Een wachtwoordgenerator helpt alleen als je het juiste type geheim voor de klus kiest. Dat is waar veel mensen vastlopen. Ze weten dat ze iets sterkers willen, maar zijn er niet zeker van of ze een willekeurig wachtwoord, een memorabele wachtwoordzin of een numerieke PIN moeten genereren.

De makkelijkste manier om te beslissen is door te stoppen met de vraag welke optie in het algemeen het sterkst is. Vraag jezelf af welke optie past bij de inlogcontext. Een website-account, een dagelijkse mobiele aanmelding en het ontgrendelen van een lokaal apparaat creëren niet allemaal hetzelfde soort risico.

Als je snel wilt kiezen, is de homepage random wachtwoord modus de beste standaard voor de meeste accountaanmeldingen, terwijl de memorabele wachtwoordzin-modus en de PIN-generator op de homepage logischer zijn in specifiekere gevallen. De sleutel is weten waar elk thuishoort.

Waarom één generatormodus niet bij elke aanmelding past

Een sterk inloggeheim draait niet alleen om pure complexiteit. Het gaat ook om waar je het gebruikt en hoe vaak je het moet typen. Het hangt er ook vanaf of er een wachtwoordmanager bij betrokken is en of het geheim een extern account beschermt of alleen een lokaal apparaat ontgrendelt.

Daarom biedt de site drie modi in plaats van één. Willekeurig (Random), Memorabel en PIN zijn geen cosmetische keuzes. Ze lossen verschillende frictiepunten op terwijl het kerndoel hetzelfde blijft: iets unieks genereren in plaats van een oud, zwak inloggegeven hergebruiken.

Wanneer een willekeurig wachtwoord de sterkste standaard is

Het beste voor accountaanmeldingen die je in een manager opslaat

Voor de meeste website- en app-accounts is een willekeurig wachtwoord nog steeds de sterkste standaard. Het is moeilijk te voorspellen, makkelijk uniek te maken en je hoeft niet op je geheugen te vertrouwen als je het correct opslaat.

Dat past bij de huidige standaarden. NIST SP 800-63B stelt dat wachtwoorden die als single-factor authenticatiegeheim worden gebruikt, minimaal 15 tekens lang moeten zijn. Dat is een reden waarom een generator zo nuttig is voor opgeslagen aanmeldingen: het maakt lange, unieke reeksen makkelijk te creëren zonder dat je ze zelf hoeft te bedenken.

Waar willekeurige reeksen meer frictie dan waarde creëren

Willekeurige reeksen worden minder handig wanneer je ze vaak moet typen op een telefoon, tablet, tv-afstandsbediening of een ander onhandig invoeroppervlak. In die gevallen kan de theoretisch sterkste reeks mensen aanzetten tot onveilig gedrag, zoals het opslaan van wachtwoorden in eenvoudige notities of het later hergebruiken van makkelijkere wachtwoorden.

Dat betekent niet dat willekeurige wachtwoorden fout zijn. Het betekent dat ze het beste werken wanneer de aanmelding wordt gecombineerd met een wachtwoordmanager of een andere betrouwbare manier om ze op te slaan en automatisch in te vullen.

Wanneer een memorabele wachtwoordzin het betere compromis is

Goed voor aanmeldingen die je daadwerkelijk vaak moet typen

Een memorabele wachtwoordzin kan het betere compromis zijn wanneer je een geheim nodig hebt dat je regelmatig invoert en niet altijd op automatisch invullen kunt vertrouwen. Een lange zin gemaakt van ongerelateerde woorden is vaak makkelijker te typen en minder verleidelijk om op de verkeerde plek op te schrijven.

NIST ondersteunt hier ook langere, flexibelere geheimen. Dezelfde NIST-richtlijn stelt dat verificateurs alle afdrukbare ASCII-tekens plus het spatiekarakter moeten accepteren. Het stelt ook dat ze een maximale lengte van minimaal 64 tekens moeten toestaan. Dat maakt ruimte voor lange wachtwoordzinnen in plaats van gebruikers te dwingen tot korte, moeilijk te onthouden reeksen.

