MD5 wachtwoorden gekraakt: 60% binnen een uur

Wachtwoorden die zijn opgeslagen met een veelgebruikte hashingmethode zijn mogelijk veel minder veilig dan veel website-eigenaren aannemen. Volgens een artikel van The Register, gebaseerd op onderzoek van beveiligingsbedrijf Kaspersky, kan 60% van de MD5-gehashte wachtwoorden uit een dataset van meer dan 231 miljoen unieke wachtwoorden naar verluidt worden gekraakt met een enkele consumentengrafische kaart in minder dan een uur. Maar liefst 48% zou naar verluidt binnen 60 seconden kunnen worden gekraakt.

Het onderzoek werd gepubliceerd op 7 mei 2026, al is het goed om te vermelden dat het artikel van The Register een secundaire bron is die rapporteert over de bevindingen van Kaspersky. Specifieke methodologische details kunnen afwijken van het oorspronkelijke Kaspersky-rapport.

Wat het onderzoek heeft gevonden

Volgens The Register gebruikten Kaspersky-onderzoekers een enkele Nvidia RTX 5090 grafische kaart om te testen hoe snel MD5-wachtwoordhashes konden worden gekraakt. De dataset bevatte meer dan 231 miljoen unieke wachtwoorden.

De kernbevinding, zoals gerapporteerd door The Register, is dat wachtwoorden die alleen worden beschermd door snelle hashingalgoritmen zoals MD5 niet langer veilig zijn als aanvallers ze verkrijgen via een datalek. Twee factoren zouden dit naar verluidt veroorzaken: de voorspelbaarheid van wachtwoorden en steeds krachtigere grafische processors.

Kaspersky wordt geciteerd als: "Één uur is alles wat een aanvaller nodig heeft om drie van de vijf wachtwoorden te kraken die ze in een lek hebben gevonden."

Het onderzoek vergeleek de resultaten naar verluidt ook met een vergelijkbaar onderzoek dat Kaspersky in 2024 uitvoerde. Volgens The Register worden wachtwoorden omschreven als "een paar procent" makkelijker te kraken in 2026 dan destijds, al worden de exacte cijfers uit het onderzoek van 2024 niet vermeld in de bron.

Waarom dit relevant is voor kleine ondernemers

Als uw website gebruikerswachtwoorden opslaat, is de manier waarop die wachtwoorden achter de schermen worden beschermd van groot belang. Veel oudere websiteplatforms en plug-ins gebruiken nog steeds MD5 om wachtwoorden te hashen, wat dit onderzoek suggereert niet langer toereikend te zijn.

Dit gaat niet over een boete of een toezichthouder die actie onderneemt. Het gaat om het praktische risico voor uw klanten als uw website ooit betrokken raakt bij een datalek. Zwakke wachtwoordopslag betekent dat aanvallers snel toegang kunnen krijgen tot de accounts van uw klanten, en mogelijk dezelfde wachtwoorden kunnen gebruiken om toegang te krijgen tot andere diensten die zij gebruiken.

Als u niet zeker weet hoe uw website wachtwoorden opslaat, is het de moeite waard dit na te vragen bij uw webontwikkelaar of hostingprovider. U kunt ook onze beveiligingschecklist voor kleine ondernemers raadplegen en controleren of een van uw WordPress-plug-ins bekende kwetsbaarheden heeft.

Wat betekent dit voor uw website?

Als uw website gebruikersaccounts of een inlogomgeving heeft, is de manier waarop wachtwoorden worden opgeslagen een technische keuze met echte gevolgen voor de veiligheid van uw klanten. Vraag uw ontwikkelaar of platformaanbieder of uw website gebruikmaakt van een modern, traag hashingalgoritme in plaats van MD5. Dit is een eenvoudige manier om risico's te beperken zonder te wachten tot een toezichthouder zoals de Autoriteit Persoonsgegevens dit vereist.