Ga naar de inhoud
KlikHulp
Menu
Hulp nuOefenenPakkettenMijn voortgang
Meer
BlogFAQContact
Terug naar blog

Blog · Accounts

Waarom een wachtwoordlek pas echt gevaarlijk wordt als u ook bevestigt

Wat het verschil is tussen een gelekt wachtwoord, een gedeelde code en een onverwachte itsme- of MFA-bevestiging.

17 april 2026 · 6 min lezen

Smartphone met een waarschuwing op het scherm.

Kort onthouden

  • Een wachtwoordlek is ernstig, maar een meegegeven code of bevestiging versnelt alles.
  • Niet elke MFA-vorm is even sterk: sms-codes en pushmeldingen blijven vatbaar voor phishing.
  • Bevestig nooit een itsme- of MFA-aanvraag die u niet zelf gestart hebt.

Relevante oefening

Liever eerst leren herkennen?

De oefenomgeving laat u zien hoe valse logins, onverwachte bevestigingen en supportflows in de praktijk aanvoelen.

Oefen login- en accountcasesStart hulproute voor accounts
Illustratie van wachtwoord- en MFA-beveiliging op een telefoon.

Veel mensen denken: "Ik heb toch tweestapsverificatie, dus een wachtwoord alleen is niet genoeg." Dat klopt gedeeltelijk. Extra beveiliging helpt, maar alleen als u die niet zelf weggeeft of bevestigt op het verkeerde moment.

Daarom is het belangrijk om onderscheid te maken tussen drie verschillende situaties:

  • uw wachtwoord werd buitgemaakt;
  • u gaf ook nog een code door;
  • u bevestigde zelf een onverwachte actie via een app of pushmelding.

Die drie lijken op elkaar, maar ze geven een aanvaller niet hetzelfde soort toegang.

Niet elke tweede factor is even sterk

Microsoft maakt het heel duidelijk: traditionele MFA-methodes zoals sms-codes, e-mailcodes en gewone pushmeldingen zijn minder sterk tegen moderne phishing. Ook CISA wijst erop dat niet elke MFA-vorm phishingbestendig is.

Voor burgers hoeft dat geen technisch verhaal te worden. Het praktische punt is eenvoudiger:

  • een extra stap is beter dan geen extra stap;
  • maar sommige extra stappen zijn nog altijd te verleiden, te onderscheppen of te misbruiken.

Een code die u overtypt in een valse pagina, beschermt u niet meer. Een bevestiging die u zelf geeft aan een actie die u niet startte, ook niet.

Persoon die een smartphone met notificaties bekijkt.
De gevaarlijkste bevestiging is vaak degene die in een echte app verschijnt, maar niet door u werd gestart.

Het echte risico zit in de combinatie

Een wachtwoord alleen geeft een aanvaller soms nog geen directe toegang. Zodra daar een sms-code, authenticatorcode, pushmelding of itsme-bevestiging bijkomt, verandert dat.

Dan verschuift de situatie van "iemand probeerde misschien in te loggen" naar "iemand kan mogelijk al binnen zijn".

Dat is precies waarom Safeonweb adviseert om na een verdachte login niet alleen het wachtwoord te wijzigen, maar ook:

  • hergebruikte wachtwoorden mee aan te passen;
  • tweestapsverificatie te activeren of te controleren;
  • en na te gaan of er vreemde sessies of wijzigingen zichtbaar zijn.

Waarom onverwachte bevestigingen zo geloofwaardig voelen

Het gevaar zit niet alleen in codes. Het zit ook in verzoeken die legaal lijken omdat ze in een echte app binnenkomen.

itsme zegt het daarom heel kort en heel hard: als u een itsme-actie krijgt die u niet zelf gevraagd hebt, moet u die altijd weigeren. In de eigen veiligheidsuitleg voegt itsme daar nog iets belangrijks aan toe: bevestig nooit iets dat u niet zelf hebt opgestart, ook niet wanneer iemand aan de telefoon beweert dat het om bank, overheid of politie gaat.

Dat verklaart waarom zulke fraude zo overtuigend aanvoelt. U ziet geen vreemde website. U ziet een echte app of melding. Alleen de aanleiding is vals.

Wat u meteen doet als u toch bevestigde

Dit is niet het moment om lang te analyseren. Dan geldt vooral snelheid:

  1. open de officiele website of app van het betrokken account;
  2. wijzig het wachtwoord;
  3. meld andere sessies af als dat kan;
  4. controleer herstelgegevens, gekoppelde toestellen en recente activiteit;
  5. neem bijkomende hulp als het om bankzaken, itsme of werkaccounts gaat.

Bij financiele accounts of verdachte transacties hoort daar ook uw bank en eventueel Card Stop bij. Bij itsme zelf kunt u uw account ook via de officiele omgeving blokkeren als u herhaald onverwachte acties krijgt.

Wat u best onthoudt

De belangrijkste les is niet technisch, maar gedragsmatig:

  • een wachtwoordlek is ernstig;
  • een code of bevestiging erbij maakt het acuut;
  • een echte app kan nog altijd misbruikt worden via een valse aanleiding;
  • "ik heb het zelf niet gestart" is reden genoeg om te weigeren.

Bronnen

Verder lezen

Nog een paar artikels die hierbij passen

Kort, concreet en met dezelfde focus op herkenbare signalen en veilige reflexen.

Smartphone met een open mailbox in de hand.

Patronen

Hoe herkent u phishing zonder aan alles te twijfelen?

Welke signalen in Belgische mails, sms'jes en QR-codes zwaarder wegen dan een bekend logo.

19 april 2026 · 6 min lezen

Persoon die een pakket vasthoudt terwijl een smartphone gebruikt wordt.

Betalen

QR-fraude voelt handig. Daarom is ze zo verraderlijk.

Van pakjes tot parkeerapps: waarom quishing u sneller misleidt dan een gewone link.

18 april 2026 · 5 min lezen

Persoon die al bellend rustig naar een laptop kijkt.

Beslissen

U klikte toch. Wanneer is dat vooral vervelend, en wanneer echt dringend?

Niet elke klik is dezelfde. De echte vraag is wat er na de klik nog gebeurde.

16 april 2026 · 5 min lezen