Wat is crypto.getRandomValues en waarom is het belangrijk?

crypto.getRandomValues is een Web Crypto API ingebouwd in alle moderne browsers. Het produceert cryptografisch beveiligde willekeurige getallen met behulp van de entropie-bron van je besturingssysteem, wat veel superieur is aan Math.random() voor beveiligingsdoeleinden. Alle grote wachtwoordbeheerders gebruiken dezelfde API.

Wat is het verschil tussen een wachtwoord en een passphrase?

Een wachtwoord is een reeks willekeurige tekens (bijv. 'kX9#mZp2'). Een passphrase is een reeks willekeurige woorden (bijv. 'correct-horse-battery-staple'). Passphrases zijn gemakkelijker te onthouden en typen terwijl ze uitstekende beveiliging bieden. Een 4-woords passphrase heeft ongeveer dezelfde entropie als een 10-teken willekeurig wachtwoord.

Hoe wordt de krakcijd berekend?

Krakcijd wordt geschat ervan uitgaande dat een aanvaller 10 miljard gokken per seconde uitvoert (een high-end GPU-cluster). Het totale aantal mogelijke wachtwoorden wordt gedeeld door dit tarief. Een 16-teken gemengd wachtwoord heeft bijvoorbeeld ongeveer 4x10^31 combinaties, wat op 10 miljard gokken per seconde meer dan een biljoen jaar zou duren.

Waarom dubbelzinnige tekens uitsluiten?

Dubbelzinnige tekens zoals 0/O, 1/l/I en 2/Z zien er in veel lettertypen hetzelfde uit, wat verwarring kan veroorzaken bij het handmatig lezen of typen van wachtwoorden. Ze uitsluiten is nuttig wanneer je een wachtwoord moet opschrijven of voordragen. Voor wachtwoorden opgeslagen in een beheerder, neem alle tekens op voor maximale entropie.

Kan ik deze wachtwoordgenerator offline gebruiken?

Ja. Aangezien wachtwoordgenerering volledig in je browser plaatsvindt met JavaScript en de Web Crypto API, werkt het hulpmiddel zonder internetverbinding zodra de pagina is geladen. Geen serveroproepen worden gedaan tijdens wachtwoordgenerering.

Is een 4-cijferige PIN veilig?

Een 4-cijferige PIN heeft slechts 10.000 mogelijke combinaties, wat erg zwak is tegen offlineaanvallen. PINs worden echter meestal gebruikt met vergrendelingsmechanismen (bijv. 3 mislukte pogingen vergrendelt het apparaat), wat ze adequaat maakt voor telefoons en bankkaarten. Voor iets zonder vergrendelingsbeveiliging, gebruik een 6-8 cijferige PIN of een volledig wachtwoord.

Wachtwoordgenerator

Genereer sterke, willekeurige wachtwoorden direct. Volledig client-side — niets verlaat je browser.

100% Client-Side Geen Registratie Direct

Lengte 16

Hoofdletters A–Z

Kleine letters a–z

Nummers 0–9

Symbolen !@#$%^&*()

Sluit dubbelzinnige uit O 0 I l 1 |

Woorden 4

Scheidingsteken

Kapitaliseer woorden Eerste letter hoofdletter

Nummer opnemen Voeg een willekeurig getal tussen woorden toe

Lengte 6

Aantal:

Volledig gegenereerd in je browser met crypto.getRandomValues(). Niets wordt naar een server gestuurd.

Hoe je de Wachtwoordgenerator gebruikt

Kies je modus

Selecteer Willekeurig voor op tekens gebaseerde wachtwoorden, Passphrase voor op woorden gebaseerde wachtwoorden, of PIN voor numerieke codes.

Pas instellingen aan

Stel de gewenste lengte in, zet tekentypen aan of uit, en kies voorinstellingen voor veelgebruikte lengtes.

Kopiëren en gebruiken

Je wachtwoord wordt direct gegenereerd. Klik Kopiëren om het in je klembord op te slaan, of genereer een nieuw wachtwoord.

Wat maakt een sterk wachtwoord?

