Gedeelde wachtwoorden: hoe je ze beheert zonder nachtmerrie

Die ene admin-login voor de domeinregistrar, de social-media-accounts, de customer-portal. Die wachtwoorden ken je met 3 mensen, delen via een Excel is fout — dit is de rechtzetting.

Er zijn accounts die geen "eigenaar" hebben: de hoofdaccount van je domein-registrar, de Twitter/X-company-login, de customer-support-inbox. Die accounts moeten door 2–5 mensen te gebruiken zijn. Hoe doe je dat veilig?

Regel 1: zet ze in een vault

Nooit in een spreadsheet, nooit in een e-mail, nooit in een Notion-pagina. Wel in 1Password, Bitwarden, of een in-app vault zoals AccessGuard Vault die per-user ACL ondersteunt plus audit-log van elke ontsleuteling.

Regel 2: expliciete toegangslijst

Per gedeeld account leg je vast: wie mag het zien. Minder is meer. Een social-media-account kan prima door 2 personen beheerd worden; er is geen reden waarom de hele company daar bij moet kunnen.

Regel 3: rotatie bij wisseling

Zodra iemand uit de toegangslijst gaat, verandert het wachtwoord. Zie offboarding stap 3. Geen uitzonderingen. Anders heb je een account met een "ex-collega kent het wachtwoord nog"-footprint.

Regel 4: MFA waar maar enigszins kan

Ook shared accounts hebben MFA nodig. Moderne MFA-apps (Authy, 1Password) ondersteunen gedeelde tokens. Hardware-tokens kunnen ook, maar dan moet er een fysieke overdracht zijn.

Regel 5: audit-log

Wie heeft wanneer het wachtwoord opgevraagd? Als je dat niet kunt aantonen, kun je bij een incident niet bepalen of er misbruik is geweest. Elke serieuze vault logt dit.

Wat NIET werkt

• Eén persoon die alle wachtwoorden kent + "back-up" in een kluis op papier.
• Een Excel op SharePoint met "alle credentials" — ook met password erop.
• Per-se-every-one-can-see-everything-vaults. ACL is je vriend.

Zie ook: privileged access management, een password manager kiezen.