Een Leider in het 2025 Gartner® Magic Quadrant™ voor Endpoint Protection Platforms. Vijf jaar op rij.Een Leider in het Gartner® Magic Quadrant™Lees Rapport
Ervaart u een beveiligingslek?Blog
Aan de slagContact Opnemen
Header Navigation - NL
  • Platform
    Platform Overzicht
    • Singularity Platform
      Welkom bij de geïntegreerde bedrijfsbeveiliging
    • AI voor beveiliging
      Toonaangevend in AI-Powered beveiligingsoplossingen
    • Beveiliging van AI
      Versnel de adoptie van AI met veilige AI-tools, applicaties en agents.
    • Hoe het werkt
      Het Singularity XDR verschil
    • Singularity Marketplace
      Integraties met één klik om de kracht van XDR te ontsluiten
    • Prijzen en Pakketten
      Vergelijkingen en richtlijnen in één oogopslag
    Data & AI
    • Purple AI
      SecOps versnellen met generatieve AI
    • Singularity Hyperautomation
      Eenvoudig beveiligingsprocessen automatiseren
    • AI-SIEM
      De AI SIEM voor het Autonome SOC
    • AI Data Pipelines
      Beveiligingsdatapijplijn voor AI SIEM en data-optimalisatie
    • Singularity Data Lake
      Aangedreven door AI, verenigd door Data Lake
    • Singularity Data Lake For Log Analytics
      Naadloze opname van gegevens uit on-prem, cloud of hybride omgevingen
    Endpoint Security
    • Singularity Endpoint
      Autonome preventie, detectie en respons
    • Singularity XDR
      Inheemse en open bescherming, detectie en respons
    • Singularity RemoteOps Forensics
      Forensisch onderzoek op schaal orkestreren
    • Singularity Threat Intelligence
      Uitgebreide informatie over tegenstanders
    • Singularity Vulnerability Management
      Rogue Activa Ontdekken
    • Singularity Identity
      Bedreigingsdetectie en -respons voor Identiteit
    Cloud Security
    • Singularity Cloud Security
      Blokkeer aanvallen met een AI-gebaseerde CNAPP
    • Singularity Cloud Native Security
      Cloud en ontwikkelingsbronnen beveiligen
    • Singularity Cloud Workload Security
      Platform voor realtime bescherming van de cloudwerklast
    • Singularity Cloud Data Security
      AI-gestuurde detectie van bedreigingen
    • Singularity Cloud Security Posture Management
      Cloud misconfiguraties opsporen en herstellen
    AI Beveiligen
    • Prompt Security
      AI-tools in de hele organisatie beveiligen
  • Waarom SentinelOne?
    Waarom SentinelOne?
    • Waarom SentinelOne?
      Cybersecurity Ontworpen voor What’s Next
    • Onze Klanten
      Vertrouwd door 's Werelds Meest Toonaangevende Ondernemingen
    • Industrie Erkenning
      Getest en Gevalideerd door Experts
    • Over Ons
      De Marktleider in Autonome Cybersecurity
    Vergelijk SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Markten
    • Energie
    • Overheid
    • Financieel
    • Zorg
    • Hoger Onderwijs
    • Basis Onderwijs
    • Manufacturing
    • Retail
    • Rijksoverheid & lokale overheden
  • Services
    Managed Services
    • Managed Services Overzicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Wereldklasse expertise en Threat Intelligence.
    • Managed Detection & Response
      24/7/365 deskundige MDR voor uw volledige omgeving.
    • Incident Readiness & Response
      DFIR, paraatheid bij inbreuken & compromitteringsbeoordelingen.
    Support, Implementatie & Health
    • Technical Account Management
      Customer Success met Maatwerk Service
    • SentinelOne GO
      Begeleid Onboarden en Implementatieadvies
    • SentinelOne University
      Live en On-Demand Training
    • Services Overview
      Allesomvattende oplossingen voor naadloze beveiligingsoperaties
    • SentinelOne Community
      Community Login
  • Partners
    Ons Ecosysteem
    • MSSP Partners
      Versneld Succes behalen met SentinelOne
    • Singularity Marketplace
      Vergroot de Power van S1 Technologie
    • Cyber Risk Partners
      Schakel de Pro Response en Advisory Teams in
    • Technology Alliances
      Geïntegreerde, Enterprise-Scale Solutions
    • SentinelOne for AWS
      Gehost in AWS-regio's over de hele wereld
    • Channel Partners
      Lever de juiste oplossingen, Samen
    • SentinelOne for Google Cloud
      Geünificeerde, autonome beveiliging die verdedigers een voordeel biedt op wereldwijde schaal.
    Programma Overzicht→
  • Resources
    Resource Center
    • Case Studies
    • Datasheets
    • eBooks
    • Webinars
    • White Papers
    • Events
    Bekijk alle Resources→
    Blog
    • In de Spotlight
    • Voor CISO/CIO
    • Van de Front Lines
    • Cyber Response
    • Identity
    • Cloud
    • macOS
    SentinelOne Blog→
    Tech Resources
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Bedrijf
    Over SentinelOne
    • Over SentinelOne
      De Marktleider in Cybersecurity
    • Labs
      Threat Onderzoek voor de Moderne Threat Hunter
    • Vacatures
      De Nieuwste Vacatures
    • Pers & Nieuws
      Bedrijfsaankondigingen
    • Cybersecurity Blog
      De Laatste Cybersecuritybedreigingen, Nieuws en Meer
    • FAQ
      Krijg Antwoord op de Meest Gestelde Vragen
    • DataSet
      Het Live Data Platform
    • S Foundation
      Zorgen voor een veiligere toekomst voor iedereen
    • S Ventures
      Investeren in Next Generation Security en Data
Aan de slagContact Opnemen
Background image for Passkey versus Security Key: Verschillen & Hoe te Kiezen
Cybersecurity 101/Identiteitsbeveiliging/Passkey versus Security Key