Volgens NIST SP 800-63B (2024) en CISA-richtlijnen hangt de kracht van een wachtwoord af van drie factoren: lengte, willekeurigheid en uniciteit. De bijgewerkte federale normen hebben verplichte complexiteitsregels (gemengde hoofdletters, speciale tekens) losgelaten ten gunste van langere wachtwoorden, omdat elk extra teken de moeilijkheid van brute-force exponentieel verhoogt.

Hier zijn 5 regels voor het maken van sterke wachtwoorden in 2026:

Maak het lang — minimaal 16 tekens. NIST beveelt nu minstens 15 tekens aan voor enkelvoudige authenticatie (SP 800-63B Rev. 4). Elk extra teken vermenigvuldigt de krakcapaciteit exponentieel.
Maak het willekeurig — Gebruik een wachtwoordgenerator. Mensen zijn slecht in willekeurigheid — we streven naar patronen, woordenboekwoorden en persoonlijke info die aanvallers exploiteren.
Maak het uniek — Eén wachtwoord per account. 94% van de wachtwoorden wordt hergebruikt op meerdere accounts. Wanneer één service wordt gehackt, zijn alle je accounts met dat wachtwoord gecompromitteerd.
Sla de complexiteitstrucs over — “P@$$w0rd!” ziet er complex uit maar is triviaal te kraken. Een willekeurig 20-tekenreeks in kleine letters is veel sterker dan een 8-tekenreeks met geforceerde symbolen.
Gebruik een wachtwoordbeheerder — De enige praktische manier om unieke 16+ teken wachtwoorden voor elk account te handhaven. Een generator maakt de wachtwoorden; een beheerder slaat ze op.

Waarom sterke wachtwoorden belangrijk zijn in 2026

Databreaches zijn niet langer zeldzame gebeurtenissen — ze zijn voortdurend. Alleen in 2024 werden meer dan 1,7 miljard referenties in openbaar gemelde breaches blootgesteld, en het werkelijke aantal is waarschijnlijk veel hoger. Databases als de “RockYou2024” compilatie bevatten bijna 10 miljard unieke wachtwoordinvoeren, waarmee aanvallers een enorm woordenboek hebben voor credential-stuffing-aanvallen.

Het kernprobleem is wachtwoordhergebruik. Wanneer één service wordt gehackt, testen aanvallers automatisch dezelfde email-en-wachtwoordparen tegen duizenden andere sites — banken, e-mailproviders, cloudopslag, sociale media. Een enkel gelekt wachtwoord kan in volledige identiteitsinbreuk uitgroeien als het je primaire e-mail ontgrendelt, wat op zijn beurt elk ander account reset.

Dit is waarom een wachtwoordbeheerder niet langer optioneel is. De gemiddelde persoon heeft 70–100 online accounts. Niemand kan zoveel unieke, high-entropy-wachtwoorden onthouden. Een wachtwoordbeheerder laat je voor elke service een afzonderlijk willekeurig wachtwoord genereren en het direct oproepen. Je onthoud één sterk hoofdwachtwoord; de beheerder doet de rest. In combinatie met twee-factor-authenticatie elimineert deze benadering de overgrote meerderheid van op referenties gebaseerde aanvallen voordat ze beginnen.

Wachtwoordsterkte op lengte

Hoe lang zou het duren om je wachtwoord te kraken? Deze schattingen zijn gebaseerd op 2025-gegevens van Hive Systems, ervan uitgaande dat een moderne GPU-cluster (12× RTX 5090) bcrypt-hashes aanvalt (kostenfactor 10):

Lengte	Alleen nummers	Kleine letters	+ Hoofdletters	Alle tekens	Entropie (alles)
6	Direct	Direct	Direct	1 seconde	39 bits
8	Direct	57 minuten	4 dagen	8 maanden	53 bits
10	Direct	2 jaar	300 jaar	58K jaar	66 bits
12	3 minuten	2.000 jaar	880K jaar	3 miljard jaar	79 bits
14	5 uur	2M jaar	600M jaar	31 biljoen jaar	92 bits
16	21 dagen	477M jaar	380B jaar	30 quadriljoen jaar	105 bits
20	5 jaar	39T jaar	253.000T jaar	Praktisch nooit	131 bits
32	1B jaar	Verder weg dan de warmtedood van het universum			210 bits

Tijden gaan uit van offlinebrute-force tegen bcrypthashen. Online-aanvallen met snelheidsbeperking zijn veel langzamer. Zwakke hashing (MD5, SHA-1) verkort de tijden aanzienlijk.

