Wat gebeurt er als ik mijn telefoon met een toegangssleutel verlies?

Als de toegangssleutel is gesynchroniseerd met uw iCloud-/Google-account, kunt u deze herstellen door u op een nieuw apparaat aan te melden bij dat account. Als het apparaatgebonden was (hardwaresleutel), registreerde u doorgaans ook een back-upapparaat. Elke site die wachtwoordsleutels ondersteunt, raadt aan om er minimaal twee te registreren. De herstelstroom valt terug naar e-mail/sms als beide mislukken.

Zijn wachtwoordsleutels hetzelfde als biometrische login?

Niet precies. De biometrie (Touch ID, Face ID) ontgrendelt de toegangssleutel op uw apparaat. De toegangssleutel zelf is een cryptografische sleutel. De vingerafdruk verlaat uw apparaat nooit: de site ziet alleen een handtekening van een sleutel in uw beveiligde enclave. De biometrie autoriseert de cryptografie; het wordt niet verzonden.

Kan een toegangssleutel worden gestolen?

De privésleutel bevindt zich in beveiligde hardware (Secure Enclave, TPM, TitanM2) en is ontworpen om niet-extraheerbaar te zijn. In de cloud gesynchroniseerde toegangscodes kunnen worden vrijgegeven als uw iCloud- of Google-account wordt gecompromitteerd. Daarom hebben deze accounts hun eigen sterke bescherming nodig (idealiter met een hardwaresleutel 2FA).

Werken alle websites met wachtwoordsleutels?

Alleen sites die WebAuthn hebben geïmplementeerd. De adoptie is breed maar ongelijkmatig: grote technologie- en financiële sites ondersteunen het meestal, kleinere sites vaak niet. Als een site geen wachtwoordsleutels ondersteunt, val je terug op wachtwoord + 2FA, wat prima is.

Zijn wachtwoordsleutels veiliger dan hardwaresleutels?

Ongeveer gelijk aan de eigenschap phishing-resistentie. Hardwaresleutels hebben één voordeel: de inloggegevens kunnen nooit worden geëxfiltreerd, zelfs niet als uw computer of cloudaccount in gevaar is gebracht. Gesynchroniseerde toegangscodes zijn handiger en even phishingbestendig, maar minder bestand tegen een volledig gecompromitteerd cloudaccount. Gebruik voor accounts met een hoge inzet een hardwaresleutel. Voor dagelijks gebruik bieden gesynchroniseerde wachtwoordsleutels de juiste balans.

Wachtwoorden uitgelegd: hoe FIDO2 en WebAuthn het wachtwoord vernietigen

Wachtwoorden komen nog het dichtst in de buurt van een echte opvolger van wachtwoorden. Ze authenticeren u met cryptografie in plaats van met een gedeeld geheim, ze worden op al uw apparaten gesynchroniseerd via de sleutelhanger van uw besturingssysteem en ze zijn door hun ontwerp phishing-bestendig. Elk groot besturingssysteem, browser en identiteitsprovider biedt nu ondersteuning voor wachtwoordsleutels.

De volledige artikeltekst vindt u hieronder in het Engels.

A passkey is een FIDO2-referentie: een cryptografisch sleutelpaar dat is gemaakt en opgeslagen door het besturingssysteem van uw apparaat en dat wordt gebruikt om u te authenticeren bij een website of app zonder een wachtwoord te typen. De browser bewijst het bezit van de privésleutel door een uitdaging van de site te ondertekenen; de site verifieert met de geregistreerde publieke sleutel. Geen wachtwoorden, geen codes, geen wrijving behalve een vingerafdruk of Face ID-prompt.

Welke wachtwoordsleutels vervangen

De traditionele inlogstroom kent drie gelaagde problemen:

Wachtwoorden zijn te raden. De meest voorkomende zijn woordenboekwoorden en eenvoudige patronen. Credential-stuffing-aanvallen recyclen gelekte wachtwoorddatabases op elke site.
Wachtwoorden zijn herbruikbaar. Gebruikers hergebruiken ze in verschillende services, dus één inbreuk brengt veel accounts in gevaar.
2FA is vastgeschroefd. SMS-codes kunnen worden onderschept, TOTP kan in realtime worden gephishing, alleen hardwaresleutels zijn echt phishing-bestendig – en hardwaresleutels zijn te veel wrijving voor gewone gebruikers.

