Westbroek IT Security_logo wit blauw
Contact

Default wachtwoorden en gedeelde admin-accounts

Het sluiprisico dat je organisatie onnodig kwetsbaar maakt

14 januari, 2026

In ongeveer 70% van onze security assessments komen we nog steeds default wachtwoorden of gedeelde “tijdelijke” credentials tegen in productie. Dat klinkt bijna ongeloofwaardig, maar het gebeurt. Ook bij organisaties die verder prima volwassen lijken. Dit is vaak de snelste route naar ongeautoriseerde toegang met maximale impact.

Kort samengevat

  • Default of gedeelde credentials vergroten de kans op ongeautoriseerde toegang en maken de impact van een incident groter.
  • MFA (twee-factor-authenticatie ofwel 2FA) helpt, maar lost het probleem niet op als credentials gedeeld worden of te veel rechten hebben.
  • Je wilt aantoonbare afspraken en technische controls rond admin-accounts, wachtwoordwijzigingen en opslag van data.


Twijfel je of dit speelt in jouw organisatie? Laat het toetsen met een scan, pentest of security assessment.

Waarom default wachtwoorden zo’n groot bedrijfsrisico vormen

Default of gedeelde credentials zijn aantrekkelijk voor aanvallers omdat ze:

  • Makkelijk te raden zijn (of al bekend uit eerdere lekken)
  • Vaak te veel rechten hebben (admin/privileged)
  • Slecht te herleiden zijn (wie heeft wat gedaan als iedereen hetzelfde account gebruikt?)
  • De impact van één incident vergroten: één account geeft toegang tot meerdere systemen

     

Kortom: dit is geen “IT-hygiëne”-detail, maar een risico dat direct raakt aan continuïteit, compliance en aansprakelijkheid.

Hoe dit in de praktijk ontstaat (het bekende patroon)

We zien dit scenario steeds terug:

  • Een systeem- of applicatie-eigenaar zet een testomgeving op
  • Default credentials worden “even tijdelijk” gebruikt
  • De omgeving wordt naar productie gepromoveerd
  • En het wachtwoord wordt nooit meer aangepast

 

Moderne platforms proberen dit te voorkomen door admins een initiële password set te laten doen. Goed idee, maar in de praktijk ontstaat dan vaak een nieuw probleem: voorspelbare “nieuwe defaults”, zoals:

<bedrijfsnaam><rol><jaar><teken> (bijv. orgxadmin2025!)

Waarom "stuur het wachtwoord en zeg dat ze het moeten wijzigen" geen control is

Een veelgehoorde workaround is: “We delen het wachtwoord en vragen mensen het na eerste gebruik te wijzigen.”

Dat is geen beheersmaatregel zolang je de wijziging niet afdwingt. In de praktijk wordt het dan stilletjes het “gedeelde admin-wachtwoord” dat maanden (of jaren) blijft rondzingen.

MFA (twee-factor-authenticatie) helpt, maar maakt dit niet veilig genoeg

MFA verlaagt risico, absoluut. Maar het elimineert het probleem niet als:

  • Meerdere mensen dezelfde credentials gebruiken
  • Credentials via chat, e-mail of documenten gedeeld worden
  • Sessies kunnen worden overgenomen of misbruikt

MFA is een belangrijke laag, maar geen vervanging voor goed credential- en toegangsbeheer.

Hoe credentials vaak gedeeld worden (en waarom dat gevaarlijk is)

In de praktijk zien we dat credentials gedeeld worden via:

  • Teams chats
  • Groepsmails
  • “Temporary” documenten
  • En ja: ook gewoon briefjes op het bureau


Die combinatie is gevaarlijk omdat het de kans vergroot op:

  • Onbedoelde disclosure (te veel mensen zien het)
  • Password guessing / brute force (te voorspelbaar)
  • Credential re-use (wordt gekopieerd naar andere systemen)
  • Grotere blast radius als één account wordt gecompromitteerd

Wat je wél wilt afdwingen (zonder micromanagement)

Je hoeft niet te bepalen welke tool IT gebruikt, maar je wilt wél dat de organisatie deze uitkomsten kan aantonen:

  1. Credentials worden niet gedeeld via chat of e-mail
  2. Wachtwoordwijziging bij eerste login wordt afgedwongen (en zwakke patronen worden geblokkeerd)
  3. Privileged accounts zijn individueel (geen shared admin accounts waar het niet hoeft)
  4. Privileged Access Management (PAM) of minimaal een goed ingericht break-glass proces

Secrets rotatie en beperking van toegang als shared accounts onvermijdelijk zijn

Hoe weet je of dit bij jullie speelt? (snelle check)

Gebruik deze vragen om snel risico te spotten:

  • Waar worden admin-credentials opgeslagen of gedeeld (Teams, mail, docs)?
  • Hebben we accounts zonder duidelijke eigenaar (owner)?
  • Zijn er gedeelde admin-accounts “omdat het handig is”?
  • Wordt first-login password change aantoonbaar afgedwongen?
  • Kunnen we achteraf herleiden wie welke admin-actie heeft uitgevoerd?

Als je bij meerdere vragen twijfelt, is de kans groot dat er verborgen risico zit.

Laat het toetsen: scan, pentest of security assessment

Deze issues komen vaak pas echt boven water als je gericht test en verifieert.

Met security scans zoals een pentest krijg je inzicht in zwakke plekken in je omgeving en concrete verbeterpunten die je direct kunt prioriteren. In een security assessment of pentest controleren we onder andere op zwakke credentials, gedeelde admin-accounts en misconfiguraties rondom Identity & Access Management.

Bekijk onze Security Tests & Scans (kwetsbaarheidsscans, pentesten en security assessments).

Wat je krijgt:

  • Een rapport met bevindingen en prioriteiten
  • Concreet verbeteradvies waar je team direct mee aan de slag kan

Praktische maatregelen

Voor IT-teams die meteen willen handelen:

  • Gebruik een password manager / secrets vault voor credentials (niet chat/e-mail)
  • Forceer first-login password change en blokkeer bekende patronen
  • Implementeer PAM of minimaal break-glass + individuele admin accounts

 

Verwijder shared accounts waar mogelijk. Als het niet kan: rotate secrets en beperk toegang.

FAQ: Veelgestelde vragen

Wat is het risico van standaard (default) wachtwoorden?

Default wachtwoorden zijn vaak publiek bekend of voorspelbaar. Als ze in productie blijven bestaan, kunnen aanvallers relatief eenvoudig binnenkomen. Zeker als het om accounts met hoge rechten gaat.

Zijn gedeelde admin-accounts echt zo erg als we MFA/2FA hebben?

Ja. MFA helpt, maar gedeelde accounts blijven problematisch. Je verliest accountability, credentials zwerven rond en de impact bij compromittering is groter.

Wat is het verschil tussen een kwetsbaarheidsscan en een pentest?

Een scan vindt (geautomatiseerd) bekende kwetsbaarheden en misconfiguraties. Een pentest gaat verder door te verifiëren hoe een aanvaller daadwerkelijk kan binnendringen en welke impact dat heeft.

Hoe vaak moet je dit laten testen?

Minimaal bij grote wijzigingen (nieuwe systemen, migraties, cloud veranderingen) en periodiek als onderdeel van je security governance. De exacte frequentie hangt af van risico en compliance-eisen.

Hoe voorkom je dat “tijdelijke” credentials in productie belanden?

Door processen en technische controls te combineren: first-login change afdwingen, secrets vault gebruiken, shared accounts beperken en periodiek controleren via assessments.

Wat is een sterk wachtwoordbeleid voor admin accounts?

Werk met unieke admin-accounts, verbied voorspelbare patronen, dwing periodieke rotatie af waar passend en leg vast hoe credentials worden opgeslagen en gedeeld. Combineer dit met logging en het principe van least privilege.

Laat een security scan uitvoeren

Wil je weten of default of gedeelde “temporary” credentials ook bij jullie in productie voorkomen? Laat een security scan of pentest uitvoeren en krijg een concreet verbeterplan.

Bekijk onze Security Tests & Scans.