Telkens wanneer we ons aanmelden bij een account of een apparaat ontgrendelen, moeten we bewijzen dat we gemachtigd zijn om er toegang toe te krijgen. Historisch gezien nam dat bewijs de vorm aan van een wachtwoord: een geheime tekenreeks die we moeten onthouden of opslaan in een wachtwoordbeheerder.
Een Passkey verschilt van een wachtwoord doordat die toegang koppelt aan iets dat u fysiek bezit — een cryptografisch token dat is opgeslagen op uw telefoon, laptop of beveiligingssleutel — samen met een biometrische factor, zoals een vingerafdruk of gezichtsscan.
Een gebruikelijke manier om het verschil te beschrijven is:
- Wachtwoord = iets wat u weet
- Passkey = iets wat u hebt + wie u bent
Hoewel beide methoden u toegang geven, verschillen de manieren waarop ze dat doel bereiken en kunnen ze een aanzienlijke invloed hebben op beveiliging en gebruiksgemak.
Wat is een Passkey?
Een Passkey is als een wachtwoord dat op uw apparaat staat en door de accounts waarbij u zich aanmeldt cryptografisch kan worden gecontroleerd. Passkeys zijn gebaseerd op de FIDO2-standaard (gedefinieerd door de FIDO Alliance(nieuw venster)) en de WebAuthn API.
Zo werkt het:
Wanneer een Passkey wordt aangemaakt, genereert uw wachtwoordbeheerder een gekoppeld paar cryptografische sleutels: een openbare sleutel en een geheime sleutel.
- De openbare sleutel wordt gedeeld met de dienst waarbij u zich registreert.
- De geheime sleutel blijft in uw wachtwoordbeheerder of op uw apparaat en verlaat die nooit.
Tijdens een inlogpoging geeft de dienst een willekeurige challenge uit. Uw apparaat gebruikt de geheime sleutel op uw apparaat om die challenge te ondertekenen, waardoor een reactie wordt geproduceerd die alleen door de bijbehorende geheime sleutel kon worden gegenereerd. De dienst verifieert vervolgens de handtekening met de eerder opgeslagen openbare sleutel, waarmee wordt bevestigd dat u de rechtmatige accounthouder bent.
Omdat de geheime sleutel uw apparaat nooit verlaat, kan een phishingsite u niet misleiden om die af te geven, waardoor Passkeys inherent bestand zijn tegen phishing.
Beveiligingsvergelijking: Passkey versus wachtwoord
Of u een wachtwoord of Passkey gebruikt, hangt af van verschillende factoren. Niet elke website biedt Passkeys als optie. Maar voor websites die dat wel doen, zijn er verschillende redenen om een overstap te overwegen.
Passkeys worden als veiliger beschouwd dan wachtwoorden omdat de geheime sleutel uw apparaat nooit verlaat. Zelfs als iemand u misleidt met een valse site, netwerkverkeer onderschept of een brute-force attack probeert uit te voeren, kan die persoon de geheime sleutel niet bemachtigen — die blijft in uw telefoon, computer of een dongle met beveiligingssleutel. Zolang u het apparaat beschermt met een PIN, vingerafdruk of een andere vorm van Tweestapsverificatie (2FA) en een betrouwbare herstelmethode hebt, biedt een Passkey u een sterkere, beter tegen phishing beschermde beveiligingssetup dan een gewoon wachtwoord.
| Functie | Passkeys | Wachtwoorden |
| Verificatiemethode | Cryptografie met openbare sleutels (geheime sleutel opgeslagen op apparaat) | Geheime tekenreeks die door de gebruiker wordt onthouden |
| Bestand tegen phishing | Hoog | Laag |
| Herstelopties | Back-up van apparaat, accountherstelproces | Resetten via e-mail, beveiligingsvragen |
| Gebruikerservaring | Biometrie of PIN | Typen of automatisch aanvullen |
| Compatibiliteit | Groeiend | Universele ondersteuning |
| Kwetsbaarheid voor hergebruik | Altijd uniek per site | Veelvoorkomend probleem |
Bruikbaarheid en gebruikerservaring van Passkey
Afgezien van de beveiligingsvoordelen van het gebruik van een Passkey, zijn er nog andere voordelen:
- Passkeys maken aanmelden sneller omdat de verificatiestroom wordt teruggebracht tot één tik of blik, waardoor de wrijving van het handmatig invoeren van wachtwoorden of het Resetten van vergeten wachtwoorden verdwijnt.
- Veel wachtwoordbeheerders kunnen Passkeys veilig synchroniseren op al uw apparaten. Daardoor kan een Passkey die op een smartphone is aangemaakt, worden gebruikt op een laptop, tablet of andere telefoon zonder dat een nieuwe registratie nodig is. Proton Pass werkt op elk platform of apparaat, zodat u Passkeys kunt gebruiken op elke website die deze ondersteunt.
Nadelen en randgevallen van Passkey
Hoewel Passkeys sterke beveiliging en een wrijvingsloze inlogervaring bieden, zijn ze geen wondermiddel. Er zijn nog steeds situaties waarin het gebruik van een Passkey uitdagingen kan opleveren.
Verlies en herstel van apparaat
Als het apparaat waarop uw Passkey is opgeslagen verloren, gestolen of beschadigd raakt, moet u vertrouwen op back-upmechanismen om weer toegang te krijgen. Het herstellen van een Passkey vereist vaak een secundair apparaat of een herstelzin, dus als u geen goed ontworpen herstelproces hebt, loopt u het risico de toegang tot uw accounts te verliezen.
