Wachtwoordtool Terug naar generator

Beveiligingsgids

Hoe lang moet een wachtwoord zijn?

Leer wanneer je 12, 16, 20 of 32 tekens moet kiezen en waarom wachtwoordlengte, uniciteit en opslag belangrijker zijn dan visuele complexiteit.

Samenvatting

Voor de meeste moderne accounts is 16 willekeurige tekens een sterke praktische basislijn. Gebruik 20 of meer voor belangrijke persoonlijke accounts, e-mail, bankzaken, werk of beheer. Gebruik 32 tekens wanneer het wachtwoord in een wachtwoordmanager wordt opgeslagen en toegang tot hoge waarde beschermt.

Probeer de 16 tekens, 20 tekens of 32 tekens generators.

Lengtebanden

Korte wachtwoorden zijn makkelijker te raden omdat er minder mogelijke combinaties zijn. Zes tot negen tekens is normaal gesproken te kort voor accountbeveiliging. Tien tot veertien tekens worden door veel diensten geaccepteerd, maar moeten niet worden behandeld als de voorkeursbestemming voor belangrijke accounts.

Zestien willekeurige tekens is een goede standaard wanneer een wachtwoordmanager de waarde opslaat. Twintig tekens voegt marge toe terwijl het compatibel blijft met veel sites. Tweeëndertig tekens is nuttig voor beheerpanelen, versleutelde bestanden, database-inloggegevens en lokale geheimen.

Willekeurige lengte versus menselijke lengte

Een willekeurig wachtwoord van 16 tekens is heel anders dan een door de mens gemaakte zin van 16 tekens. Menselijke keuzes bevatten vaak woorden, data, namen en voorspelbare eindes. Aanvallers testen die patronen voordat ze blinde brute force proberen.

Praktische aanbevelingen

Gedetailleerde richtlijnen

Deze gids richt zich op het kiezen van wachtwoordlengte voor verschillende accountrisico’s. Het is geschreven voor lezers die 12, 16, 20, 24 en 32 tekens vergelijken, dus het praktische doel is niet om een dramatische beveiligingsclaim te creëren. Het doel is om een wachtwoordgewoonte te kiezen die dagelijks gebruik kan overleven: inlogformulieren, wachtwoordmanagers, mobiele toetsenborden, accountherstel, gedeelde apparaten en de occasionele dienst met vreemde validatieregels. Een veilige aanbeveling is alleen nuttig als een echt persoon deze consequent kan volgen.

Het veiligste startpunt is willekeur plus uniciteit. Willekeur betekent dat de waarde wordt geselecteerd uit een grote ruimte door een cryptografisch geschikte willekeurige bron, niet verzonnen uit een verjaardag, een huisdiernaam, een toetsenbordpatroon of een favoriet citaat. Uniciteit betekent dat hetzelfde wachtwoord nergens anders wordt gebruikt. Een wachtwoord dat lang is maar hergebruikt, kan snel falen na één niet-gerelateerd datalek, terwijl een uniek willekeurig wachtwoord de schade beperkt tot het enkele account waar het werd gebruikt.

Voor dit onderwerp is een praktische preset 16 tekens voor gewone accounts, 20 of meer voor belangrijke accounts, en 32 voor geheimen die worden opgeslagen in plaats van getypt. Je kunt die preset toepassen met de 32 tekens wachtwoordgenerator en de uiteindelijke waarde opslaan in een vertrouwde wachtwoordmanager. PwdGen genereert waarden lokaal in de browser met Web Crypto; het gegenereerde wachtwoord wordt niet naar een PwdGen-server gestuurd. Dat lokale ontwerp vermindert blootstelling aan de serverzijde, maar beschermt niet tegen elke dreiging. Een kwaadaardige browserextensie, een gecompromitteerd apparaat, een phishingpagina of onveilige klembordafhandeling kunnen nog steeds een geheim blootleggen nadat het is gegenereerd.

De meest voorkomende problemen om te vermijden zijn korte willekeurige waarden, maximale lengtelimieten, verouderde formulieren en de aanname dat een vast aantal veilig is voor elk systeem. Deze problemen zijn belangrijk omdat aanvallers zelden elk mogelijk wachtwoord met brute force hoeven te proberen wanneer menselijke gewoonten hen een shortcut geven. Credential stuffing, phishing, gelekte wachtwoordlijsten en misbruik van accountherstel zijn vaak realistischer dan een pure wiskundige zoektocht. Daarom combineert het beste advies wachtwoordkwaliteit met accountniveaucontroles zoals MFA, passkeys, herstelcode-opslag en regelmatige controle van herstel-e-mail of telefooninstellingen.

Gebruik deze checklist bij het toepassen van de aanbeveling:

Als een website de ideale instelling afwijst, forceer het wachtwoord dan niet met de hand in een zwakker patroon. Pas één variabele tegelijk aan. Als symbolen worden afgewezen, houd dan hoofdletters, kleine letters en cijfers ingeschakeld en verhoog de lengte. Als een maximale lengte laag is, gebruik dan de grootste geaccepteerde lengte en zorg ervoor dat de waarde uniek is. Als een wachtwoord hardop moet worden voorgelezen, afgedrukt of getypt op een televisie- of routerscherm, overweeg dan om verwarrende tekens uit te sluiten en de lengte te verhogen om het kleinere alfabet te compenseren.

Vergeet ten slotte de grens van wachtwoordadvies niet. Een sterk wachtwoord is één verdedigingslaag, geen garantie. Het kan een phishingpagina niet veilig maken, malware niet repareren of compenseren voor een dienst die inloggegevens slecht opslaat. De nuttige gewoonte is saai maar duurzaam: genereer een unieke waarde, sla deze veilig op, bescherm het herstelpad en vervang deze snel als je vermoedt dat deze is blootgesteld.

Veelgestelde vragen

Is 12 tekens genoeg?

Een willekeurig wachtwoord van 12 tekens kan nuttig zijn voor compatibiliteit, maar 16 of meer is een betere standaard wanneer de dienst dit accepteert.

Wanneer moet ik 20 of 32 tekens gebruiken?

Gebruik 20 of meer voor belangrijke accounts en 32 voor beheer-, versleutelde bestands- of ontwikkelaarsgeheimworkflows die zijn opgeslagen in een wachtwoordmanager.

Kan een wachtwoord te lang zijn?

Sommige diensten leggen maximale lengtes op of wijzen symbolen af. Gebruik de langste unieke willekeurige waarde die de bestemming accepteert.

Bronnen