Waar wachtwoordzinnen nog steeds extra voorzichtigheid vereisen

Een wachtwoordzin is niet automatisch sterk alleen omdat deze woorden gebruikt. Het moet nog steeds lang genoeg, ongebruikelijk genoeg en uniek voor dat account zijn. Een beroemd citaat, songtekst of zin die je al ergens anders gebruikt, is geen goede vervanging voor een echt vers geheim.

Dit is waar de Memorabele modus van de site helpt. Het geeft je een manier om iets te genereren dat makkelijker te onthouden is zonder terug te vallen op persoonlijke patronen, hergebruikte favoriete zinnen of voorspelbare vervangingen.

Wanneer een PIN thuishoort op een apparaat en niet op een website

Nuttig voor contexten waarin een lokaal apparaat wordt ontgrendeld

Een numerieke PIN past bij lokale ontgrendelingscontexten zoals telefoons of tablets met pogingslimieten. Dat is heel anders dan het gebruik van een kort numeriek geheim als het hoofdwachtwoord voor een online account.

NIST trekt die grens duidelijk. In haar richtlijnen voor activeringsgeheimen stelt NIST dat PIN-achtige geheimen voor lokale apparaten minimaal 4 tekens lang moeten zijn. Het stelt ook dat ze minimaal 6 tekens lang zouden moeten zijn. Dat is een nuttige graadmeter voor het denken over het ontgrendelen van apparaten, geen reden om een echt accountwachtwoord te vervangen door een korte PIN.

Waarom een PIN geen sterk accountwachtwoord mag vervangen

Een wachtwoord voor een website beschermt meestal een extern account dat blootgesteld kan worden aan credential stuffing, aanvallen met wachtwoordhergebruik en bredere gevolgen van datalekken. Een korte numerieke PIN is in die context veel makkelijker te raden en veel minder flexibel dan een volledig wachtwoord of wachtwoordzin.

Daarom moet de PIN-modus van de site worden behandeld als een specifieke optie, niet als het universele antwoord. Het past bij bepaalde behoeften voor lokale ontgrendeling. Het vervangt geen sterk accountgeheim voor e-mail, werktools, bankieren of andere hoogwaardige aanmeldingen.

Hoe je snel de juiste modus kiest op de homepage

Stem de modus af op het type aanmelding voordat je op Genereren klikt

Een snelle beslissingsregel helpt. Als het geheim voor een normaal online account is en je het in een manager gaat opslaan, kies dan Willekeurig. Als je het vaak moet typen en iets nodig hebt dat mensvriendelijker is, kies dan Memorabel. Als het geheim voor de context van het ontgrendelen van een lokaal apparaat is, kies dan PIN.

Dat houdt de beslissing simpel zonder deze onzorgvuldig te maken. Je kiest niet een favoriet formaat. Je kiest het formaat met het minste risico voor de exacte taak.

Kopieer het, sla het op en vermijd hergebruik op korte termijn

Genereren is slechts de eerste stap. Gewoontes rondom opslag en hergebruik zijn daarna net zo belangrijk. Als een wachtwoord sterk is maar op meerdere sites wordt hergebruikt, kan één datalek de schade alsnog verspreiden.

De wachtwoordrichtlijnen van de FTC raden aan om voor elk account lange, unieke wachtwoorden te gebruiken, omdat wachtwoordhergebruik meerdere accounts kan blootstellen wanneer één site wordt gehackt. Daarom is de veiligste workflow niet alleen genereren en kopiëren. Het is genereren, correct opslaan en doorgaan naar het volgende account met een vers geheim.

Wat je vervolgens moet doen voordat je een nieuw geheim genereert

Begin met het benoemen van de inlogcontext. Is dit een extern account, een veel getypte aanmelding of het ontgrendelen van een lokaal apparaat? Zodra dat antwoord duidelijk is, wordt de juiste modus meestal vanzelfsprekend.

Genereer daarna één keer, kopieer zorgvuldig en sla het op de juiste plek op. Het doel is niet om de meest intimiderende reeks mogelijk te creëren. Het doel is om een geheim te creëren dat sterk genoeg is voor het risico en bruikbaar genoeg is zodat je het later niet hoeft te omzeilen.

Dat is het echte voordeel van Willekeurig, Memorabel en PIN op één plek hebben. Je kunt de generatormodus aanpassen aan het probleem in plaats van één formaat in elke beveiligingssituatie te forceren.