Uw organisatie kan het zich niet langer veroorloven om de beveiliging van wachtwoorden over te laten aan individuele teamleden. Ondanks de beste bedoelingen vallen mensen terug op handige maar risicovolle gewoonten, zoals het opslaan van inloggegevens in browsers, spreadsheets of plaknotities.
Een sterk wachtwoordbeleid stelt een duidelijke, afdwingbare standaard vast voor de manier waarop wachtwoorden worden aangemaakt, opgeslagen, gedeeld, gecontroleerd en beschermd binnen uw organisatie. Een modern beleid vermindert risico’s op basis van inloggegevens, ondersteunt naleving en brengt consistentie in de toegangsbeveiliging voor systemen, teams en workflows.
Dit is niet iets wat bedrijven kunnen negeren. Uit het Data Breach Investigations Report 2025 van Verizon bleek dat misbruik van inloggegevens verantwoordelijk was voor 22% van de belangrijkste initiële aanvalsvectoren bij bevestigde schendingen. De kosten van een gebrekkige beveiliging van inloggegevens uiten zich ook in operationele verstoringen, blootstelling aan regelgeving, reputatieschade en de langdurige downtime die volgt wanneer teams zich moeten inspannen om verloren of in gevaar gebrachte toegang te herstellen.
Naast het opstellen van een wachtwoordbeleid heeft uw organisatie systemen en hulpmiddelen nodig die het makkelijk maken om veilige gewoonten aan te nemen. Regels zijn niet voldoende om de operationele beveiliging te garanderen, want waar frictie bestaat, zullen zelfs goedbedoelende professionals sneltoetsen nemen. Het doel is om van wachtwoordhygiëne het pad van de minste weerstand te maken.
Het onderstaande sjabloon voor het wachtwoordbeleid kan uw bedrijf helpen om gegrond te blijven in de huidige best practices en NIST-richtlijnen. U kunt het aanpassen tot een intern beleid, een beveiligingshandboek of een beheersmaatregel voor organisaties die behoefte hebben aan iets praktischer dan algemeen advies.
Sjabloon voor wachtwoordbeleid (voorbeeld)
| Sectie | Beleidsvereiste (voorbeeldtaal) | Aantekeningen bij implementatie |
| Toepassingsgebied | Dit beleid is van toepassing op alle werknemers, contractanten, leveranciers en derden die toegang hebben tot bedrijfssystemen of gegevens met behulp van verificatie op basis van een wachtwoord. Het omvat alle systemen, inclusief SaaS-platforms, cloudservices, interne tools, endpoints en administratieve omgevingen. | Zorg ervoor dat geen enkel systeem of gebruikersgroep buiten het toepassingsgebied valt. Neem ook leveranciers en gedeelde omgevingen op. |
| Verantwoordelijkheden van de gebruiker | Alle gebruikers moeten wachtwoorden aanmaken, opslaan en beheren in overeenstemming met dit beleid. Gebruikers mogen geen inloggegevens delen, wachtwoorden hergebruiken of deze opslaan op niet-goedgekeurde locaties. Vermoedens dat inloggegevens in gevaar zijn gebracht, moeten onmiddellijk worden gemeld. | Opnemen in onboarding en beveiligingstraining. |
| Verantwoordelijkheden van het management | Managers moeten zorgen voor tijdige communicatie over onboarding, functiewijzigingen en offboarding om een correcte toegangscontrole en updates van inloggegevens mogelijk te maken. | Koppelen aan HR-workflows. |
| Verantwoordelijkheden voor IT en beveiliging | IT- en beveiligingsteams zijn verantwoordelijk voor het handhaven van dit beleid, het goedkeuren van hulpmiddelen voor wachtwoordbeheer, het monitoren van de naleving en het reageren op incidenten met betrekking tot inloggegevens. | Wijs intern een duidelijk eigenaarschap toe. |
| Wachtwoordlengte | Wachtwoorden moeten voldoen aan de volgende minimumlengtes: 15 tekens (standaardaccounts), 16 tekens (geprivilegieerde accounts) en 20 tekens (gedeelde of service-accounts waar haalbaar). | Systemen moeten lange wachtwoorden ondersteunen (idealiter tot 64 tekens). |
