Dit zijn 123456 redenen waarom Nederlanders gehackt worden

Ondanks dat Nederlanders zich steeds meer bewust zijn van bovenstaande online gevaren, kost het hen nog steeds veel moeite sterke wachtwoorden te kiezen. Dit blijkt uit recent onderzoek van VPNdiensten.nl. Meer dan één op de 140 gelekte Nederlandse wachtwoorden is simpelweg ‘123456‘. Dit is al vijf jaar het meest gebruikte wachtwoord voor online accounts waarbij een emailadres met een .nl-extensie gebruikt wordt. Ook makkelijk te kraken wachtwoorden met Nederlandse plaatsnamen (meer dan één op de 400 gelekte wachtwoorden) of namen van voetbalclubs (meer dan één op de 600 gelekte wachtwoorden) maken het voor cybercriminelen een fluitje van een cent om digitale gegevens van Nederlanders te stelen. 

Voor dit onderzoek werkten we samen met softwarebedrijf NordPass en analyseerden we data van 24.870.385 datalekken. Hieruit filterden we 9.786.502 emailadressen eindigend op .nl, en groepeerden de bijbehorende wachtwoorden om tot een lijst van de 1000 meest gebruikte wachtwoorden in gelekte accounts door Nederlanders te komen.

Toetsenbordvolgorde

In de top 25 van meest voorkomende wachtwoorden zien we een toetsenbordpatroon: bij meer dan één op de 70 wachtwoorden van de onderzochte gelekte accounts is gekozen voor een rijtje dat makkelijk in te tikken is: ‘123456’ (of een kortere of langere variant), ‘qwerty’ of ‘123123’. Wachtwoorden als deze zijn via de zogenaamde brute force-methode in een fractie van een seconde te kraken. 

Ook de wachtwoorden ‘welkom01’, ‘welkom’, ‘welkom1’ en andere varianten, geliefd onder systeembeheerders voor accounts van nieuwe gebruikers, komen veel voor. Het is zaak tijdelijke wachtwoorden zoals deze snel te wijzigen, maar uit ons onderzoek blijkt dat meer dan één op 200 van de gelekte wachtwoorden tot deze groep behoort.

Plaatsnamen populair

Opvallend genoeg kiezen veel Nederlanders voor een plaatsnaam in hun wachtwoord. De steden met de meeste inwoners vinden we in de regel ook terug in de meeste wachtwoorden:

Figuur: meest voorkomende stadsnamen in wachtwoorden betrokken bij een datalek

Hup [wachtwoord] scoor die goal!

Ook voetbalclubs en voetbaltermen vinden we bovengemiddeld terug. Als we ervan uitgaan dat Nederlanders hun favoriete club in hun wachtwoord verwerken, voert de grootste club van Rotterdam duidelijk de boventoon:

Figuur: meest voorkomende voetbalgerelateerde termen in wachtwoorden betrokken bij een datalek

Waarbij we opmerken dat Twente natuurlijk naast een voetbalclub ook een topografische term is. Andere gebruikte termen in wachtwoorden die we kunnen koppelen aan de populaire sport zijn ‘voetbal’ (11516 keer), ‘FC’ (2459 keer) en ‘oranje’ (829 keer).

LOL met je wachtwoord

Het lijkt erop dat de creativiteit bij het bedenken van een wachtwoord ver te zoeken is. Toch vonden we ook grappige en slim gevonden wachtwoorden in de dataset. Een voorbeeld hiervan is: ‘verkeerd’. Geen veilig wachtwoord, maar wel een veelgekozen wachtwoord vanwege de foutmelding: ‘Uw wachtwoord is verkeerd’, als de gebruiker een foutief wachtwoord invult. 

Van dezelfde strekking is het wachtwoord voor accounts waar maar weinig wordt ingelogd: ‘verlopen’, zodat de melding: ‘Uw wachtwoord is verlopen’ tevoorschijn komt. Het meest gebruikte wachtwoord in deze categorie is ‘geheim’ op plaats 11 in de top 25. Helaas is een account met ‘geheim’ als wachtwoord dat al heel snel niet meer. 

Waarom een sterk wachtwoord zo belangrijk is

Hackers zetten vaak de ‘brute-force’-methode in bij het kraken van gebruikersaccounts. Een systeem probeert aan de lopende band wachtwoorden, met als doel een match met een bestaand wachtwoord te vinden. Vaak gebruikt men een standaardwoordenboek en allerlei combinaties met getallen en symbolen. Het systeem probeert net zo lang wachtwoorden te raden tot het wachtwoord is gevonden.

Als je geen sterk wachtwoord gebruikt, loop je het risico gehackt te worden. Dat kan tot gevolg hebben dat je privégegevens op straat komen te liggen, dat er identiteitsfraude wordt gepleegd met jouw gegevens, of in extreme gevallen dat zelfs je bankrekening wordt geplunderd. 

Als je dezelfde wachtwoorden voor meerdere accounts gebruikt, is het makkelijker voor kwaadwillenden om toegang krijgen tot al je gegevens. Het is misschien niet heel erg als een hacker bij het account van dat ene online spelletje kan, maar als hij met hetzelfde gekraakte wachtwoord ook toegang kan krijgen tot je verzekeringsgegevens en daarmee persoonlijke data, heb je een groot probleem.

Vermijd deze wachtwoorden

Wie geen slachtoffer wil worden van hackers, moet nadenken over een sterk wachtwoord. Voorbeelden van hoe het níet moet:

• Standaard wachtwoorden: password, default, admin;
• Wachtwoorden uit het woordenboek;
• Wachtwoorden met slechts een paar getallen erachter;
• Wachtwoorden met ‘obfuscatie’, zoals p@ssw0rd, g0ldf1sh, et cetera;
• Dubbele woorden;
• Wachtwoorden die in een rij op het toetsenbord staan;
• Bekende nummers (zoals 112);
• Wachtwoorden met de gebruikersnaam erin
• Alles wat met persoonsgegevens te maken heeft;
• Datums.

Meer informatie en tips hoe je wél een sterk wachtwoord kan bedenken, vind je in artikel van Mark Bakker over de do’s en don’ts van wachtwoorden. Een makkelijke manier om veel complexe wachtwoorden te beheren, is door een passwordmanager te gebruiken – Harry Hol neemt je mee in de wereld van deze handige software.

Bronnen voor het onderzoek

Naast de dataset van NordPass keken we naar de ‘TOP 200 Most Common Passwords’. Dit onderzoek over de meest voorkomende wachtwoorden evalueerde een database die in totaal 275.699.516 wachtwoorden bevatte. De studie werd samengesteld in samenwerking met een bedrijf dat gespecialiseerd is in onderzoek naar datalekken. Het onderzoek toonde de slechtste 200 wachtwoorden van 2020, hoe vaak het wachtwoord is gelekt en gebruikt, en hoe lang het zou duren om het te kraken. Vervolgens werden de wachtwoorden onderverdeeld in 12 categorieën van de meest voorkomende wachtwoorden. Het uitgebreide rapport is hier te vinden.