Wachtwoordlengte vs wachtwoordcomplexiteit: wat telt echt meer

Wanneer mensen aan een sterk wachtwoord denken, denken ze vaak eerst aan complexiteit: een symbool, een hoofdletter, misschien een cijfer in plaats van een klinker. Dat voelt veilig omdat het wachtwoord rommelig oogt voor een mens. Maar een aanvaller kijkt niet naar hoe slim een wachtwoord eruitziet. Die kijkt naar de grootte van de zoekruimte, hoe voorspelbaar de structuur is en of hetzelfde geheim ergens anders terugkomt.

Daarom verdient lengte in de meeste gevallen meer prioriteit dan decoratieve complexiteit. Een langer wachtwoord vergroot het aantal mogelijkheden veel sneller dan een kort wachtwoord met een paar speciale tekens. Als het daarnaast ook willekeurig en uniek per dienst is, wordt het voordeel nog groter.

Dat betekent niet dat complexiteit nutteloos is. Het betekent alleen dat het later komt. Zodra een wachtwoord al lang genoeg is en goed is gegenereerd, helpt variatie in tekens. Maar als de basis zwak blijft, redt complexiteit alleen het wachtwoord niet.

Complexiteit is makkelijk uit te leggen en makkelijk te controleren. Oude wachtwoordregels hebben gebruikers geleerd om in checklists te denken: een hoofdletter, een kleine letter, een cijfer en een symbool. Zulke regels zijn eenvoudig te auditen, maar ze duwen gebruikers ook in voorspelbare patronen. De gebruiker voldoet aan de eis en houdt het wachtwoord tegelijk kort en onthoudbaar.

Zo ontstaan wachtwoorden die complex lijken maar nog steeds menselijke gewoontes volgen. Een uitroepteken achter een bekend woord zetten is geen echte willekeur. `a` vervangen door `@` of `o` door `0` is ook geen echte onvoorspelbaarheid. Het zijn juist de patronen die een aanvaller als eerste verwacht.

Met andere woorden: complexiteit is makkelijk te faken. Lengte veel minder. Zodra een wachtwoord echt merkbaar langer wordt, vooral wanneer het is gegenereerd in plaats van bedacht, verandert het probleem voor de aanvaller veel sterker.

Elk extra teken vergroot de zoekruimte. Dat klinkt abstract, maar het praktische effect is eenvoudig: langere wachtwoorden zijn moeilijker te brute-forcen en moeilijker te raden wanneer ze niet uit herkenbare stukjes zijn opgebouwd. Zelfs zonder precieze wiskunde is de richting duidelijk. Een sterk wachtwoord van 16 tot 20 tekens is een veel lastiger doelwit dan een wachtwoord van 8 tekens met wat symbolen eromheen.

Lengte past bovendien goed bij moderne workflows. Als je een wachtwoordgenerator en een wachtwoordmanager gebruikt, dalen de gebruikskosten van extra tekens sterk. Je hoeft niet elk teken zelf te onthouden, dus je kunt veiligere standaarden kiezen zonder van inloggen een geheugentest te maken.

Daarom is lengte meestal de eerste instelling die het waard is om te verhogen in een wachtwoordgenerator. Als je maar een ding verandert, maak het wachtwoord dan langer voordat je verdwaalt in handmatige complexiteitsregels.

Complexiteit telt nog steeds mee, alleen niet in de volgorde die veel gebruikers verwachten. Als twee wachtwoorden even lang en even willekeurig zijn, kan het wachtwoord met een bredere tekenset meer weerstand bieden. Variatie is nuttig wanneer het een sterke basis ondersteunt, niet wanneer het die probeert te vervangen.

Het belangrijke verschil is dat tussen echte en cosmetische complexiteit. Echte complexiteit komt voort uit echte willekeur over voldoende lengte. Cosmetische complexiteit ontstaat wanneer je een onthoudbaar patroon net genoeg versiert om door een policy te komen.

