Waarom 81% van de aanvallen je wachtwoordmanager omzeilt

Het slot op je digitale voordeur heeft een loper

Je hebt een kwartier besteed aan het genereren van een willekeurig wachtwoord van 24 tekens voor je bankrekening. Je hebt tweefactorauthenticatie ingeschakeld. Je wachtwoordmanager zit achter biometrische ontgrendeling en zero-knowledge-encryptie. Volgens het draaiboek heb je alles goed gedaan.

Niets daarvan deed ertoe toen een infostealer 1.861 sessiecookies van een enkel besmet apparaat aftapte.

Dat getal komt uit de SpyCloud-analyse van 2025 over door malware geexfiltreerde gegevens, die meer dan 20 miljard gestolen sessiecookies in een jaar terughaalde. De implicatie is verstrekkend: aanvallers hebben je wachtwoord niet meer nodig. Ze hebben een cookie uit je browser nodig die zegt "deze persoon is al ingelogd", en daarmee lopen ze langs je 24-tekenfort, je MFA-prompt en zelfs je gloednieuwe passkeys.

Je wachtwoordmanager heeft een groter probleem dan je denkt

In februari 2026 publiceerden onderzoekers van ETH Zurich en de Università della Svizzera italiana bevindingen die elke gebruiker van een wachtwoordmanager te denken zouden moeten geven. Ze ontdekten 25 verschillende wachtwoordherstelaanvallen bij de vier populairste cloudgebaseerde managers: Bitwarden had te maken met 12 aanvalsscenario's, LastPass met zeven, Dashlane met zes. Samen beschermen deze platforms meer dan 60 miljoen gebruikers en 125.000 bedrijven.

De aanvallen varieren van metadatalekken tot volledige kluiscompromittering. De onderzoekers toonden aan dat "zero-knowledge-encryptie", het verkoopargument van elke wachtwoordmanager, omzeild kan worden via sleutelbewaring-exploitatie, gebrekkige versleuteling op itemniveau en kwetsbaarheden in deelfuncties.

Dit betekent niet dat je je wachtwoordmanager morgen moet verwijderen. Het betekent dat het gereedschap een noodzakelijke basis is, niet het veiligheidsschild waarvoor de meesten het houden.

Sessiekaping: de aanval die authenticatie irrelevant maakt

Hier is het ongemakkelijke patroon: 87% van de geslaagde cyberaanvallen in 2024 betrof sessiekaping na een geldige MFA-login. De aanvaller kraakt je wachtwoord niet en onderschept je eenmalige code niet. Die wacht tot je hebt bewezen wie je bent en steelt dan het sessietoken dat je browser aanmaakt na succesvolle authenticatie.

Zie het zo: je wachtwoord is de sleutel, MFA is het extra slot. Maar een sessiecookie is de deur die wagenwijd openstaat nadat je er al doorheen bent gelopen, en die dagenlang, soms wekenlang open blijft staan.

Infostealer-malware als RedLine en Raccoon opereert inmiddels op industriele schaal. Een enkele malwarecampagne kan 548 miljoen wachtwoorden en 17 miljard sessiecookies tegelijk oogsten. Criminelen verpakken deze gestolen sessies als commerciele producten op ondergrondse markten zoals de Genesis Store, compleet met browservingerafdrukken en IP-adressen om slachtoffers naadloos na te bootsen.

Adversary-in-the-middle-phishingaanvallen (AiTM) stegen in 2025 met 146%, met bijna 40.000 dagelijks gedetecteerde incidenten. Ze plaatsen zich tussen jou en de legitieme inlogpagina en onderscheppen inloggegevens en sessietokens in real time.

Passkeys sluiten het aanvalsoppervlak, maar bijna niemand kan ze gebruiken

Passkeys vormen een echte architecturale verschuiving. In plaats van een gedeeld geheim naar de server te sturen, gebruikt een passkey publieke-sleutelcryptografie die gekoppeld is aan je specifieke apparaat. Aan de serverkant valt niets te stelen, omdat de prive-sleutel het apparaat nooit verlaat. De FIDO Alliance meldt dat passkeys inmiddels meer dan 15 miljard accounts in staat stellen wachtwoordloos in te loggen, met een slagingspercentage van 93% tegenover 63% bij traditionele inloggegevens.

Diensten die passkeys hebben ingevoerd, melden accountovernames van vrijwel nul.

De kloof waarover niemand eerlijk praat: slechts ongeveer 48% van de 100 grootste websites ondersteunt passkeys. Buiten die top daalt de ondersteuning fors. Je bank, je zorgportaal, de legacy-VPN van je werkgever draaien hoogstwaarschijnlijk nog op wachtwoorden en SMS-gebaseerde MFA. Ook voor iDEAL-betalingen en DigiD-toegang geldt dat de onderliggende authenticatie lang niet altijd passkey-compatibel is.

Ondertussen werden 16 miljard inloggegevens halverwege 2025 blootgesteld in 30 datasets op het dark web. Veel van die wachtwoorden waren vers geoogst door infostealers, wat betekent dat ze actief en in gebruik waren op het moment van blootstelling.

Wat je nu werkelijk beschermt

De contra-intuitieve waarheid is niet dat wachtwoordmanagers nutteloos zijn. Ze lossen het probleem van gisteren op, terwijl de aanvallen van vandaag zijn verschoven naar sessietokens en post-authenticatievectoren.

Een eigentijdse beveiligingsaanpak voor 2026 omvat: je wachtwoordmanager behouden zonder die als onkwetsbaar te beschouwen; passkeys activeren overal waar ze beschikbaar zijn; sessiehygiene net zo serieus nemen als wachtwoordhygiene, door uit te loggen bij gevoelige accounts en banksessies te isoleren in aparte browserprofielen; endpointbescherming gebruiken die infostealers detecteert; en alert blijven op AiTM-phishing.

Je wachtwoordmanager is niet achterhaald. Maar het dreigingsmodel waarvoor die is ontworpen wel. Het 24-tekenwachtwoord van je bankrekening doet er nog steeds toe, alleen niet om de redenen die je denkt. De echte strijd speelt zich af na het inloggen, en dat is een gevecht waarvoor je wachtwoordmanager nooit is gebouwd.