Niet heel onverwacht, want dit wordt door veel cybersecurity-experts aangeraden. Een logische keuze dus. De wachtwoordmanager wordt aangekocht, uitgerold, en er wordt opgelucht ademgehaald: het probleem is opgelost.

Alleen: dan moet je de wachtwoordmanager natuurlijk wél gebruiken. Ik zit regelmatig aan tafel bij organisaties die een wachtwoordmanager hebben aangeschaft. Als ik vraag of de wachtwoordmanager ook gebruik wordt, knikken ze hoofdschuddend nee. Eigenlijk ervaart iedereen dat de aanschaf van een wachtwoordmanager niet leidt tot het gebruik ervan. Maar hoe los je dat op?

De wachtwoordmanager die niemand gebruikt

Oók data bevestigt dat wachtwoordmanagers niet worden gebruikt. Bij vrijwel geen enkele organisatie gebruikt meer dan 5% van de medewerkers hem ook echt. De rest blijft trouw aan oude gewoonten: zwakke wachtwoorden, hergebruik van wachtwoorden, en het noteren ervan in notitieboekjes of Excel-lijstjes.

IT'ers zeggen dan vaak: "Maar we hebben de medewerkers toch geïnformeerd over de nieuwe wachtwoordmanager?" Van managers horen we vaak dat het aanleren en gebruiken van een wachtwoordmanager geen tijd mag kosten.

‍

Maar hoe kan het dat we verwachten dat een simpele aankondiging genoeg is om iedereen in de organisatie oude gewoonten te laten varen en een succesvolle gebruiker van een wachtwoordmanager te worden? Vooral als er ook oudere en minder computer-behendige werknemers tussen zitten. Dat is niets ten nadele van hen, maar zij hebben wel meer ondersteuning nodig.

Terwijl de wachtwoordmanager stof staat te vangen, steeg het aantal cyberincidenten veroorzaakt door zwakke of hergebruikte wachtwoorden het afgelopen jaar. De risico's nemen toe, dus is het belangrijk dat er iets aan wordt gedaan.

De werkelijke prijs van een wachtwoordmanager

Laten we eens rekenen. Een organisatie van 200 medewerkers betaalt ongeveer €5 per persoon per maand voor een wachtwoordmanager. Dat is €5 × 200 × 12 = €12.000 per jaar. Lijkt redelijk, toch?

Maar als maar 5% hem daadwerkelijk gebruikt - en dat is nog optimistisch - dan hebben we het over 10 mensen. Die €12.000 wordt dan eigenlijk verdeeld over 10 actieve gebruikers. Plots kost die wachtwoordmanager €1.200 per persoon per jaar, of €100 per actieve gebruiker per maand.

Dat betaal je voor een tool die stof staat te vangen bij 190 van de 200 medewerkers. Dat is geen investering meer, dat is geldverspilling die leidt tot schijnveiligheid. Je denkt dat je een oplossing hebt gekocht om één van de grootste cyberrisico’s af te dekken, terwijl dat helemaal niet het geval is.

Hoe ga je dit later verantwoorden aan de directie, die je met veel moeite hebt weten te overtuigen om €12.000 te investeren in veiligheid?

Een andere aanpak werkt wél

Gelukkig zie ik ook organisaties die het anders aanpakken. Die niet zomaar een app uitrollen en hopen dat het goed komt. Zij snappen dat technologie alleen werkt als mensen het ook gebruiken. Zij investeren in begeleiding, training, en - ja - ook in handhaving.

Deze organisaties begrijpen dat een wachtwoordmanager kopen nog niet hetzelfde is als wachtwoordbeveiliging regelen. Ze zien dat er een verschil is tussen een tool implementeren en een gedragsverandering doorvoeren. En dat laatste is veel moeilijker, maar ook veel belangrijker.

Waarom tolereren we dit nog steeds?

En dat roept de vraag op: waarom wordt dit nog altijd geaccepteerd? Door CISO's, IT-afdelingen, het management, ondernemers. Waarom tolereren we gedrag waarvan we wéten dat het onveilig is? Waarom wordt er niet gehandhaafd, bijgestuurd, of ingegrepen?

Het is verbazingwekkend dat we in 2025 nog steeds toestaan dat onze digitale beveiliging afhangt van ezelsbruggetjes, gele briefjes en op hoop van geluk.

Het is tijd om die passieve houding achter ons te laten. Investeer niet alleen in tooling, maar ook in gedragsverandering. Train je mensen en maak het gebruik van wachtwoordmanagers verplicht. Want een wachtwoordmanager die niet gebruikt wordt, is niets meer dan een dure desinvestering.

We kopen veiligheid – en laten het vervolgens liggen.