moderne hardware tegen een zwak gehashte database. De getoonde tijd is de gemiddelde tijd om het wachtwoord te raden (de helft van alle mogelijkheden).
| Entropie | Aantal mogelijkheden | Geschatte kraaktijd (offline) |
|---|---|---|
| 28 bits | ~2,7 × 10^8 | Minder dan 1 seconde |
| 40 bits | ~1,1 × 10^12 | Enkele seconden |
| 50 bits | ~1,1 × 10^15 | ~1,5 uur |
| 60 bits | ~1,2 × 10^18 | ~67 dagen |
| 70 bits | ~1,2 × 10^21 | ~187 jaar |
| 80 bits | ~1,2 × 10^24 | ~190.000 jaar |
| 100 bits | ~1,3 × 10^30 | Honderden miljarden jaren |
De wachtwoordzin- en diceware-methode
Het Nationaal Cyber Security Centrum (NCSC) adviseert om in plaats van een ingewikkeld kort wachtwoord een wachtwoordzin te gebruiken: drie of meer willekeurige woorden achter elkaar. Denk aan 'tafel-komeet-wortel-anker'. Zo'n zin is lang (hoge entropie), maar voor een mens veel makkelijker te onthouden dan 'X7q!m2#Lp'.
De zuiverste vorm is de diceware-methode: je rolt met een dobbelsteen om volledig willekeurig woorden te kiezen uit een lijst van 7.776 woorden. Elk woord levert ongeveer 12,9 bits entropie. Vier woorden geven ~52 bits, vijf woorden ~64 bits en zes woorden ~77 bits — genoeg om praktisch onkraakbaar te zijn, mits de woorden écht willekeurig gekozen zijn.
Cruciaal is die willekeur: kies je zelf een zin uit een liedje of spreekwoord, dan is de entropie veel lager omdat de woordvolgorde voorspelbaar is. Laat de woorden dus door toeval bepalen. De wachtwoordzin-generator doet dit automatisch en stelt een willekeurige zin voor die je meteen kunt gebruiken.
Wachtwoordmanager en tweestapsverificatie
Je kunt onmogelijk tientallen unieke, lange wachtwoorden onthouden. Daarom adviseren vrijwel alle beveiligingsexperts een wachtwoordmanager: een versleutelde kluis die voor elke site een uniek, sterk wachtwoord genereert en opslaat. Jij onthoudt alleen nog één sterk hoofdwachtwoord — maak daar een goede wachtwoordzin van.
Zet daarbovenop tweestapsverificatie (2FA of MFA) aan waar het kan. Zelfs als je wachtwoord ooit lekt, kan een aanvaller dan niet inloggen zonder de tweede factor, zoals een code uit een authenticator-app of een fysieke beveiligingssleutel. SMS-codes zijn beter dan niets, maar een app of hardwaresleutel is veiliger.
Met een manager plus 2FA verschuift je beveiliging van 'één wachtwoord onthouden' naar 'één kluis goed beschermen'. Dat is de meest effectieve combinatie voor dagelijks gebruik.
Wil je je digitale doen en laten verder op orde brengen? Lees ook onze gids over een QR-code maken en de uitleg over tekst online bewerken — twee handige aanvullingen op je veilige werkwijze.
Veelgemaakte fouten
Veel wachtwoorden zijn zwak omdat mensen voorspelbare keuzes maken. Aanvallers kennen die patronen en proberen ze als eerste. Vermijd daarom de volgende valkuilen:
- Hergebruik: hetzelfde wachtwoord op meerdere sites. Eén lek opent dan al je accounts via credential stuffing.
- Persoonlijke info: namen, geboortedata, huisdieren of je woonplaats zijn eenvoudig te raden of online te vinden.
- Vervangingsregels: 'a' door '@' en 'e' door '3' (zoals in 'P@ssw0rd') voegen nauwelijks entropie toe — kraaksoftware kent deze trucs.
- Korte wachtwoorden met veel symbolen: 8 tekens blijven zwak, hoe ingewikkeld ook. Kies liever lengte.
- Wachtwoorden uit een datalek: een gelekt wachtwoord staat in de woordenboeken van aanvallers, ook al lijkt het sterk.
Stap 1: Kies tussen wachtwoordzin of willekeurige tekens
Moet je het wachtwoord onthouden (bijvoorbeeld je hoofdwachtwoord)? Kies dan een wachtwoordzin van minimaal vier, liefst vijf of zes willekeurige woorden. Sla het wachtwoord op in een manager en hoef je het niet te onthouden? Dan is een volledig willekeurige reeks van minstens 14-16 tekens de sterkste optie.
Stap 2: Genereer het wachtwoord willekeurig
Verzin het niet zelf — mensen zijn slecht in willekeur en kiezen onbewust patronen. Laat een tool het werk doen: gebruik de wachtwoord-generator voor een willekeurige tekenreeks, of de wachtwoordzin-generator voor een diceware-zin. Beide draaien lokaal in je browser, zodat het wachtwoord je apparaat niet verlaat.