Wachtwoord versus Passphrase

Een passphrase is een reeks willekeurige, niet-gerelateerde woorden (bijv. “correct-horse-battery-staple”). Hier is hoe ze zich verhouden tot traditionele willekeurige wachtwoorden:

Criteria	Willekeurig wachtwoord	Passphrase
Voorbeeld	`k7#mQ9$xL2!pN4w`	`correct-horse-battery-staple`
Typische lengte	12-20 tekens	20-40 tekens
Entropie (typisch)	79-131 bits	52-108 bits (4-7 woorden)
Geheugenwaarde	Onmogelijk zonder een beheerder	Gemiddeld — mentale beelden helpen
Typemak	Laag — gemengde symbolen	Hoog — normale woorden
Beste voor	Website-accounts (opgeslagen in beheerder)	Hoofdwachtwoorden, apparaatversleuteling
NIST conform	Ja (bij 15+ tekens)	Ja (bij 15+ tekens)

Belangrijkste inzicht: Passphrases ruilen entropiedichtheid in voor geheugenwaarde. Een 5-woords willekeurige passphrase (~86 bits) is gemakkelijker te onthouden dan een 12-teken willekeurig wachtwoord (~79 bits) terwijl het veiliger is. Voor maximale beveiliging, gebruik willekeurige wachtwoorden opgeslagen in een wachtwoordbeheerder.

Veelgemaakte wachtwoordfouten

Volgens NordPass's 2025-analyse van dark web-gegevens zijn de 10 meest voorkomende wachtwoorden:

#	Wachtwoord	Voorkomen	Tijd tot kraken
1	`123456`	179,9M	Direct
2	`123456789`	67,4M	Direct
3	`12345678`	63,9M	Direct
4	`password`	46,6M	Direct
5	`12345`	28,3M	Direct
6	`qwerty`	22,0M	Direct
7	`1234567`	16,3M	Direct
8	`1234567890`	15,8M	Direct
9	`111111`	12,2M	Direct
10	`qwerty123`	12,0M	Direct

Elk van deze wordt direct gekraakt. De top 5 wachtwoordfouten die mensen maken:

Wachtwoorden hergebruiken — 80-85% van de mensen hergebruikt wachtwoorden op meerdere sites. Eén breach gecompromiteerd al je accounts.
Persoonlijke informatie gebruiken — Namen, verjaardagen, huisdieren en adressen zijn gemakkelijk te vinden op sociale media en openbare registraties.
Toetsenbordpatronen — “qwerty,” “asdf,” en “zxcv” zijn onder de eerste combinaties die aanvallers proberen.
Eenvoudige vervangingen — Vervang “a” met “@” of “e” met “3” (leet speak) is goed bekend bij crackers en voegt verwaarloosbare beveiliging toe.
Incrementele wijzigingen — Verander “Password1” naar “Password2” wanneer gedwongen tot rotatie. NIST raadt nu expliciet af tegen verplichte wachtwoordrotatie.

Veelgestelde vragen

Is deze wachtwoordgenerator veilig om te gebruiken?

Ja. Deze generator werkt volledig in je browser met JavaScript. Wachtwoorden worden nooit naar een server gestuurd. Het gebruikt crypto.getRandomValues(), de ingebouwde cryptografisch beveiligde willekeurigheidsgebruiker van de browser — dezelfde API die wordt gebruikt door wachtwoordbeheerders als Bitwarden en 1Password.

Wat maakt een wachtwoord sterk?

Een sterk wachtwoord heeft drie eigenschappen: lengte (minimaal 16 tekens, per CISA-aanbevelingen), willekeurigheid (geen woordenboekwoorden, namen, datums of patronen), en uniciteit (nooit hergebruikt op accounts). NIST heeft verplichte speciale-tekenvereisten losgelaten ten gunste van lengte, omdat elk extra teken de brute-force-moeilijkheid exponentieel verhoogt.

Hoe lang moet mijn wachtwoord zijn?