De juiste conclusie is dus niet dat je complexiteit moet negeren. Het punt is dat je het niet als hoofdhefboom moet behandelen. In de meeste praktische setups blijft de betere volgorde: eerst lengte, daarna willekeur, uniciteit altijd, en complexiteit als ondersteuning.

Veel wachtwoordadvies gaat mis omdat het onrealistische voorbeelden vergelijkt. Een perfect complex kort wachtwoord wordt afgezet tegen een slordig lang wachtwoord, of een handgemaakte passphrase tegen echte generatoroutput. Echte gebruikers maken meestal andere afwegingen.

Neem een bekend patroon als `P@ssw0rd!23`. Het combineert meerdere tekensoorten, maar verraadt nog steeds een bekend basiswoord en een heel menselijke structuur. Vergelijk dat met een gegenereerd wachtwoord van 18 tekens uit een betrouwbare wachtwoordmanager. Die tweede optie is in de praktijk meestal veel sterker, juist omdat hij niet probeert onthoudbaar te zijn.

De echte les is dus dat je realistische workflows moet vergelijken. Een lang gegenereerd wachtwoord met goede opslag verslaat voor de meeste dagelijkse accounts bijna altijd een kort handmatig geoptimaliseerd wachtwoord.

Een beveiligingsregel die mensen niet consequent kunnen volgen, blijft zelden lang sterk. Hier falen veel complexiteit-eerst beleidsregels. Ze dwingen gebruikers om onhandige wachtwoorden met de hand te verzinnen, wat leidt tot hergebruik, onveilige notities, voorspelbare vervangingen of voortdurende resets.

Lengte wordt veel makkelijker zodra je de geheugendruk wegneemt. Een generator kan in seconden een lang wachtwoord maken, en een manager kan het direct opslaan. Die workflow is zowel veiliger als praktischer dan mensen vragen om tientallen korte complexe tekenreeksen zelf te bedenken.

Daarom is uniciteit ook zo belangrijk. Een lang wachtwoord verliest strategische waarde wanneer het overal wordt hergebruikt. Echte veiligheid komt uit een herhaalbaar proces: genereren, opslaan, uniek houden en belangrijke accounts versterken met MFA.

Primair e-mailverkeer, bankzaken, werkaccounts, admin-toegang en herstelgerelateerde accounts verdienen je sterkste standaarden, omdat een lek daar gemakkelijk kan doorwerken naar veel andere diensten. Voor die accounts zouden lange gegenereerde wachtwoorden en MFA normaal moeten zijn.

Ook minder belangrijke accounts hebben unieke wachtwoorden nodig, zelfs als je daar niet altijd de allerlangste instelling kiest. De schade van een klein account is vaak indirect. Hergebruikte inloggegevens uit een kleiner lek kunnen later alsnog belangrijkere accounts openen.

De praktische vraag is dus niet of lengte of complexiteit in theorie wint. De echte vraag is welk wachtwoordbeleid je herhaalbaar kunt toepassen over verschillende accounttypen heen. In de meeste gevallen blijft het antwoord: eerst lengte en uniciteit.

Als je een eenvoudige regel wilt die je steeds opnieuw kunt gebruiken, maak er dan deze van: kies eerst voldoende lengte, genereer in plaats van zelf te bedenken wanneer dat kan, houd elk wachtwoord uniek en voeg MFA toe op belangrijke accounts. Als die onderdelen staan, wordt complexiteit een nuttige bonus in plaats van een breekbare kruk.

Die regel is veel realistischer dan obsessief tellen of een wachtwoord wel genoeg symbolen of hoofdletters heeft. Hij past beter bij hoe moderne wachtwoordtools echt werken en verkleint de verleiding om memorabele maar voorspelbare patronen te bouwen.

Kort gezegd: lengte telt meestal meer omdat het de structuur van het probleem verandert. Complexiteit telt ook, maar vooral nadat de belangrijkere problemen al zijn opgelost.