Passkeys rukken op als veiliger alternatief voor traditionele MFA
De Britse National Cyber Security Centre stelt dat passkeys duidelijk veiliger zijn dan traditionele vormen van multifactorauthenticatie en dat is een boodschap die in de cybersecuritywereld snel terrein wint. Waar veel organisaties jarenlang vertrouwden op wachtwoorden in combinatie met sms codes, pushmeldingen of authenticatorapps, verschuift de aandacht nu naar een authenticatiemethode die niet alleen gebruiksvriendelijker is, maar vooral beter bestand tegen de aanvalstechnieken die cybercriminelen vandaag de dag massaal inzetten. Passkeys zijn ontworpen rond publieke en private sleutels en worden gekoppeld aan het apparaat van de gebruiker, waardoor het klassieke probleem van gestolen wachtwoorden, doorstuurcodes en phishing een stuk lastiger wordt voor aanvallers. Voor bedrijven en overheden is dit meer dan een technische nuance. Het raakt aan een fundamentele vraag: hoe voorkom je dat de toegang tot kritieke systemen wordt misbruikt terwijl gebruikers toch snel en veilig kunnen inloggen.
De kern van het verschil zit in de manier waarop de inlogstroom werkt. Bij traditionele MFA moet een gebruiker vaak een extra code invoeren of een pushmelding goedkeuren, maar die extra stap is nog altijd afhankelijk van menselijk gedrag en dus vatbaar voor misleiding. Denk aan phishingpagina’s die codes onderscheppen, aan aanvallers die inloggegevens uit eerdere datalekken combineren met real time relay aanvallen, of aan vermoeidheidsaanvallen waarbij een gebruiker herhaaldelijk meldingen krijgt totdat hij per ongeluk akkoord gaat. Een passkey werkt anders: de gebruiker ontgrendelt de sleutel met biometrie, pincode of een lokale beveiligingsmethode, waarna de authenticatie cryptografisch wordt bevestigd aan het juiste domein. Dat maakt het doorgeven van codes zinloos en ondermijnt juist de aanvalstechnieken die traditionele MFA de afgelopen jaren zo vaak hebben geraakt. De boodschap van NCSC is daarom helder en strategisch relevant: wie zich echt wil wapenen tegen moderne identiteitsaanvallen, moet verder kijken dan de MFA die ooit als voldoende werd gezien.
Waarom phishing en token diefstal minder kans krijgen
Voor cybercriminelen is identiteit tegenwoordig het meest waardevolle aanvalsdoel. Zodra zij toegang krijgen tot een account, kunnen zij mail doorspitten, interne systemen verkennen, financiële transacties beïnvloeden of zich verder verspreiden binnen een netwerk. Passkeys maken die eerste stap aanzienlijk moeilijker. In tegenstelling tot wachtwoorden of een eenmalige code die op een ander moment en vaak op een ander scherm wordt ingevoerd, is een passkey gebonden aan het echte inlogproces op het echte domein. Een nepsite kan dus geen geldige handtekening genereren. Daarmee verdwijnt een groot deel van de ruimte voor klassieke phishingcampagnes. Ook token diefstal verliest aan waarde, omdat een aanvaller niet zomaar een herbruikbare code of eenvoudig te kopiëren geheim kan buitmaken. Dit is precies waarom veel beveiligingsspecialisten passkeys beschrijven als een grote stap richting phishingbestendige authenticatie, al blijft implementatie en adoptie in de praktijk een belangrijke uitdaging.
De voordelen zijn niet alleen technisch, maar ook operationeel en menselijk. Organisaties kennen allemaal de prijs van helpdeskvragen over vergeten wachtwoorden, verlopen codes en lockouts. Dat zorgt voor druk op supportteams en frictie bij gebruikers. Passkeys kunnen die last verminderen doordat inloggen sneller gaat en minder afhankelijk is van kwetsbare herstelprocessen. Tegelijk vraagt deze overgang om goede inrichting en duidelijke beleidskeuzes. Een paar belangrijke aandachtspunten zijn:
– Zorg voor een gecontroleerde uitrol per doelgroep, zodat het proces beheersbaar blijft.
– Ondersteun meerdere veilige herstelopties, zodat gebruikers niet vastlopen als een apparaat kwijt is.
– Train medewerkers in het herkennen van social engineering, want geen enkele techniek lost menselijk misbruik volledig op.
– Controleer of systemen, apps en identity platforms passkeys correct ondersteunen en goed zijn geïntegreerd.
Wat organisaties nu moeten doen om niet achter te lopen
De verschuiving naar passkeys komt op een moment waarop aanvallen op inloggegevens juist slimmer en sneller worden. Aanvallers automatiseren phishing, combineren gelekte data met cloudtoegang en proberen in te breken via slecht beveiligde herstelkanalen. Organisaties die nog leunen op sms verificatie of pushgebaseerde MFA lopen daardoor steeds meer achter op de realiteit van het dreigingslandschap. De boodschap uit het Verenigd Koninkrijk is daarom niet alleen technisch, maar ook beleidsmatig van aard: als beveiligingsnormen niet meebewegen, worden ze langzaam een zwakke schakel. Voor security teams betekent dat dat zij hun identity strategie opnieuw moeten beoordelen. Waar staat de organisatie nu, welke accounts zijn het meest kritiek, en waar kan een phishingbestendige methode het grootste verschil maken. Vooral bij beheerders, financiële functies, directieleden en externe toegang verdient passkey invoering prioriteit.
Wie vandaag al aan de slag wil, kan praktisch beginnen met een gefaseerde aanpak. Denk aan deze volgorde:
– Inventariseer welke applicaties passkeys ondersteunen en waar aanvullende maatregelen nodig blijven.
– Bepaal welke accounts het meest gevoelig zijn voor overname en start daar als eerste.
– Combineer passkeys met sterk beleid voor apparaatbeheer, logging en monitoring.
– Beperk het gebruik van minder veilige authenticatieopties waar dat verantwoord kan.
– Meet de impact op gebruiksgemak, supportbelasting en incidenten, zodat het bestuur ook harde resultaten ziet.
Daarmee wordt passkey invoering niet alleen een beveiligingsmaatregel, maar ook een moderniseringsslag in digitale toegang. De techniek past in een bredere beweging weg van statische geheimen en naar cryptografische identiteit. Voor de eindgebruiker betekent dat minder gedoe en minder kans op misbruik. Voor de securityafdeling betekent het minder noodverbanden en meer grip op wie daadwerkelijk toegang krijgt. De kern van het verhaal is uiteindelijk simpel en tegelijk urgent: traditionele MFA is beter dan alleen een wachtwoord, maar niet altijd bestand tegen de meest actuele aanvallen. Passkeys veranderen dat speelveld en zetten een nieuwe standaard neer voor veilige toegang. Wie nu beweegt, verkleint niet alleen het risico op accountovername, maar vergroot ook de veerkracht van de hele organisatie in een digitale wereld waar identiteit steeds vaker het belangrijkste doelwit is.