Een wachtwoord lijkt simpel. Je kiest een paar tekens, voert ze in en krijgt toegang tot een account. Achter dat proces gebeurt veel meer dan veel mensen denken. Websites en apps horen wachtwoorden namelijk niet letterlijk op te slaan. Daarvoor gebruiken systemen technieken zoals hashing en salts. Dat klinkt technisch, maar het idee erachter is eigenlijk vrij logisch. Het doel is om jouw gegevens te beschermen wanneer een database uitlekt of iemand probeert in te breken.
Wanneer je een account aanmaakt, hoort een website je wachtwoord niet als normale tekst te bewaren. Dat zou betekenen dat medewerkers of hackers het direct kunnen lezen. Daarom gebruiken systemen vaak hashing. Daarbij wordt een wachtwoord omgezet in een lange reeks tekens die niet zomaar terug te rekenen is naar het originele wachtwoord.
Als je later inlogt, wordt jouw ingevoerde wachtwoord opnieuw gehasht. Daarna vergelijkt het systeem die nieuwe hash met de hash die al opgeslagen staat. Komen ze overeen, dan krijg je toegang. Het echte wachtwoord hoeft daarvoor niet zichtbaar te zijn.
Dat verklaart ook waarom veel diensten zeggen dat ze je wachtwoord niet kunnen terugsturen wanneer je het vergeten bent. Vaak kunnen ze alleen een nieuw wachtwoord laten instellen.
Alleen hashing is niet altijd voldoende. Daarom voegen veel systemen een extra beveiligingslaag toe die bekendstaat als een salt. Dat is een willekeurige reeks tekens die aan een wachtwoord wordt toegevoegd voordat het gehasht wordt.
Daardoor krijgen twee gebruikers met hetzelfde wachtwoord toch een andere hash. Zonder salt zouden hackers vooraf enorme lijsten met bekende hashes kunnen maken om wachtwoorden sneller te achterhalen. Zulke lijsten worden rainbow tables genoemd. Door salts te gebruiken werkt die aanpak veel minder goed.
Een wachtwoord als Welkom123 lijkt misschien onschuldig, maar als duizenden mensen hetzelfde wachtwoord gebruiken, ontstaat een groot risico. Met een salt wordt iedere opgeslagen versie uniek gemaakt.
Veel mensen gebruiken korte of voorspelbare wachtwoorden omdat ze makkelijk te onthouden zijn. Denk aan geboortedata, namen of simpele combinaties. Hackers gebruiken automatische programma’s die miljoenen wachtwoorden per seconde kunnen proberen. Hoe eenvoudiger het wachtwoord, hoe sneller het geraden wordt.
Ook hergebruik zorgt voor problemen. Als één website wordt gehackt en jouw wachtwoord uitlekt, proberen aanvallers vaak dezelfde combinatie op andere diensten zoals mail, streamingdiensten of webshops.
Daarom raden beveiligingsexperts aan om unieke wachtwoorden te gebruiken. Een wachtwoordmanager kan daarbij helpen. Die maakt lange wachtwoorden aan en bewaart ze veilig, zodat je ze niet allemaal zelf hoeft te onthouden. In online discussies over datalekken wordt dat vaak genoemd als praktische oplossing.
Steeds meer diensten bieden tweestapsverificatie aan, ook bekend als 2FA. Daarbij log je niet alleen in met een wachtwoord, maar bevestig je ook via een tweede stap dat jij het echt bent. Bijvoorbeeld met een code op je telefoon of een authenticatie-app.
Dat extra controlepunt helpt vooral wanneer een wachtwoord toch uitlekt. Iemand heeft dan nog steeds die tweede verificatie nodig om binnen te komen.
Bedrijven maken nog steeds fouten met wachtwoorden. Soms worden gegevens verkeerd opgeslagen of blijkt beveiliging onvoldoende ingericht. Daardoor blijven datalekken regelmatig in het nieuws verschijnen. Juist daarom zijn technieken zoals hashing, salts en tweestapsverificatie belangrijk. Ze verkleinen de schade wanneer systemen worden aangevallen.
Voor gebruikers blijft het verstandig om unieke wachtwoorden te gebruiken en extra beveiliging in te schakelen waar dat kan. Een sterk wachtwoord alleen lost niet alles op, maar het maakt misbruik wel een stuk lastiger.