| Wachtwoord aanmaken | Wachtwoorden moeten willekeurig worden gegenereerd met behulp van de door de organisatie goedgekeurde wachtwoordbeheerder voor bedrijven. Door gebruikers aangemaakte wachtwoorden op basis van patronen, persoonlijke gegevens of voorspelbare structuren zijn niet toegestaan. | Proton Pass for Business kan het aanmaken van sterke, willekeurige wachtwoorden automatiseren. |
| Uniciteit van wachtwoorden | Wachtwoorden moeten uniek zijn voor elk account, systeem en elke service. Hergebruik in werksystemen, persoonlijke accounts of clientomgevingen is ten strengste verboden. | Afdwingen via tools en training, niet alleen via het geheugen. |
| Wachtwoordsterkte testen | Wachtwoorden mogen niet zwak zijn, niet hergebruikt worden en niet eerder blootgesteld zijn in bekende gegevensschendingen. | Gebruik waar mogelijk systemen die detectie van gelekte wachtwoorden ondersteunen. |
| Verboden praktijken | Het volgende is verboden: hergebruik van wachtwoorden; gebruik van persoonlijke of bedrijfsgerelateerde termen; voorspelbare patronen; wachtwoorden opslaan in tekst zonder opmaak; inloggegevens delen via e-mail, chat of notities. | Houd dit gedeelte expliciet om onduidelijkheid te voorkomen. |
| Multi-factor authenticatie (MFA) | MFA moet worden ingeschakeld op alle systemen die dit ondersteunen, met name voor e-mail, identiteitsproviders, toegang op afstand, financiële systemen, HR-platforms en administratieve accounts. | Geef eerst prioriteit aan systemen met een hoog risico. |
| Opslag van wachtwoorden | Alle inloggegevens mogen alleen worden opgeslagen in de door de organisatie goedgekeurde wachtwoordbeheerder. Opslag in browsers of lokale tools is niet toegestaan, tenzij centraal beheerd en goedgekeurd. | Proton Pass for Business biedt versleutelde kluizen met gecontroleerde toegang. |
| Verboden opslagmethoden | Wachtwoorden mogen niet worden opgeslagen in spreadsheets, documenten, e-mailconcepten, ticketingsystemen, gedeelde drives of persoonlijke notities. | Controleer hier regelmatig op, want dit komt zeer vaak voor. |
| Wachtwoorden delen | Wachtwoorden mogen niet via informele kanalen worden gedeeld. Waar delen vereist is, moet dit gebeuren via goedgekeurde beveiligde systemen die toegangscontrole, auditing en intrekking ondersteunen. | Proton Pass for Business maakt het veilig delen van inloggegevens mogelijk zonder het wachtwoord zelf bloot te geven. |
| Gedeelde accounts | Inloggegevens van gedeelde of service-accounts moeten een aangewezen eigenaar, beperkte toegang, veilige opslag en regelmatige beoordeling hebben. Inloggegevens moeten worden geroteerd wanneer er wijzigingen in het personeelsbestand optreden of wanneer er een vermoeden is dat ze in gevaar zijn gebracht. | Geef waar mogelijk de voorkeur aan individuele accounts. |
| Training en bewustwording | Alle gebruikers moeten bij indiensttreding en daarna periodiek een veiligheidstraining over wachtwoorden en inloggegevens voltooien. De training moet wachtwoordbeheer, het gebruik van MFA, bewustwording rond phishing en incidentrapportage omvatten. | Houd de training praktisch en actueel. |
| Incidentrespons | Elke vermoede of bevestigde situatie waarbij inloggegevens in gevaar zijn gebracht, moet onmiddellijk worden gemeld. Betrokken inloggegevens moeten worden gereset, sessies moeten worden onderbroken en de toegang moet worden herzien. Incidenten moeten worden gedocumenteerd. | Snelheid van de reactie is belangrijker dan perfectie. |
| Rapportagevereisten | Gebruikers moeten vermoede blootstelling van inloggegevens melden via het aangewezen rapportagekanaal. Meldingen te goeder trouw zullen niet leiden tot disciplinaire maatregelen. | Moedigt vroegtijdige rapportage aan. |
