Niet je wachtwoord, maar je toestel wordt nu de sleutel

Het wachtwoord voelt nog steeds vertrouwd. Juist daarom is het zo hardnekkig. Alleen laat de praktijk zien dat vertrouwd niet hetzelfde is als veilig. Onderzoekers die in 2025 negentien miljard gelekte inloggegevens bekeken, zagen dat slechts 6 procent echt uniek was. De overige 94 procent bestond uit hergebruikte, gerecyclede of licht aangepaste wachtwoorden, volgens een analyse van DeepStrike met SpyCloud-data.

Het cijfer dat het wachtwoordprobleem blootlegt

Dat percentage maakt één ding duidelijk: het zwakke punt zit niet alleen bij de gebruiker, maar in het systeem zelf. Het DBIR 2025 van Verizon laat zien dat gestolen inloggegevens het eerste toegangspunt vormden bij 22 procent van de onderzochte datalekken. Daarnaast is credential stuffing, waarbij aanvallers gestolen combinaties van gebruikersnaam en wachtwoord op grote schaal uitproberen, goed voor 19 procent van alle authenticatiepogingen bij single-sign-onproviders op een doorsneedag. Op slechte dagen loopt dat op tot 44 procent.

Voor Nederland is dat geen abstract verhaal. De digitale basis is hier sterk, de adoptie van online bankieren en overheidsdiensten is hoog en veel mensen regelen bijna alles via hun telefoon. Dat is efficiënt, maar het betekent ook dat één zwak wachtwoord ineens toegang kan geven tot een opvallend groot deel van je leven. Juist in een land met hoge digitale geletterdheid wordt de vraag dan praktisch: waarom blijven vasthouden aan een methode die aantoonbaar slechter werkt?

Waarom passkeys beter werken in de praktijk

Passkeys zijn in wezen een andere manier van bewijzen dat jij jij bent. De Passkey Index 2025 van FIDO Alliance, gebaseerd op data van onder meer Amazon, Google, Microsoft, PayPal, Target en TikTok, noemt een authenticatiesucces van 98 procent voor passkeys. Wachtwoorden blijven steken op 32 procent. Dat is niet een klein beetje gebruiksvriendelijker. Dat is een systeemwissel.

Bij een passkey krijgt elk account een uniek cryptografisch sleutelpaar. Eén sleutel blijft op je apparaat, de andere staat bij de dienst. Als je inlogt, bewijst je toestel dat het de privésleutel heeft, meestal via je vingerafdruk, gezichtsherkenning of een pincode op het apparaat zelf. Er gaat dus geen gedeeld geheim over het netwerk dat kan worden onderschept, geraden of opnieuw gebruikt.

Dat scheelt ook tijd. Volgens een analyse van Microsoft over de invoering van passkeys is inloggen met een passkey drie keer sneller dan een wachtwoord intypen en acht keer sneller dan een wachtwoord plus traditionele tweefactorauthenticatie. TikTok zag het slagingspercentage van logins verdubbelen. Zoho meldde logins die zes keer sneller verliepen. Dat klinkt technisch, maar het effect is heel nuchter: minder frictie, minder fouten, minder kansen voor misbruik.

De grote platforms wachten niet meer af

Google, Apple en Microsoft behandelen passkeys inmiddels niet meer als experimentele optie. Google heeft meer dan 800 miljoen accounts met passkeys en meldt voor die groep 99,9 procent minder accountcompromittering, op basis van de verzamelde cijfers van DeepStrike. Amazon zette in het eerste jaar 175 miljoen gebruikers over. Microsoft registreert bijna een miljoen nieuwe passkeys per dag en maakte passkeys sinds mei 2025 de standaard voor alle nieuwe accounts. Dat leidde op het platform tot 120 procent meer passkey-authenticatie.

Apple haalde in september 2025 ook een praktische drempel weg. Met iOS 26 werd het mogelijk om passkeys te exporteren via de Credential Exchange-standaard. Daarmee werd de angst voor vastzitten in één ecosysteem een stuk kleiner. Eind 2025 had 69 procent van de gebruikers minstens één passkey, terwijl de bekendheid twee jaar eerder nog op 39 procent lag, volgens FIDO Alliance. Gartner verwacht dat passkeys in 2027 de primaire authenticatiemethode zijn.

Een wachtwoordmanager lost het kernprobleem niet op

Een wachtwoordmanager blijft handig. Je hoeft minder te onthouden en unieke wachtwoorden worden realistischer. Alleen verdwijnt het eigenlijke probleem daarmee niet. Het wachtwoord blijft nog steeds iets dat kan worden gestolen en daarna gewoon werkt.

Het onderzoek van Verizon laat zien dat infostealer-malware in 2024 alleen al 548 miljoen wachtwoorden en 17 miljard sessiecookies buitmaakte. Op gecompromitteerde apparaten bleek bovendien dat slechts 49 procent van iemands wachtwoorden over verschillende diensten echt van elkaar verschilde, zelfs wanneer er een wachtwoordmanager in beeld was. En er is nog een probleem: bij session hijacking hoeft een aanvaller niet eens je wachtwoord of tweede factor te hebben. Een gestolen cookie van een al ingelogde sessie kan genoeg zijn, zoals een rapport over gecompromitteerde credentials beschrijft.

De logische overstap begint bij je belangrijkste accounts

De praktische conclusie is niet ingewikkeld. Zet passkeys eerst aan voor je e-mail, bankzaken, betaaldiensten en andere accounts waarmee je alles kunt resetten. Houd je wachtwoordmanager, maar gebruik hem vooral voor websites die nog niet mee zijn en voor het bewaren van passkeys als dat wordt ondersteund. Zorg ook dat biometrische ontgrendeling op telefoon en laptop aanstaat, want daar vindt de lokale controle plaats. En kijk vooral kritisch naar wachtwoorden die je nog op meerdere plekken gebruikt.

Die 94 procent hergebruik zegt minder over luiheid dan over een slecht ontwerp. Van mensen vragen dat ze tientallen unieke geheimen onthouden, is gewoon niet erg realistisch. Passkeys maken daar iets nuchters van: ze halen het meest misbruikbare onderdeel uit het proces. Voor wie vooral wil dat beveiliging werkt zonder gedoe, is dat waarschijnlijk het overtuigendste argument.