Wachtwoorden: de basis van je security - maar dan écht goed geregeld

Iedereen weet het: een wachtwoord is de basis van je digitale beveiliging. Toch zien we in de praktijk dat juist deze fundering vaak wankel is. Zwakke wachtwoorden, te lange rotatieperiodes, shadow IT, gedeelde accounts, het gebeurt in bijna elke organisatie. En hoewel medewerkers met de beste intenties werken, vormt menselijk gedrag nog altijd het grootste risico. Voor IT-managers en CISO’s is de vraag daarom niet “hebben we een wachtwoordbeleid?” maar “is ons wachtwoordbeleid technisch goed geborgd, toekomstbestendig én waterdicht ingericht in onze Microsoft-tenant?”.
In dit blog zoomen we in op de technische kant: hoe zet je een sterk wachtwoordbeleid op en hoe implementeer je dit binnen Microsoft 365.

Waarom een technisch onderbouwd wachtwoordbeleid essentieel is

Wachtwoorden zijn nog steeds een geliefd doelwit voor aanvallers. Denk aan brute-force, credential stuffing, phishing en password spraying. De meeste aanvallen slagen niet omdat hackers briljant zijn, maar omdat wachtwoorden zwak, voorspelbaar of hergebruikt zijn.

Een goed wachtwoordbeleid lost dat niet alleen organisatorisch op (“gebruik sterke wachtwoorden”), maar vooral technisch. Het beleid moet worden afgedwongen, gecontroleerd en continu worden gemonitord in je tenant. Anders is het een papieren realiteit.

Wat is een modern wachtwoordbeleid?

Een modern wachtwoordbeleid focust niet meer primair op complexiteit en rotatie. Microsoft en NCSC adviseren al jaren: lange wachtwoorden en geen verplichte wissels, tenzij er een datalek is. Daarnaast moet een beleid integreren met het bredere securitymodel van de organisatie: MFA, Identity Protection, Conditional Access en Zero Trust.

Een sterk wachtwoordbeleid voldoet minimaal aan deze pijlers:

• Sterke wachtwoordlengte (12–14 tekens of meer)
• Verbod op zwakke en gelekte wachtwoorden
• Geen verplichte wisselfrequentie, wél detectie van risico’s
• MFA standaard verplicht
• Technische handhaving in de Microsoft-tenant
• Monitoring op risico’s en afwijkingen

Technisch wachtwoordbeleid in Microsoft: hoe richt je het goed in?

1. Password Protection (Azure AD / Entra ID)

Microsoft biedt krachtige mogelijkheden om slechte wachtwoorden te blokkeren.
Met Microsoft Entra Password Protection:

• Voorkom je het gebruik van veelvoorkomende wachtwoorden (global banned password list).
• Maak je een eigen custom banned password list die past bij je organisatie (denk aan bedrijfsnaam-gerelateerde varianten).
• Zorg je dat regels ook gelden voor on-premises Active Directory.

Dit is één van de meest onderschatte maar effectieve maatregelen.

2. Wachtwoordbeleid instellen (Password Policies)

Binnen Microsoft 365 kun je technisch afdwingen:

• Minimale lengte (minimaal 12 tekens)
• Maximaal aantal mislukte pogingen
• Lockout-duration
• Self-service password reset (SSPR)

Met name SSPR is essentieel: het reduceert servicedeskbelasting én voorkomt dat gebruikers onveilige ‘workarounds’ kiezen.

3. MFA: verplicht, geen discussie

Een sterk wachtwoordbeleid kan nooit zonder MFA.
In Microsoft stellen wij MFA altijd in via:

• Security Defaults (kleine organisaties)
• Of, veel krachtiger: Conditional Access policies.

Hiermee kun je afdwingen dat MFA vereist is bij:

• Alle gebruikers
• Specifieke apps
• Risicovol gedrag (risk-based conditional access)
• Activiteit vanaf onbekende locaties of devices

4. Identity Protection

Voor organisaties met een CISO is dit bijna verplicht.
Met Microsoft Entra ID Identity Protection:

• Spoor je gelekte credentials op
• Detecteer je riskante gebruikers en sessies
• Automatiseer je acties (bijv. “password reset required”)

Identity Protection tilt je wachtwoordbeleid naar een hoger volwassenheidsniveau: niet alleen regels, maar actieve risicoanalyse.

5. Passwordless als einddoel

Een modern wachtwoordbeleid is eigenlijk de route naar minder wachtwoorden.
We zien veel organisaties overstappen op:

• Windows Hello for Business
• Authenticator App (passwordless)
• FIDO2 keys

Passwordless is toekomstbestendig, gebruiksvriendelijk en drastisch veiliger. Voor veel organisaties is dit dé route in 2025–2026.

Zet YourSecurity kijkt met je mee

Een modern wachtwoordbeleid is geen eenmalig project. Het is een doorlopend proces dat evolueert met nieuwe risico’s, nieuwe Microsoft-opties en veranderend gebruikersgedrag. Veel organisaties hebben wel een beleid, maar missen de tijd of capaciteit om dit structureel te beheren en te optimaliseren. Daarom hebben we YourSecurity: onze volledig beheerde securitydienst. We kijken mee in je omgeving, monitoren risico’s, helpen bij beleid, ondersteunen bij inrichting én grijpen in wanneer dat nodig is. Van Conditional Access tot Identity Protection, van wachtwoordbeleid tot tenant-hardening.  Zodat jij als IT-manager of CISO zeker weet:
onze securitybasis is goed en blijft goed.