Passkey versus Security Key: Verschillen & Hoe te Kiezen

Passkeys versus security keys: vergelijk FIDO2-credentialtypen op basis van assurantieniveau, attestatie, herstel en enterprise-implementatiemodellen. Ontdek welke het beste past bij uw stack.

CS-101_Identity.svg
Inhoud
Wat zijn passkeys en security keys?
Hoe passkeys en security keys zich verhouden tot cybersecurity
Passkey vs. Security Key in één oogopslag
Hoe FIDO2-authenticatie onder de motorkap werkt
Registratie, authenticatie en waar de twee uiteenlopen
Waar passkeys en security keys vandaag worden ondersteund
Uitdagingen en beperkingen om rekening mee te houden
Best practices voor uitrol van passkeys en security keys
Hoe kies je tussen een passkey en een security key
Belangrijkste punten

Gerelateerde Artikelen

  • Wat is LDAP Injection? Hoe het werkt en hoe het te stoppen
  • Wat is Broken Authentication? Oorzaken, impact & preventie
  • Wat is Authentication Bypass? Technieken & Voorbeelden
  • Adaptieve Multi-Factor Authenticatie: Een Compleet Overzicht
Auteur: SentinelOne | Recensent: Jeremy Goldstein
Bijgewerkt: April 10, 2026

Wat zijn passkeys en security keys?

In 2021 herleidde Colonial Pipeline een ransomware-incident tot een gecompromitteerd VPN-wachtwoord, en het bedrijf betaalde volgens een DOJ-persbericht ongeveer $4,4 miljoen losgeld. Dat is de operationele realiteit van initiële toegang op basis van inloggegevens: aanvallers hebben geen zero-days nodig als ze kunnen phishen, hergebruiken of credential stuffing kunnen uitvoeren tegen wachtwoordgebaseerde authenticatie.

Zowel passkeys als fysieke security keys bestaan om dat gat te dichten. Ze gebruiken dezelfde cryptografische basis, maar het verschil in hoe ze inloggegevens opslaan en beheren is van belang bij het beschermen van een organisatie.

Een passkey is een FIDO-authenticatie-inloggegeven dat wachtwoorden vervangt door cryptografische sleutelpaaren. Volgens de FIDO Alliance kunnen gebruikers met passkeys inloggen op apps en websites via hetzelfde proces als waarmee ze hun apparaat ontgrendelen: biometrie, een pincode of een patroon. Passkeys zijn er in twee vormen:

  • Gesynchroniseerde passkeys slaan inloggegevens op in een cloudgebaseerde credential manager en synchroniseren deze over je apparaten.
  • Apparaatgebonden passkeys vergrendelen de privésleutel aan één apparaat. Deze verlaat nooit die hardware.

In de praktijk bepaalt het opslagmodel de meeste afwegingen voor je organisatie.

Een hardware security key (ook wel roaming authenticator genoemd) is een extern hardwareapparaat dat communiceert met browsers en besturingssystemen via USB, NFC of Bluetooth met behulp van het FIDO2 CTAP (Client-to-Authenticator Protocol). Denk aan YubiKeys, smartcards en vergelijkbare tokens. Deze zijn per definitie apparaatgebonden: de privésleutel wordt opgeslagen in een hardware security module en kan niet worden geëxporteerd of gekopieerd.

Beide technologieën delen dezelfde cryptografische basis. Elke inloggegeven is uniek, gebonden aan een specifiek servicedomein en gebaseerd op standaard public key cryptografie. Biometrische gegevens verlaten je apparaat nooit. De server slaat alleen de publieke sleutel op. Dat gedeelde ontwerp maakt beide opties relevant voor hetzelfde kernbeveiligingsprobleem.