Stap 3: Controleer de sterkte
Plak je nieuwe wachtwoord in de wachtwoord-sterkte-checker en kijk of het de ~70-80 bits entropie haalt. Komt het lager uit, voeg dan een teken of woord toe en check opnieuw. Streef voor je belangrijkste accounts naar de groene zone met de hoogste geschatte kraaktijd.
Stap 4: Bewaar veilig en zet 2FA aan
Sla het wachtwoord op in je wachtwoordmanager — nooit in een tekstbestand of op een briefje bij je computer. Zet vervolgens tweestapsverificatie aan op het account, zodat een gelekt wachtwoord alleen niet genoeg is om in te loggen. Herhaal dit voor elk belangrijk account met een uniek wachtwoord per site.
Veelgestelde vragen
Hoe vaak moet ik mijn wachtwoord wijzigen? Volgens NIST (richtlijn SP 800-63B) hoef je een sterk, uniek wachtwoord niet periodiek te wijzigen. Verplicht vaak wijzigen leidt juist tot zwakkere, voorspelbare wachtwoorden. Wijzig alleen als er een aanwijzing is dat het is gelekt of gecompromitteerd.
Is een wachtwoordzin echt veiliger dan een kort, complex wachtwoord? Ja, mits de woorden willekeurig gekozen zijn. Vier of vijf willekeurige woorden leveren meer entropie dan acht complexe tekens, en zijn bovendien veel makkelijker te onthouden. Het NCSC adviseert daarom losse willekeurige woorden.
Is een wachtwoordmanager wel veilig? Een goede wachtwoordmanager versleutelt je kluis met je hoofdwachtwoord, dat de aanbieder zelf niet kent. Het risico van één goed beschermde kluis is veel kleiner dan het risico van overal hetzelfde of een zwak wachtwoord gebruiken. Maak je hoofdwachtwoord sterk en zet er 2FA op.
Wat moet ik doen als mijn wachtwoord in een datalek zit? Wijzig het direct op alle sites waar je het gebruikte en zet 2FA aan. Controleer via een dienst als Have I Been Pwned of je e-mailadres in bekende lekken voorkomt, en vervang hergebruikte wachtwoorden door unieke exemplaren.
Wat zijn passkeys en vervangen die wachtwoorden? Passkeys zijn een nieuwere inlogmethode die wachtwoorden vervangt door een sleutelpaar op je apparaat, ontgrendeld met je vingerafdruk, gezicht of pincode. Ze zijn bestand tegen phishing en datalekken omdat er geen wachtwoord wordt verstuurd. Gebruik passkeys waar het kan; voor sites zonder passkey-ondersteuning blijft een sterk, uniek wachtwoord nodig.
Telt langer altijd als sterker? Bij volledig willekeurige wachtwoorden wel: elk extra teken verhoogt de entropie. Maar lengte helpt niet als de inhoud voorspelbaar is — '123456789012' is lang maar waardeloos. Combineer dus lengte met echte willekeur.
Tot slot
Een veilig wachtwoord draait niet om hoofdletters en uitroeptekens, maar om entropie: lengte en echte willekeur. Mik op minimaal ~70-80 bits, kies een wachtwoordzin van willekeurige woorden of een lange willekeurige tekenreeks, en sla alles op in een wachtwoordmanager met tweestapsverificatie eroverheen.
Genereer je wachtwoord met een tool, controleer de sterkte met de calculator en gebruik per site een uniek wachtwoord. Zo houd je je accounts ook in 2026 buiten bereik van credential stuffing en brute-force-aanvallen. Aan deze uitleg kunnen geen rechten worden ontleend.
Bronnen
Bijbehorende calculators
Lees ook
QR-code maken: gratis, zonder account (2026)
Een QR-code is binnen seconden gemaakt: je plakt een link of stukje tekst en je hebt een zwart-wit vierkant dat elke smartphone kan scannen. Maar welk foutcorrectieniveau kies je, hoe groot moet je hem printen en hoe voorkom je dat oplichters er een neppe QR-sticker overheen plakken? In deze gids leer je gratis en zonder account een betrouwbare QR-code te maken — van een simpele URL tot een wifi-code die gasten automatisch verbindt.
Tekst online bewerken: tellen, sorteren en opschonen (gratis)
Soms wil je gewoon snel iets met een stukje tekst: het aantal woorden tellen voor een tweet, een lijst alfabetisch sorteren, dubbele e-mailadressen eruit halen of overbodige spaties opruimen. Daar heb je geen Word of dure software voor nodig. In deze gids zie je welke gratis tekst-tools er zijn, wanneer je ze gebruikt en hoe je in drie stappen een rommelige lijst opschoont — allemaal veilig in je eigen browser, zonder dat er iets wordt opgeslagen of verzonden.
Laatst bijgewerkt: 20 juni 2026