Passkeys bundelen de wachtwoord- en 2FA-ervaring in één enkele biometrische of pincodecontrole op een apparaat dat al is geverifieerd.

Hoe een wachtwoordsleutel eigenlijk werkt

Het onderliggende protocol is WebAuthn (W3C standaard) aan de browserzijde en CTAP2 (Client to Authenticator Protocol) wanneer het om een afzonderlijk apparaat zoals een hardwaresleutel gaat. Samen implementeren ze het FIDO2-framework.

Wanneer u een toegangssleutel registreert op example.com:

De site vraagt uw browser om een inloggegevens aan te maken.
Het besturingssysteem genereert een ECC-sleutelpaar (meestal op de Secure Enclave / TPM / TitanM2).
Het besturingssysteem associeert de openbare sleutel met example.com en een identificatie-ID.
De browser stuurt de openbare sleutel naar de site, die deze opslaat in uw accountrecord.
De privésleutel verlaat nooit de beveiligde opslag van uw apparaat.

Wanneer u de volgende keer inlogt:

De site verzendt een willekeurige challenge.
De browser vraagt het besturingssysteem om de uitdaging te ondertekenen met uw privésleutel van example.com.
Het besturingssysteem vraagt u om autorisatie: Touch ID, Face ID, Windows Hello of een pincode.
De ondertekende uitdaging gaat terug naar de site, die verifieert aan de hand van de openbare sleutel die erin is opgeslagen.
Je bent ingelogd in.

Waarom wachtwoordsleutels phishing-proof zijn

De browser koppelt de handtekening aan het daadwerkelijke domein (oorsprong) dat de gebruiker bezoekt. Als u zich op het echte voorbeeld.com bevindt, is de handtekening bijvoorbeeld voorbeeld.com. Als u op evil-example.com wordt misleid, produceert de browser een handtekening voor evil-example.com, die de echte example.com niet accepteert. De aanvaller kan de inloggegevens niet onderscheppen en opnieuw afspelen. Er is geen herspeelbaar geheim zoals een wachtwoord of TOTP-code om vast te leggen.

Dit is dezelfde eigenschap die hardware-FIDO2-sleutels phishing-proof maakte, nu uitgebreid tot door het besturingssysteem beheerde inloggegevens waarvoor geen aparte dongle nodig is.

Sync versus apparaatgebonden

Er zijn twee smaken wachtwoord:

Gesynchroniseerde wachtwoordsleutels. Opgeslagen in de OS-sleutelhanger (iCloud-sleutelhanger, Google Wachtwoordmanager, 1Password, Bitwarden) en gesynchroniseerd op al uw apparaten. U kunt vanaf uw laptop inloggen met een wachtwoord dat op uw telefoon is aangemaakt. Meest gebruiksvriendelijke.
Apparaatgebonden toegangscodes. Blijf op één apparaat, meestal een hardwaresleutel. Hogere veiligheidsgaranties (kan niet worden geëxfiltreerd, zelfs niet als uw iCloud-account is gecompromitteerd) ten koste van het elke keer nodig hebben van het fysieke apparaat. Enterprise- en hoogbeveiligde gebruiksscenario's geven hier de voorkeur aan.

Aanmelding via verschillende apparaten

U kunt inloggen op een apparaat dat uw toegangscode niet heeft door een toegangscode te gebruiken op een apparaat in de buurt. De standaardprocedure: de laptop toont een QR-code, u scant deze met uw telefoon, uw telefoon authenticeert met de toegangssleutel en verzendt de bewering naar de laptop via Bluetooth-nabijheidscontrole. Snel, vereist niet dat de telefoon op dezelfde Wi-Fi is aangesloten, voorkomt aanvallen over lange afstanden omdat Bluetooth fysieke nabijheid bewijst.

