Wachtwoordentropie Uitgelegd — En Waarom Je "Complexe" Wachtwoord Zwakker Is Dan Een Passphrase
Entropie is de enige eerlijke maat voor wachtwoordsterkte. Hier lees je hoe het wordt berekend, hoe lang aanvallers nodig hebben om verschillende niveaus te kraken, en waarom vier willekeurige woorden vaak beter presteren dan een 12-karakters "P@ssw0rd!".
"Maak je wachtwoord complex" is waardeloos advies. Het zegt je om een symbool en een cijfer toe te voegen alsof dat het wachtwoord veilig maakt. Dat doet het niet. De enige eerlijke maat voor wachtwoordsterkte is entropie, en de meeste "complexe" wachtwoorden scoren er veel slechter op dan je denkt.
Wat Entropie Werkelijk Meet
Entropie is het aantal bits willekeurigheid in je wachtwoord — met andere woorden, hoeveel gokken een aanvaller gemiddeld nodig heeft om het via brute force te kraken. Het wordt berekend als lengte × log₂(poolgrootte).
Voorbeeld: een 10-karakters wachtwoord met alleen kleine letters (pool = 26) heeft entropie 10 × log₂(26) ≈ 47 bits. Een 10-karakters wachtwoord met kleine letters, hoofdletters, cijfers en symbolen (pool = 88) heeft 10 × log₂(88) ≈ 64,6 bits. Dezelfde lengte, maar de grotere pool maakt elk karakter harder werken.
Hoeveel Bits Is "Veilig"?
Ruwe moderne drempels (aangenomen dat het wachtwoord goed wordt gehashed en een databaselek overleeft — als de site bcrypt of argon2 gebruikt, wat zou moeten):
- Under 40 bits: kan in minuten worden gekraakt door één GPU.
- 40–60 bits: kan in uren tot weken worden gekraakt door een serieuze aanvaller met een GPU-farm.
- 60–80 bits: veilig tegen huidige offline brute force. Goed doel voor individuele accounts.
- 80–100 bits: bestand tegen elke huidige tegenstander, inclusief natiestaten, gedurende de levensduur van huidige hardware.
- 100+ bits: overbodig voor elk realistisch dreigingsmodel.
Streef naar 80 bits voor alles dat geld, identiteit of infrastructuur beschermt. Streef naar 100+ voor het hoofdwachtwoord van je wachtwoordmanager.
De "Complexe" Wachtwoordval
Gebruikers die worden gevraagd een "complex" wachtwoord te maken, kiezen voorspelbare patronen: de eerste letter kapitaliseren, een cijfer aan het einde toevoegen, a vervangen door @. Password1! is 10 karakters en ziet er voor een mens complex uit. Voor een aanvaller is het één gok — het staat in elk gelekt-wachtwoordenwoordenboek.
De werkelijke entropie van door gebruikers gekozen wachtwoorden is dramatisch lager dan hun poolgrootte suggereert, omdat mensen niet goed zijn in willekeur. Studies plaatsen het consistent rond 20–30 bits, ongeacht de beweerde complexiteit.
Waarom Passphrases Winnen
Een passphrase bestaat uit 4–7 willekeurige woorden samengevoegd met streepjes: tuin-rivier-potlood-sterk-zonsondergang-brug. Zes willekeurige woorden uit een lijst van 512 woorden hebben 6 × log₂(512) = 54 bits entropie — meer dan de meeste mensen bereiken met hun "complexe" wachtwoord, en veel gemakkelijker om te onthouden.
Schaal naar zeven woorden en je bereikt 63 bits. Acht woorden uit een lijst van 7776 woorden (Diceware) geeft 103 bits. En dit alles terwijl het gemakkelijk in te typen is, gemakkelijk te onthouden is, en bestand is tegen de meeste woordenboeksaanvallen (omdat de combinatie willekeurig is, zelfs als elk woord gewoon is).
Uitsprekbare Wachtwoorden: De Gouden Middenweg
Voor situaties waarin een wachtwoord via de telefoon moet worden uitgesproken, gebruiken uitsprekbare wachtwoorden afwisselende medeklinkers en klinkers: baketomiloguno. Elke lettergreep (medeklinker + klinker) heeft log₂(21 × 5) ≈ 6,7 bits entropie, dus zes lettergrepen geeft ~40 bits.
Zwakker dan passphrases maar sterker dan typische door mensen gekozen wachtwoorden, en kritiek gemakkelijker om hardop voor te lezen zonder "was dat een O of een nul?" te vragen.
Veilige Wachtwoorden Genereren
Vertrouw niet op menselijke willekeur. Gebruik een tool. De aukimi Wachtwoordgenerator biedt drie modi — willekeurig, passphrase en uitsprekbaar — met een live-entropiemeter zodat je precies kunt zien hoe sterk je output is. Het gebruikt crypto.getRandomValues (de cryptografisch veilige willekeurige bron van de browser) en past rejection sampling toe om modulo-bias uit te sluiten.
Kritiek: generering gebeurt volledig in je browser. Niets wordt verzonden, gelogd of opgeslagen. Open je devtools-networktab terwijl je genereert — je zult nul verzoeken de pagina verlaten zien.
De Ene Regel
Gebruik een wachtwoordmanager. Genereer een lang willekeurig wachtwoord voor elke site (je wachtwoordmanager vergeet het nooit, dus lengte maakt niets uit voor bruikbaarheid). Gebruik een passphrase als het hoofdwachtwoord van je wachtwoordmanager — dit is degene die je moet onthouden.
Al het andere is optimalisatie. Zorg dat je dit ene patroon goed doet en je bent verder dan 95% van de gebruikers.
Heeft dit artikel je geholpen?
Gerelateerde Artikelen
De creatieve stack is zojuist ingestort: één week AI-tools, eind april 2026
Tussen 27 april en 4 mei 2026 hebben Adobe, Luma, Novi, fal, Figma, Canva, HeyGen en Anthropic allemaal dezelfde drempel overschreden in acht dagen. Dit is wat er uitkwam, wat het betekent, en waar het browsergebaseerde creatieve suites laat die alles proberen in te passen.
AI-muziek en SFX in 2026: Wat werkt echt in indie game audio
Drie jaar geleden betekende indie game audio ofwel royaltyvrije libraries licenseren (goedkoop, generiek, elk spel klinkt hetzelfde) ofwel een componist inhuren (goed, duur). In 2026 genereert AI scores die je kunt uitbrengen. Hier staat welke tools daadwerkelijk werken — en waar een menselijke componist nog steeds wint.
AI Mesh-generering in 2026: Wat verscheept werkelijk in Game Pipelines
Image-to-3D ging van "enge demo" naar "verzonden in indie-projecten" in achttien maanden. Dit is wat Tripo, Meshy, Rodin en Hyper3D werkelijk doen in productie — en waar de 3D-kunstenaar nog steeds elke keer wint.