| Monitoring en logboekregistratie | Verificatieactiviteiten moeten waar mogelijk in een logboek worden vastgelegd, inclusief inlogpogingen, wijzigingen in inloggegevens en bevoorrechte toegang. Logboeken moeten periodiek worden gecontroleerd op onregelmatigheden. | Focus eerst op systemen met een hoog risico. |
| Uitdiensttreding en intrekking van toegang | Bij een functiewijziging of beëindiging van het dienstverband moet de toegang onmiddellijk worden verwijderd. Gedeelde inloggegevens moeten worden herzien en indien nodig worden geroteerd. | Essentieel, aangezien dit een van de meest voorkomende faalpunten is voor organisaties. |
| Afstemming op naleving | Dit beleid ondersteunt de naleving door de organisatie van erkende kaders zoals de toegangscontrolevereisten van NIST en ISO 27001. | Nuttig voor audits en governance. |
| Handhaving | Het niet naleven van dit beleid kan, afhankelijk van de ernst, leiden tot herscholing, toegangsbeperkingen of disciplinaire maatregelen. | Consistent toepassen. |
| Beoordelingscyclus | Dit beleid moet ten minste jaarlijks worden herzien of naar aanleiding van significante wijzigingen in systemen, risico’s of wettelijke vereisten. | Wijs een eigenaar toe voor updates. |
Wat is een wachtwoordbeleid? Definitie, doel en doelstellingen
Een wachtwoordbeleid is een formele set regels die bepaalt hoe inloggegevens worden aangemaakt, beheerd, opgeslagen en beschermd binnen de systemen van een organisatie.
Het concept van een wachtwoordbeleid klinkt eenvoudig, maar de impact is groot. Het is veel meer dan alleen het verplichten van het gebruik van een wachtwoordbeheerder voor bedrijven voor zakelijke inloggegevens. In moderne organisaties vormt een wachtwoordbeleid de basis voor identiteitsbeveiliging.
Zonder een consistent beleid voor de omgang met inloggegevens binnen systemen, hebben wachtwoordpraktijken de neiging gefragmenteerd te raken en verliezen organisaties geleidelijk het overzicht over hoe de toegang daadwerkelijk wordt beheerd.
Het doel van een sterk wachtwoordbeleid
Een goed gedefinieerd wachtwoordbeleid pakt beveiligingslacunes aan door duidelijke verwachtingen te scheppen over hoe er binnen uw organisatie met inloggegevens moet worden omgegaan. Het stelt consistente normen vast voor het aanmaken, opslaan, delen en het levenscyclusbeheer van wachtwoorden.
Wachtwoordbeleid speelt ook een belangrijke rol in governance en naleving. Beveiligingskaders zoals de NIST Digital Identity Guidelines(nieuw venster) en standaarden zoals ISO 27001(nieuw venster) benadrukken het belang van sterke verificatiepraktijken als onderdeel van moderne toegangscontrole.
Van organisaties die met gevoelige gegevens omgaan, met name persoonlijke informatie, financiële gegevens of bedrijfseigen informatie, wordt in toenemende mate verwacht dat zij aantonen dat de toegang tot die systemen wordt beheerst door gedocumenteerde beveiligingscontroles.
Met een wachtwoordbeleid definieert uw organisatie de minimale vereisten voor het maken, opslaan, delen en beheren van wachtwoorden die worden gebruikt voor toegang tot bedrijfssystemen, diensten, apparaten, toepassingen en gegevens.
Wat moet een wachtwoordbeleid doen?
Een document over het wachtwoordbeleid is bedoeld om:
- Beveiligingsincidenten gerelateerd aan wachtwoorden te verminderen
- Hergebruik van wachtwoorden en onveilige opslagpraktijken te voorkomen
- Veilige praktijken voor het aanmaken en beheren van wachtwoorden te vereisen
- Veilige toegang te ondersteunen voor werknemers, leveranciers en systemen
- De bereidheid voor audits en de governance op het gebied van toegang te versterken
- Responsprocedures te definiëren voor inloggegevens die in gevaar zijn gebracht
Samen helpen deze doelstellingen te waarborgen dat wachtwoordbeveiliging wordt behandeld als een operationele standaard in plaats van een informele verwachting.
