Het wachtwoord — die reeks tekens die u elke dag tientallen keren intypt — is een technologie uit de jaren '60. Bedacht in een tijd toen computers de omvang van een kamer hadden en cybercriminaliteit niet bestond. Zes decennia later is het wachtwoord nog steeds de dominante authenticatiemethode, ondanks overweldigend bewijs dat het niet meer werkt.
De cijfers liegen niet: meer dan 80% van alle datalekken is gerelateerd aan zwakke, gestolen of hergebruikte wachtwoorden. Het is niet de vraag of het wachtwoord zal verdwijnen, maar hoe snel — en wat ervoor in de plaats komt.
Waarom wachtwoorden falen
Het fundamentele probleem met wachtwoorden is dat ze twee tegenstrijdige eisen combineren: ze moeten complex genoeg zijn om niet geraden te worden en eenvoudig genoeg om te onthouden. Mensen zijn daar slecht in.
Onderzoek toont keer op keer aan dat de meest gebruikte wachtwoorden ter wereld variaties zijn op "123456", "password" en "qwerty". Zelfs wanneer organisaties complexiteitseisen opleggen — minimaal 12 tekens, hoofdletters, cijfers, speciale tekens — kiezen medewerkers voor voorspelbare patronen: "Welkom2026!", "Bedrijfsnaam1!" of een variatie op hun naam en geboortedatum.
Wachtwoord-hergebruik is een ander groot probleem. De gemiddelde medewerker beheert meer dan 100 online accounts. Zelfs de meest gedisciplineerde gebruiker kan niet voor elk account een uniek, complex wachtwoord onthouden. Het resultaat: dezelfde wachtwoorden worden hergebruikt over persoonlijke en zakelijke accounts. Eén datalek bij een externe dienst compromitteert daarmee potentieel uw gehele organisatie.
Passkeys: de opvolger van het wachtwoord
Passkeys zijn de meest veelbelovende opvolger van het traditionele wachtwoord. Gebaseerd op de FIDO2-standaard en ondersteund door Apple, Google en Microsoft, bieden passkeys een fundamenteel veiliger alternatief dat tegelijkertijd gebruiksvriendelijker is.
Hoe werken passkeys? In plaats van een wachtwoord dat u onthoudt en intypt, gebruikt een passkey cryptografische sleutelparen. De privésleutel verlaat nooit uw apparaat; alleen een wiskundige handtekening wordt naar de server gestuurd. Er valt dus niets te stelen bij een datalek aan de serverkant.
De gebruikerservaring is naadloos: u ontgrendelt de passkey met uw vingerafdruk, gezichtsherkenning of apparaat-PIN. Geen wachtwoord om te onthouden, geen code om in te typen, geen risico op phishing. Want zelfs als een aanvaller u naar een nep-website lokt, werkt de passkey simpelweg niet op een ander domein.
Grote platforms adopteren passkeys in hoog tempo. Google, Apple, Microsoft, Amazon en tientallen andere diensten ondersteunen inmiddels passkey-authenticatie. De kritische massa is bereikt.
FIDO2: de standaard achter de revolutie
Achter passkeys schuilt de FIDO2-standaard — een open authenticatieprotocol ontwikkeld door de FIDO Alliance, een consortium van meer dan 250 technologiebedrijven. FIDO2 bestaat uit twee componenten: WebAuthn (de browser-API) en CTAP (het communicatieprotocol met externe authenticators).
Het krachtige aan FIDO2 is dat het phishing-resistant by design is. De authenticatie is gebonden aan het specifieke domein van de website. Een nep-website op een ander domein kan de FIDO2-authenticatie niet activeren. Dit is een fundamenteel verschil met wachtwoorden en zelfs met traditionele MFA-methoden zoals SMS-codes of authenticator-apps, die wel kwetsbaar zijn voor geavanceerde phishing-aanvallen.
Voor organisaties biedt FIDO2 ook operationele voordelen: minder wachtwoord-resets (een kostbare helpdesk-activiteit), minder accountcompromitteringen en een betere gebruikerservaring die compliance met beveiligingsbeleid verbetert.
Biometrie: uw lichaam als sleutel
Biometrische authenticatie — vingerafdrukken, gezichtsherkenning, irisscans — is niet nieuw, maar de technologie heeft een maturiteitsniveau bereikt dat brede adoptie mogelijk maakt. Moderne smartphones en laptops hebben biometrische sensoren die betrouwbaar, snel en veilig zijn.
De kracht van biometrie is onloochenbaarheid: uw vingerafdruk kan niet worden vergeten, verloren of gedeeld. Maar biometrie heeft ook beperkingen. Biometrische data zijn niet inwisselbaar — u kunt uw vingerafdruk niet "resetten" zoals een wachtwoord. Daarom worden biometrische gegevens in moderne implementaties lokaal opgeslagen en verwerkt op het apparaat zelf, nooit naar een centrale server gestuurd.
De combinatie van biometrie met cryptografische sleutels — zoals in passkeys — biedt het beste van beide werelden: de gebruikersvriendelijkheid van biometrie met de cryptografische zekerheid van FIDO2.
Wachtwoordgedrag meten: de transitie begeleiden
De overgang van wachtwoorden naar passkeys en biometrie is geen kwestie van een knop omzetten. Organisaties moeten hun huidige wachtwoordgedrag begrijpen voordat ze een migratiestrategie kunnen formuleren.
Hoe gaan medewerkers nu om met wachtwoorden? Hoeveel gebruiken een wachtwoordmanager? Hoeveel hergebruiken wachtwoorden over accounts? Hoe snel worden gecompromitteerde wachtwoorden gewijzigd? Wat is het adoptieniveau van bestaande MFA-oplossingen?
Deze inzichten zijn essentieel voor een succesvolle transitie. Een organisatie waar 90% van de medewerkers al een wachtwoordmanager gebruikt, is klaar voor een snelle overstap naar passkeys. Een organisatie waar medewerkers nog steeds wachtwoorden op post-its schrijven, heeft eerst een cultuurverandering nodig.
Gedragsmeting helpt ook bij het identificeren van risicogroepen. Welke afdelingen of functies hebben het slechtste wachtwoordgedrag? Waar is de urgentie het grootst? Waar moet extra ondersteuning worden geboden tijdens de transitie?
De weg vooruit
De toekomst van authenticatie is passwordless, maar de weg ernaartoe is een geleidelijk proces. Organisaties die nu beginnen met het inventariseren van hun authenticatielandschap, het meten van wachtwoordgedrag en het piloten van passkeys, hebben een voorsprong.
De eerste stap hoeft niet groots te zijn. Begin met het uitrollen van passkeys voor de meest kritische systemen en de meest risicovolle gebruikersgroepen. Meet de adoptie, evalueer de ervaring en schaal op.
Nexus-7 helpt organisaties bij het in kaart brengen van hun authenticatierisico's, het meten van wachtwoordgedrag en het ontwikkelen van een pragmatische roadmap naar passwordless authenticatie. Niet als een big bang maar als een gecontroleerde transitie die past bij uw organisatie.