NIST beveelt nu minstens 15 tekens aan voor enkelvoudige authenticatie (SP 800-63B Rev. 4). CISA beveelt 16 of meer tekens aan. Voor multi-factor-authenticatie is 8 tekens het minimum. De sweet spot voor de meeste gebruikers is 16-20 tekens — lang genoeg om decennia veilig te zijn, beheersbaar met een wachtwoordbeheerder.

Wat is een passphrase en is het beter dan een wachtwoord?

Een passphrase is een reeks van 4-7 willekeurige, niet-gerelateerde woorden (bijv. “correct-horse-battery-staple”). Een 5-woords willekeurige passphrase heeft ongeveer 86 bits entropie — sterker dan een 12-teken complex wachtwoord (~79 bits) — terwijl het gemakkelijker te onthouden is. Passphrases zijn ideaal voor hoofdwachtwoorden waar je uit het geheugen moet typen. Voor website-accounts, willekeurig karakterwachtwoorden opgeslagen in een wachtwoordbeheerder zijn even veilig en praktischer.

Hoe vaak moet ik mijn wachtwoorden wijzigen?

NIST beveelt niet langer routine wachtwoordwijzigingen aan. De bijgewerkte 2024-richtlijnen stellen expliciet dat organisaties periodieke wachtwoordrotatie “niet mogen” vereisen tenzij er bewijs van inbreuk is. Geforceerde wijzigingen leidden tot voorspelbare patronen. Wijzig je wachtwoord alleen als je vermoedt dat het is gecompromitteerd, een service meldt een databreaches, of je hebt het wachtwoord gedeeld en wilt de toegang intrekken.

Wat is wachtwoordentropie?

Entropie meet wachtwoordonvoorspelbaarheid in bits. De formule is E = log2(R^L), waarbij R de karakterpoolgrootte is en L de wachtwoordlengte. Elk bit verdubbelt het aantal mogelijke combinaties. Onder de 35 bits is zwak (gekraakt in minuten), 60-75 bits is sterk, 75-100 is zeer sterk, en 100+ bits is uitstekend. Een 16-teken wachtwoord met alle tekentypen heeft ongeveer 105 bits entropie.

Wat is twee-factor-authenticatie (2FA)?

Twee-factor-authenticatie vereist een tweede verificatiestap voorbij je wachtwoord — meestal een code van een authenticator-app, SMS, of een hardwarezekerheidssleutel. Zelfs als je wachtwoord wordt gestolen, kan de aanvaller je account niet openen zonder de tweede factor. Authenticator-apps (Google Authenticator, Authy) zijn veiliger dan SMS, en hardwaresleutels (YubiKey) zijn de veiligste optie. Schakel 2FA in voor e-mail, bankwezen en sociale media op zijn minst.

Hoe worden wachtwoorden gekraakt?

Aanvallers gebruiken verschillende methoden: Brute force probeert elke combinatie (snel voor korte wachtwoorden, impractisch voor 16+ tekens). Woordenboek-aanvallen proberen veelgebruikte woorden, namen en gelekte wachtwoorden. Credential stuffing gebruikt gestolen gebruikersnaam-wachtwoordparen van één breach om in te loggen op andere sites. Regenboogtabellen gebruiken voorberekende hash-lookups voor offlinekraken. Phishing bedriegt je om referenties op valse sites in te voeren. Een willekeurig 16-teken wachtwoord verslaat brute force en woordenboek-aanvallen; unieke wachtwoorden verslaan credential stuffing.

Moet ik een wachtwoordbeheerder gebruiken?

Ja. CISA, NIST en elke grote beveiligingsorganisatie beveelt het gebruik van een wachtwoordbeheerder aan. Het genereert, slaat op en auto-vult sterke unieke wachtwoorden voor elk account — je hoeft maar één hoofdwachtwoord te onthouden. Dit elimineert wachtwoordhergebruik, de nummer één oorzaak van accountovernamen. Een wachtwoordgenerator (zoals dit hulpmiddel) maakt de wachtwoorden; een beheerder slaat ze op. Populaire opties zijn Bitwarden (gratis/open-source), 1Password en Dashlane.

Is dit hulpmiddel echt gratis?

Ja, volledig gratis zonder limieten. Geen registratie, geen account vereist, geen beperkingen op hoeveel wachtwoorden je kunt genereren. Het hulpmiddel werkt in je browser zonder serverinteractie. Gebruik het zoveel als je nodig hebt.