Een wachtwoord (in computerjargon spreekt men ook over paswoord of password[1][2]) is traditioneel een afgesproken woord of zin die uitgesproken moet worden en waaraan belanghebbenden elkaar herkennen, en geheim is voor buitenstaanders. In de informatie- en communicatietechnologie (ICT) is het meestal een tekenreeks die ingetoetst moet worden, en eveneens geheim gehouden moet worden. Een pincode is een wachtwoord dat uit een vast aantal cijfers bestaat.

Het inlogformulier op Wikipedia vraagt naar de gebruikersnaam en wachtwoord

De apparatuur controleert of het wachtwoord, of de combinatie van de gebruikersnaam (voor alle gebruikers verschillend) en het wachtwoord, correct is, en geeft dan toegang tot een ruimte, of tot informatie, of autoriseert bepaalde handelingen, bijvoorbeeld een overboeking van geld, of een opname van contant geld. De toegangsprocedure wordt vaak inloggen genoemd.

Voert men een wachtwoord op de computer in, dan blijft het op het scherm haast altijd onzichtbaar. Zodoende kan het wachtwoord niet worden afgelezen door iemand die over de schouder van de gebruiker meekijkt, en ook niet als via een andere computer (voor hulp op afstand) wordt meegelezen. Nadeel hiervan is dat de gebruiker geen directe controle op typefouten heeft. Wordt een wachtwoord voor de eerste keer ingesteld, dan moet het haast altijd twee keer ingevoerd worden (dit wordt vaak “bevestigen” genoemd) om onopgemerkte typefouten te vermijden. Soms is er de optie om het toch zichtbaar te maken. Vaak blijft het dan slechts zichtbaar zolang de muisknop blijft ingedrukt, of de vinger op een knop op het aanraakscherm blijft, zodat het wachtwoord na controle niet onbedoeld zichtbaar blijft.

Door het achterhalen van een wachtwoord kan een derde persoon onterecht gebruikmaken van andermans informatie. Het wachtwoord kan achterhaald worden door het af te kijken, door een wachtwoordenbestand te ontcijferen, of door verschillende eenvoudige wachtwoorden te proberen. Om die reden wordt in de meeste professionele omgevingen een zogenaamd complex wachtwoord vereist dat regelmatig door de eigenaar ervan moet worden gewijzigd.

Een andere beveiliging is dat na een bepaald aantal keren een onjuist wachtwoord invoeren, ook het juiste wachtwoord niet meer werkt. Daarna is er een wachttijd, of een speciale procedure, om weer toegang te krijgen. Hierdoor is het onmogelijk in korte tijd een groot aantal wachtwoorden te proberen.

Een variant op het wachtwoord is het sjibbolet waarmee men, bijvoorbeeld in oorlogstijd, vriend van vijand onderscheidt. Een voorbeeld is Scilt ende vriend waarmee volgens de legende franskiljons tijdens de Brugse metten ontmaskerd zouden zijn,[3] of Scheveningen dat tijdens de Duitse aanval op Nederland in 1940 eenzelfde functie had.[4]