Adoptie in 2026

De uitrol van de toegangssleutel is sneller gegaan dan de gebruikelijke beveiligingsnormen:

Apple, Google en Microsoft bieden sinds 2022-2023 ondersteuning voor wachtwoordsleutels in hun OS-sleutelhangers
1Password, Bitwarden en Dashlane hebben in 2023 synchronisatie van wachtwoordsleutels tussen besturingssystemen toegevoegd
Grote sites met ondersteuning voor wachtwoordsleutels zijn onder meer Google, Apple, Microsoft, Meta, Amazon, GitHub, eBay, PayPal, Best Buy, Robinhood, honderden meer
Veel sites gebruiken nog steeds standaard een wachtwoord+2FA, maar bieden een wachtwoordcode aan als optie

Het probleem zit nu vooral in de adoptie van de site en de bekendheid van de gebruiker. De technologie is geregeld.

Waar wachtwoordsleutels tekortschieten

Een paar eerlijke beperkingen:

Accountherstel is moeilijker. Als u al uw apparaten en toegang tot uw synchronisatieprovider kwijtraakt, kunt u uw wachtwoordsleutels kwijtraken. Sites die wachtwoordsleutels ondersteunen, hebben nog steeds een proces voor accountherstel nodig, waarbij vaak wordt teruggevallen op e-mail of sms, wat betekent dat de beveiligingsvloer nog steeds de e-mail- of telefoonprovider is.
Vergrendelen via ecosysteem. Apple's iCloud-sleutelhanger synchroniseert wachtwoordsleutels tussen Apple-apparaten goed; Voor synchronisatie tussen leveranciers is een wachtwoordbeheerder van derden vereist.
Phishing-proofing is geen account-overname-proofing. Een wachtwoordsleutel kan niet worden gephished, maar sessiecookies kunnen na het inloggen nog steeds worden gestolen door malware.

Voor de meeste accounts zijn wachtwoordsleutels absoluut beter dan wachtwoorden. De migratie gebeurt met één grote site tegelijk.

Veelgestelde vragen

Wat gebeurt er als ik mijn telefoon met een toegangssleutel verlies?: Als de toegangssleutel is gesynchroniseerd met uw iCloud-/Google-account, kunt u deze herstellen door u op een nieuw apparaat aan te melden bij dat account. Als het apparaatgebonden was (hardwaresleutel), registreerde u doorgaans ook een back-upapparaat. Elke site die wachtwoordsleutels ondersteunt, raadt aan om er minimaal twee te registreren. De herstelstroom valt terug naar e-mail/sms als beide mislukken.
Zijn wachtwoordsleutels hetzelfde als biometrische login?: Niet precies. De biometrie (Touch ID, Face ID) ontgrendelt de toegangssleutel op uw apparaat. De toegangssleutel zelf is een cryptografische sleutel. De vingerafdruk verlaat uw apparaat nooit: de site ziet alleen een handtekening van een sleutel in uw beveiligde enclave. De biometrie autoriseert de cryptografie; het wordt niet verzonden.
Kan een toegangssleutel worden gestolen?: De privésleutel bevindt zich in beveiligde hardware (Secure Enclave, TPM, TitanM2) en is ontworpen om niet-extraheerbaar te zijn. In de cloud gesynchroniseerde toegangscodes kunnen worden vrijgegeven als uw iCloud- of Google-account wordt gecompromitteerd. Daarom hebben deze accounts hun eigen sterke bescherming nodig (idealiter met een hardwaresleutel 2FA).
Werken alle websites met wachtwoordsleutels?: Alleen sites die WebAuthn hebben geïmplementeerd. De adoptie is breed maar ongelijkmatig: grote technologie- en financiële sites ondersteunen het meestal, kleinere sites vaak niet. Als een site geen wachtwoordsleutels ondersteunt, val je terug op wachtwoord + 2FA, wat prima is.
Zijn wachtwoordsleutels veiliger dan hardwaresleutels?: Ongeveer gelijk aan de eigenschap phishing-resistentie. Hardwaresleutels hebben één voordeel: de inloggegevens kunnen nooit worden geëxfiltreerd, zelfs niet als uw computer of cloudaccount in gevaar is gebracht. Gesynchroniseerde toegangscodes zijn handiger en even phishingbestendig, maar minder bestand tegen een volledig gecompromitteerd cloudaccount. Gebruik voor accounts met een hoge inzet een hardwaresleutel. Voor dagelijks gebruik bieden gesynchroniseerde wachtwoordsleutels de juiste balans.