Wachtwoordbeleid: reikwijdte, rollen en verantwoordelijkheden
Een sterk wachtwoordbeleid moet twee dingen expliciet maken. Ten eerste moet het duidelijk definiëren welke gebruikers, systemen en gegevens zich aan het beleid moeten houden.
Ten tweede moet het verduidelijken wie verantwoordelijk is voor het volgen, implementeren en onderhouden van die normen binnen uw organisatie.
Definieer de reikwijdte van uw wachtwoordbeleid
In moderne organisaties is toegang zelden beperkt tot fulltime werknemers op interne netwerken. Contractanten, leveranciers en dienstverleners kunnen allemaal toegang tot bedrijfssystemen nodig hebben. Daarom moet het beleid gelden voor iedereen die via op wachtwoorden gebaseerde verificatie communiceert met bedrijfssystemen of gegevens.
Het moet ook van toepassing zijn op de gehele technologische omgeving, inclusief:
- Cloudplatforms
- SaaS-tools
- Interne systemen
- Ontwikkelomgevingen
- Administratieve consoles
- Gedeelde operationele accounts
Dit is belangrijk omdat aanvallers zelden onderscheid maken tussen primaire en secundaire systemen wanneer u op zoek bent naar toegangspunten.
Definieer functies en verantwoordelijkheden binnen uw wachtwoordbeleid
Zonder duidelijk eigendom raakt het wachtwoordbeheer gefragmenteerd. Werknemers gaan ervan uit dat IT de beveiliging automatisch afhandelt, terwijl IT ervan uitgaat dat gebruikers zelfstandig de beste werkwijzen volgen. Effectieve beveiliging van inloggegevens vereist coördinatie binnen uw hele organisatie.
Terwijl werknemers en contractanten de wachtwoordbeveiliging handhaven in hun dagelijkse interacties met systemen, houden managers toezicht op het toegangsbeheer tijdens de onboarding, functiewijzigingen en offboarding. IT- en beveiligingsteams zijn verantwoordelijk voor het implementeren van technische controles en het monitoren van de naleving. Systeemeigenaren zullen er ook voor zorgen dat normen worden nageleefd binnen de toepassingen en omgevingen die zij beheren.
Richtlijnen voor het wachtwoordbeleid met betrekking tot de minimale wachtwoordlengte en de vereisten voor entropie
Wachtwoordlengte is een van de belangrijkste factoren bij het bepalen van de sterkte van inloggegevens. Langere wachtwoorden verhogen het aantal mogelijke combinaties dat een aanvaller zou moeten testen tijdens een brute-force aanval aanzienlijk.
In feite beveelt het NIST aan(nieuw venster) om voorrang te geven aan de lengte van het wachtwoord boven strikte samenstellingsregels. In plaats van gebruikers te dwingen specifieke combinaties van symbolen, cijfers en hoofdletters te gebruiken, richt het moderne beleid zich op het waarborgen dat wachtwoorden voldoende lang zijn en worden gecontroleerd op basis van bekende in gevaar gebrachte inloggegevens.
Dienovereenkomstig moeten organisaties er ook voor zorgen dat hun systemen langere, complexere wachtwoorden ondersteunen waar dit technisch haalbaar is. Hierdoor kunnen beveiligingsteams na verloop van tijd strengere standaarden voor inloggegevens invoeren en wordt gegarandeerd dat uw organisatie is voorbereid op veranderende beveiligingsvereisten in de toekomst.
Een sterk wachtwoord moet aan deze belangrijke vereisten voldoen of deze overtreffen:
- Voldoende lengte om weerstand te bieden tegen brute-force en geautomatiseerde kraakpogingen
- Uniek voor één account of service, om het hergebruik van inloggegevens op verschillende systemen te voorkomen
- Moeilijk te raden, waarbij persoonlijke informatie, bedrijfsreferenties of voorspelbare patronen worden vermeden
- Willekeurig of zeer onvoorspelbaar, bij voorkeur gegenereerd door een goedgekeurde wachtwoordbeheerder
- Niet eerder blootgesteld in bekende datalekken of aanwezig in algemene wachtwoordlijsten
Houd er rekening mee dat wachtwoorden op basis van namen, verjaardagen, bedrijfstermen of eenvoudige toetsenbordpatronen vaak snel kunnen worden gekraakt met geautomatiseerde tools, ongeacht de lengte. Zie onze gedetailleerde gids over vereisten voor sterke wachtwoorden voor zowel particulieren als bedrijven.