Lacunes in adoptie
Sommige websites en applicaties hebben de WebAuthn/FIDO2-standaarden die Passkeys mogelijk maken nog niet geïmplementeerd. Zelfs bij websites en applicaties die dat wel hebben gedaan, kan ondersteuning voor Passkey beperkt zijn tot bepaalde ecosystemen of besturingssystemen.
Beperkingen van oudere hardware
Verouderde apparaten, zoals oudere smartphones, laptops zonder biometrische sensoren of browsers zonder WebAuthn-ondersteuning, kunnen geen Passkeys genereren of opslaan.
Wanneer heb ik nog steeds een wachtwoord nodig?
Naast het instellen van een wachtwoord als terugvaloptie, zijn er situaties waarin een traditioneel wachtwoord noodzakelijk is als uw primaire methode voor toegang.
1. Sites zonder ondersteuning voor Passkey
Totdat de adoptie van Passkey wijdverbreid is, moet u voor sommige sites mogelijk nog steeds vertrouwen op wachtwoorden. In dat geval kunt u 2FA-methoden zoals een OTP instellen om de beveiliging te vergroten.
2. Scenario’s met openbare of gedeelde computers
Als u niet uw eigen apparaat gebruikt, biedt het invoeren van een wachtwoord (idealiter gecombineerd met 2FA) tijdelijke toegang zonder blijvende inloggegevens achter te laten.
3. Organisatiebeleid en compliancevereisten
Bedrijfsregelgeving, waaronder overheids- of financiële normen, kan multifactor-setups vereisen die nog steeds een wachtwoordcomponent bevatten, of periodieke wachtwoordrotatie verplicht stellen voor auditdoeleinden. Daarnaast integreren zakelijke oplossingen voor single sign-on (SSO) Passkeys soms alleen als optionele factor, terwijl wachtwoorden de primaire inloggegevens blijven.
Hoe u Passkeys adopteert
Overschakelen op Passkeys is relatief eenvoudig.
- Schakel ondersteuning voor Passkey in uw besturingssysteem in
- Download een wachtwoordbeheerder
- Kies een wachtwoordbeheerder die ondersteuning biedt voor Opslag van Passkey, zoals Proton Pass.
- Voeg Passkeys toe aan uw wachtwoordbeheerder
- Importeer bestaande Passkeys of maak direct vanuit de app nieuwe aan.
- Registreer Passkeys bij ondersteunde diensten
- Wanneer u zich inschrijft of aanmeldt bij een site die “Inloggen met Passkey” aanbiedt, selecteert u die optie.
- Stel een herstelmethode in
- Schakel een secundair apparaat in om een kopie van de Passkey op te slaan en noteer elke herstelzin die de dienst biedt.
Veelgestelde vragen
Kan ik een Passkey gebruiken als ik geen wachtwoordbeheerder heb?
Ja, dat kunt u. De meeste moderne besturingssystemen slaan Passkeys lokaal op (iCloud Keychain op Apple-apparaten, Google Password Manager op Android, Windows Hello op Windows). Een speciale wachtwoordbeheerder kan synchronisatie tussen apparaten vereenvoudigen en een extra back-uplaag bieden, maar is niet vereist om Passkeys te gebruiken.
Kan ik Passkeys gebruiken op oudere apparaten?
Passkeys vereisen dat het besturingssysteem en de browser ondersteuning bieden voor de WebAuthn/FIDO2-standaarden. Moderne platforms (iOS 15+, Android 14+, recente macOS-versies, Windows 10 1903+ en bijgewerkte Chrome/Edge/Firefox/Safari) werken direct. Oudere telefoons, verouderde browsers of apparaten van vóór iOS 15/Android 13 missen die ondersteuning, waardoor u op die apparaten geen Passkey kunt gebruiken.
Wat is het verschil tussen een Passkey en een fysiek token?
Een Passkey is een inloggegeven dat is opgeslagen op een apparaat of in een wachtwoordbeheerder en veilig wordt gesynchroniseerd tussen uw apparaten. Een fysiek token (bijvoorbeeld een YubiKey) is een zelfstandige hardwaresleutel die u in uw apparaat moet invoegen. Een fysiek token slaat de geheime sleutel niet op het hostapparaat op, wat isolatie biedt, maar vereist wel dat u het token bij u draagt en back-ups beheert. Beide opties bieden wachtwoordloze, phishingbestendige verificatie, maar Passkeys geven prioriteit aan gemak en synchronisatie, terwijl fysieke tokens prioriteit geven aan hardware-isolatie.
Kan ik een Passkey gebruiken op mijn Windows-pc?
Ja, moderne Windows 10/11-builds bieden ondersteuning voor Passkeys via Windows Hello. Nadat u “Wachtwoordloos aanmelden” hebt ingeschakeld in Instellingen, kunt u zich registreren en verifiëren met een vingerafdruk, gezichtsherkenning of een PIN die de geheime sleutel ontgrendelt die is opgeslagen in de trusted platform module (TPM). Een TPM is een kleine, manipulatieresistente chip die in de meeste moderne pc’s, laptops en sommige tablets is ingebouwd. Het doel ervan is een op hardware gebaseerde root of trust te bieden voor beveiligingskritieke bewerkingen.
Wat gebeurt er als ik mijn telefoon verlies?
Als uw telefoon de enige kopie van een Passkey bevat, hebt u een vooraf geconfigureerde back-upmethode nodig om de toegang te herstellen. Dit is meestal een ander apparaat, een wachtwoordbeheerder of een herstelzin die door de dienst wordt verstrekt. Zonder back-up moet u het accountherstelproces van de dienst volgen.
