ChatGPT, Gemini en Claude maken zwakke wachtwoorden: voorspelbare patronen vergroten hackrisico

zaterdag, 21 februari 2026 om 19:10

Nieuw onderzoek naar LLM-gegenereerde wachtwoorden laat zien dat wachtwoorden uit grote taalmodellen structureel zwakker zijn dan vaak wordt gedacht.

Onderzoekers tonen aan dat wachtwoorden die systemen als ChatGPT, Gemini en Claude genereren, voorspelbare patronen bevatten. Die patronen vergroten de kans op succesvolle brute-force aanvallen aanzienlijk.

De uitkomst is relevant voor Nederlandse bedrijven, onderwijsinstellingen en overheidsorganisaties die AI-tools integreren in hun ontwikkelprocessen. Veel ontwikkelaars gebruiken taalmodellen voor snelle scripts, testdata of zelfs configuraties. Juist daar sluipt het risico naar binnen.

Waarom LLM-gegenereerde wachtwoorden zwak zijn

Grote taalmodellen werken fundamenteel anders dan cryptografische systemen. Een Large Language Model voorspelt het meest waarschijnlijke volgende token op basis van trainingsdata. Het model optimaliseert waarschijnlijkheid, niet willekeur.

Een veilig wachtwoord vereist juist cryptografisch uniforme willekeur. Beveiligingssystemen gebruiken daarvoor een CSPRNG, een cryptografisch veilige pseudowillekeurige nummergenerator. Zo’n generator verdeelt tekens gelijkmatig over alle mogelijke combinaties.

LLM’s doen dat niet.

In plaats daarvan:

Herhalen ze populaire patronen zoals hoofdletter gevolgd door woord en cijfers
Gebruiken ze veelvoorkomende symbolen zoals uitroeptekens aan het einde
Produceren ze vergelijkbare structuren bij vergelijkbare prompts
Tonen ze clustering in tekencombinaties

Voor mensen lijken deze wachtwoorden complex. Voor geautomatiseerde aanvalstools zijn ze statistisch voorspelbaar.

Onderzoekers ontdekten bovendien dat sommige gegenereerde wachtwoorden opvallend vaak terugkwamen bij identieke of licht aangepaste prompts. Dat vergroot de kans op succesvolle aanvallen met woordenlijsten die specifiek zijn afgestemd op AI-output.

Brute-force aanvallen worden efficiënter

Een brute-force aanval probeert systematisch alle mogelijke combinaties. Moderne aanvallers gebruiken echter geen volledig willekeurige reeksen meer. Ze optimaliseren hun aanval met waarschijnlijkheidsmodellen.

Wanneer een aanvaller weet dat een organisatie AI gebruikt voor het genereren van wachtwoorden, kan hij zijn strategie aanpassen. In plaats van alle mogelijke combinaties te testen, richt hij zich op patronen die LLM’s waarschijnlijk produceren.

Dat verkleint de zoekruimte drastisch.

Voor Nederlandse organisaties die AI inzetten voor DevOps, rapid prototyping of scriptgeneratie betekent dit een concreet risico. Vooral start-ups en MKB-bedrijven gebruiken AI om snel infrastructuur op te zetten. Tijdswinst kan dan onbedoeld veiligheid onder druk zetten.

Risico’s voor developers en IT-teams

De verleiding is begrijpelijk. Een developer vraagt een taalmodel om “een sterk wachtwoord van 16 tekens met symbolen” en krijgt direct een ogenschijnlijk complex resultaat. Dat voelt efficiënt.

Toch ontstaat hier een schijnveiligheid.

Belangrijke risico’s:

AI-gegenereerde wachtwoorden in testomgevingen lekken naar productie
Scripts met hardcoded AI-wachtwoorden belanden in publieke repositories
Configuratiebestanden bevatten herbruikbare patronen
Teams vertrouwen op AI zonder cryptografische validatie

Vooral in het onderwijs, waar studenten massaal AI-tools gebruiken bij programmeeropdrachten, kan dit patroon zich snel verspreiden. Daarmee ontstaat een nieuwe generatie ontwikkelaars die AI-output impliciet vertrouwt.

Wat organisaties concreet moeten doen

Het onderzoek geeft duidelijke aanbevelingen voor bedrijven en instellingen in Nederland:

Gebruik geen AI-gegenereerde wachtwoorden in productieomgevingen. Vertrouw uitsluitend op cryptografische generators of professionele wachtwoordmanagers. Implementeer multi-factor authenticatie als standaardbeleid. Controleer codebases op mogelijk AI-gegenereerde credentials. Integreer security awareness rond AI-gebruik in ontwikkelrichtlijnen.

Daarnaast is het verstandig om AI-governancebeleid uit te breiden met expliciete securityregels. Veel organisaties hebben inmiddels richtlijnen voor privacy en auteursrecht bij AI-gebruik. Security ontbreekt vaak nog als aparte categorie.

AI-productiviteit versus AI-beveiliging

De bredere les is dat AI niet neutraal is. Elk systeem draagt ontwerpkeuzes met zich mee. Een taalmodel optimaliseert taalvoorspelling. Het optimaliseert geen cryptografie.

Dat verschil is essentieel.

Nederland investeert fors in digitale weerbaarheid en AI-innovatie. Juist daarom is het cruciaal om productiviteitswinst niet te verwarren met beveiligingskwaliteit. AI kan ontwikkelprocessen versnellen, maar security blijft een vakgebied met eigen technische eisen.

Wie AI inzet zonder aanvullende beveiligingsmaatregelen, creëert onbedoeld nieuwe aanvalsvectoren.

De conclusie van het onderzoek is helder. Gebruik taalmodellen voor code-assistentie, documentatie en analyse. Gebruik ze niet als vervanging voor cryptografische beveiligingsmechanismen.

AI vergroot productiviteit. Alleen correcte beveiliging beschermt systemen.