Hoe moeten wachtwoorden veilig worden opgeslagen en beheerd?

Question

Accepted Answer

Wachtwoorden moeten veilig worden opgeslagen — **nooit in plaintext**, maar **gehasht** met een sterk, traag, gezout wachtwoord-hashalgoritme (bcrypt, Argon2, scrypt). Correct wachtwoordbeheer is kritisch omdat wachtwoordlekken uiterst schadelijk en veel voorkomend zijn.

## Nooit plaintext opslaan; juist hashen

```text
❌ NEVER store passwords in plaintext (a breach exposes all passwords directly)
❌ Don't use fast/general hashes (MD5, SHA-256) alone — too fast → easily brute-forced
✅ HASH with a dedicated PASSWORD HASHING algorithm: BCRYPT, ARGON2, or scrypt:
  → SLOW by design (resistant to brute-force/GPU cracking)
  → SALTED (a unique random salt per password) → prevents rainbow-table attacks and
    identical passwords hashing the same
```

```js
// hashing with bcrypt (handles salting automatically)
const hash = await bcrypt.hash(password, 12);   // store the hash (with salt + cost)
// verifying at login
const valid = await bcrypt.compare(inputPassword, storedHash);   // compare securely
```

## Waarom deze algoritmes

```text
SALT → unique random value per password → identical passwords get DIFFERENT hashes;
  defeats precomputed (rainbow table) attacks
SLOW (work factor) → deliberately expensive to compute → brute-forcing millions of
  guesses becomes impractical (tunable cost factor as hardware improves)
→ bcrypt/Argon2/scrypt are designed for passwords; general hashes (SHA) are NOT.
```

## Ander wachtwoordpraktijken

```text
✓ Enforce reasonable strength (length over complexity); check against breached-password lists
✓ MULTI-FACTOR authentication (MFA) → strong protection even if a password leaks
✓ HTTPS for transmission; rate-limit / lock out brute-force login attempts
✓ Secure password RESET (time-limited tokens); never email passwords; never log them
```

## Waarom het belangrijk is

Het begrijpen van veilige wachtwoordopslag en -beheer is essentieel omdat **wachtwoordlekken extreem veel voorkomen en schadelijk zijn**, en onjuiste wachtwoordopslag een ernstige, veelvoorkomende kwetsbaarheid is, dus het is onmisbare beveiligingskennis.

De fundamentele regels zijn kritisch: **bewaar wachtwoorden nooit in plaintext** (een lek zou elk wachtwoord van de gebruiker direct blootstellen — catastrofaal), en **vertrouw niet op snelle algemene hashes** (MD5, SHA-256) die te snel zijn en gemakkelijk bruteforce-aanvallen ondergaan.

Hashen in plaats daarvan **met toegewezen wachtwoord-hashalgoritmes** (bcrypt, Argon2, scrypt) die **traag zijn qua ontwerp** (bestand tegen brute-force en GPU-cracking) en **gezout** (een unieke willekeurige salt per wachtwoord, wat rainbow-table-aanvallen voorkomt en ervoor zorgt dat identieke wachtwoorden verschillende hashes krijgen).

Begrijpen **waarom deze algoritmes** — zouten (voorkoming van voorberekende aanvallen, identieke wachtwoorden hashen anders) en traagheid/werkfactor (massale brute-forcing onpraktisch maken, met een tunebare kosten naarmate hardware verbetert) — legt uit de juiste benadering versus veelgemaakte fouten (plaintext, snelle hashes, geen salt).

Begrijpen **ander praktijken** — handhaving van redelijke sterkte (lengte boven complexiteit, controlering op gelekte wachtwoordlijsten), **MFA** (sterke bescherming zelfs als een wachtwoord lekt), HTTPS voor transmissie, rate-limiting van inlogpogingen, veilige wachtwoordreset (tijdgebonden tokens), en nooit wachtwoorden loggen of e-mailen — weerspiegelt uitgebreid wachtwoordbeveiliging.

Wachtwoordbeheer is een high-stakes gebied waar fouten (plaintext-opslag, zwak hashen) rechtstreeks grote lekken veroorzaken, terwijl juist beheer (sterk gezout traag hashen met bcrypt/Argon2, MFA) gebruikers aanzienlijk beschermt.

Omdat wachtwoordlekken veel voorkomen en schadelijk zijn en onjuiste opslag een ernstige, veelvoorkomende kwetsbaarheid is, en omdat het begrijpen van veilige opslag (nooit plaintext, sterk gezout traag hashen met bcrypt/Argon2) en goede praktijken (MFA, rate-limiting) essentieel is voor gebruikersbescherming, is het begrijpen van veilige wachtwoordopslag en -beheer essentieel, onmisbare beveiligingskennis — een kritisch, high-stakes gebied waar de juiste benadering (toegewezen wachtwoord-hashing, zouten, MFA) de catastrofale wachtwoordlekken voorkomt die onjuist beheer veroorzaakt, fundamentele kennis voor elke ontwikkelaar die authenticatie behandelt.