Willekeur en complexiteit van wachtwoorden
Moderne beveiligingskaders raden aan om wachtwoorden willekeurig te genereren in plaats van gebruikers te vragen ze handmatig te bedenken. Willekeurige wachtwoorden die worden gegenereerd door goedgekeurde tools voor wachtwoordbeheer bieden een aanzienlijk sterkere bescherming, omdat ze voorspelbare patronen vermijden en kunnen worden gemaakt met een lengte die onmogelijk te onthouden is.
U kunt bijvoorbeeld de veilige wachtwoordgenerator en de veilige praktijken voor het beheren van inloggegevens gebruiken die in Proton Pass zijn ingebouwd. Samen helpen deze tools bij het genereren van sterke, onvoorspelbare wachtwoorden, terwijl ze veelvoorkomende uitdagingen rond de opslag, het delen en het levenscyclusbeheer van wachtwoorden aanpakken.
De volgende minimale vereisten kunnen in een wachtwoordbeleid worden opgenomen om zwakke of hergebruikte wachtwoorden te ontmoedigen:
- Wachtwoorden voor standaardgebruikersaccounts moeten ten minste 15 tekens lang zijn.
- Wachtwoorden voor bevoorrechte accounts of administratoraccounts moeten ten minste 16 tekens lang zijn.
- Inloggegevens voor gedeelde accounts of service-accounts moeten ten minste 20 tekens lang zijn, indien technisch haalbaar.
- Systemen moeten wachtwoorden van ten minste 64 tekens ondersteunen waar mogelijk.
- Lange wachtwoordzinnen mogen worden gebruikt waar dit wordt ondersteund en gepast is.
- Wachtwoorden moeten voldoen aan de goedgekeurde vereisten van de organisatie voor sterkte en screening voordat ze worden gebruikt.
Gebruik van unieke wachtwoorden per systeem of service
Het hergebruik van wachtwoorden is een van de meest voorkomende oorzaken van beveiligingsincidenten op basis van inloggegevens. Wanneer hetzelfde wachtwoord voor meerdere services wordt gebruikt, kan één enkele schending de toegang tot meerdere systemen tegelijk blootleggen.
Aanvallers maken routinematig misbruik van dit gedrag met behulp van een techniek die bekendstaat als credential stuffing, waarbij gestolen gebruikersnamen en wachtwoorden van de ene service automatisch worden getest op andere platforms.
Om deze reden is uniekheid een ononderhandelbare vereiste. Elk account, elke service en elk systeem moet een eigen wachtwoord hebben dat nergens anders wordt hergebruikt.
Het beheren van tientallen of honderden unieke wachtwoorden zou onrealistisch zijn zonder de ondersteuning van veilige tools voor wachtwoordbeheer. Tools voor wachtwoordbeheer voor ondernemingen maken deze vereiste praktisch door automatisch sterke wachtwoorden te genereren en deze veilig op te slaan, zodat werknemers unieke inloggegevens kunnen behouden zonder op hun geheugen te vertrouwen.
Vereisten voor multifactorauthenticatie (MFA)
Multifactorauthenticatie (MFA) is een van de effectiefste manieren om het risico op ongeoorloofde toegang te verkleinen, met name in omgevingen waar inloggegevens kunnen worden blootgesteld via phishing, malware(nieuw venster) of externe datalekken.
MFA werkt door gebruikers te verplichten hun identiteit te verifiëren via ten minste twee onafhankelijke factoren voordat u toegang krijgt tot een account. Deze omvatten:
- Iets wat de gebruiker weet (een wachtwoord)
- Iets wat u heeft (zoals een beveiligingssleutel, authenticatie-app of mobiel apparaat)
- Iets wat u bent (biometrische verificatie zoals een vingerafdruk of gezichtsherkenning).
Omdat aanvallers zelden tegelijkertijd toegang hebben tot al deze factoren, vermindert MFA de kans aanzienlijk dat gestolen inloggegevens alleen kunnen worden gebruikt om een account in gevaar te brengen.
Richtlijnen van organisaties zoals het NIST en CISA moedigen het gebruik van multifactorauthenticatie sterk aan(nieuw venster) overal waar op wachtwoord gebaseerde toegang wordt gebruikt, met name voor systemen die gevoelige gegevens bevatten of administratieve privileges bieden.
MFA integreren in uw wachtwoordbeleid
Uw organisatie kan de invoering van MFA verder versterken door tools te gebruiken die tweestapsverificatie eenvoudiger maken om te implementeren en te beheren voor verschillende accounts. Proton Pass kan bijvoorbeeld op tijd gebaseerde eenmalige wachtwoorden (TOTP) opslaan en automatisch aanvullen naast opgeslagen inloggegevens, waardoor inlogworkflows worden vereenvoudigd terwijl de verificatiegegevens versleuteld blijven.
Voor organisaties die de voorkeur geven aan het scheiden van authenticatifactoren, biedt Proton ook een speciale Proton Authenticator-app, die veilige zescijferige verificatiecodes genereert en deze tussen apparaten kan synchroniseren met behulp van end-to-end versleuteling. De authenticator werkt offline en is open source, waardoor organisaties MFA kunnen implementeren voor zakelijke accounts met behoud van transparantie en een sterke privacybescherming.
Veilige praktijken voor het delen van wachtwoorden
Hoewel veel beveiligingsrichtlijnen afraden om wachtwoorden te delen, is dit in de praktijk van het bedrijfsleven soms nog steeds nodig. Voor service-accounts, toegang voor leveranciers en noodprocedures kan het af en toe nodig zijn dat meerdere geautoriseerde gebruikers toegang hebben tot dezelfde inloggegevens.
Wanneer het delen informeel gebeurt, bijvoorbeeld via e-mail, chat of mondelinge communicatie, worden inloggegevens blootgesteld en zijn ze moeilijk te controleren. Eenmaal gedeeld via deze kanalen, is er doorgaans geen betrouwbare manier om bij te houden wie toegang heeft of om deze later in te trekken.
Wachtwoordbeleid moet daarom definiëren hoe en wanneer delen is toegestaan. In de meeste organisaties mag dit alleen gebeuren via goedgekeurde hulpmiddelen voor het beheren van inloggegevens die toegangscontroles, auditing en de mogelijkheid bieden om de toegang in te trekken wanneer dat nodig is.
Procedures voor offboarding en het intrekken van toegang
Wanneer werknemers van functie veranderen, de organisatie verlaten of relaties met leveranciers eindigen, moet de toegang onmiddellijk worden herzien en aangepast. Het niet tijdig intrekken van inloggegevens is een van de meest voorkomende bronnen van ongeoorloofde toegang.
Een sterk wachtwoordbeleid moet worden geïntegreerd met onboarding- en offboardingprocessen, zodat toegangsrechten onmiddellijk worden bijgewerkt om functiewijzigingen of vertrek te weerspiegelen, inclusief het uitschakelen van accounts, het roteren van gedeelde inloggegevens en het intrekken van onnodige systeemtoegang.
Als meerdere personen toegang hadden tot een gedeeld service-account, moet het wachtwoord worden geroteerd zodra er personeelswijzigingen optreden om te voorkomen dat voormalige werknemers of aannemers toegang behouden nadat hun accounts zijn uitgeschakeld.
Overbrug de kloof tussen wachtwoordbeleid en menselijke gewoonten
Wachtwoordbeleid is alleen effectief als mensen het opvolgen.
In de meeste organisaties treden fouten niet op omdat er geen beleid is; ze treden op omdat het beleid niet is ingesloten in de dagelijkse workflows. Werknemers nemen binnenwegen wanneer processen onduidelijk zijn, hulpmiddelen ontoereikend zijn of verwachtingen niet worden nageleefd. Wanneer het correct wordt geïmplementeerd (en in combinatie met een wachtwoordbeheerder voor bedrijven), vervangt een sterk wachtwoordbeleid informele gewoonten door consistente controles, vermindert het de risico’s met betrekking tot inloggegevens en maakt het veilig toegangsbeheer onderdeel van de dagelijkse werkzaamheden, en niet slechts een bijzaak.