Passkey vs. Security Key - Featured Image | SentinelOne

Hoe passkeys en security keys zich verhouden tot cybersecurity

Het 2025 Verizon DBIR meldt dat misbruik van inloggegevens een groot aandeel heeft in initiële toegang: 22% van de datalekken betreft misbruik van inloggegevens als initiële toegangsmethode, volgens het Verizon DBIR. Dat komt overeen met wat je in de praktijk ziet: zodra een aanvaller geldige inloggegevens heeft, bestrijd je je eigen toegangswegen.

Zowel passkeys als security keys zijn van nature bestand tegen phishing. Zoals de WebAuthn-specificatie definieert, is elke authenticatieverklaring gekoppeld aan een specifiek website-domein, zodat een phishing-site op een ander domein geen geldige verklaring kan verkrijgen. Dit stopt credential phishing, credential stuffing en adversary-in-the-middle-aanvallen op protocolniveau, wat de reden is dat overheidsinstanties en gereguleerde sectoren aandringen op phishing-resistente MFA.

Daarom verplicht OMB M-22-09 nu dat federale instanties uitsluitend phishing-resistente authenticatie gebruiken. De vraag voor jouw organisatie is niet of je FIDO2-authenticatie moet invoeren, maar welk implementatiemodel past bij je risicoprofiel. De onderstaande tabel zet de belangrijkste verschillen naast elkaar.

Passkey vs. Security Key in één oogopslag

KenmerkPasskey (gesynchroniseerd)Fysieke security key
Opslag van inloggegevensCloud credential manager (Apple Keychain, Google Password Manager)Hardware security module op fysiek token
Exporteerbaarheid van sleutelGesynchroniseerd over apparaten via cloud-infrastructuurNiet exporteerbaar; vergrendeld aan hardware
NIST Assurance LevelAAL2AAL3
Phishing-resistentieJa (FIDO2 domeinbinding)Ja (FIDO2 domeinbinding)
ApparaatattestatieNiet ondersteund (cloudsync verbreekt chain-of-trust)Ondersteund (hardware-ingebed fabrikantcertificaat)
HerstelmodelCloudaccountherstel via providerFysieke back-up key of admin-gemedieerde herinschrijving
GebruikerservaringTransparant, werkt over gesynchroniseerde apparatenFysiek token vereist bij elke login
HardwarekostenGeen (software-gebaseerd)Aanschaf token per gebruiker en lifecycle management
Cross-platform ondersteuningAfhankelijk van provider-ecosysteemUniverseel (USB, NFC, BLE op elk FIDO2-platform)
Beste toepassingAlgemene medewerkers, BYOD-omgevingenBevoorrechte admins, gereguleerde sectoren, AAL3-compliance

De protocolstack, het opslagmodel en de attestatie-ondersteuning achter elke optie bepalen je assurance-niveau. Hier volgt hoe die componenten zijn opgebouwd.

Hoe FIDO2-authenticatie onder de motorkap werkt

Zowel passkeys als security keys vertrouwen op dezelfde FIDO2-protocolstack, maar verschillen in hoe ze het onderliggende cryptografische materiaal opslaan, beschermen en beheren. Inzicht in deze componenten helpt je het juiste type inloggegeven te koppelen aan het juiste risiconiveau.

FIDO2-protocolstack

FIDO2 bestaat uit twee kerncomponenten zoals gedefinieerd door de FIDO-specificaties:

  1. W3C Web Authentication (WebAuthn): De browser-API die FIDO-authenticatie op websites en applicaties mogelijk maakt.
  2. Client-to-Authenticator Protocol (CTAP): Het protocol waarmee externe authenticators kunnen communiceren met FIDO2-compatibele browsers en besturingssystemen.

Deze twee lagen zorgen voor origin binding en het cryptografisch bewijs dat sterke, phishing-resistente aanmelding mogelijk maakt.

Architectuur voor opslag van inloggegevens

Het opslagmodel is het bepalende verschil tussen passkeys en security keys. Elke aanpak gaat anders om met de privésleutel:

  • Hardware security keys slaan privésleutels op in speciale hardware security modules (HSM), vaak met gebruik van een Trusted Platform Module (TPM)-chip. Volgens Microsoft Entra-documentatie is het sleutelmateriaal niet exporteerbaar. Je kunt het niet kopiëren, back-uppen of synchroniseren.
  • Gesynchroniseerde passkeys gebruiken een besturingssysteem of derde partij voor synchronisatie van cryptografische sleutels over apparaten. De FIDO Alliance enterprise deployment guide merkt op dat dit een afhankelijkheid creëert van de synchronisatie-infrastructuur van de passkey-provider en hun beveiligingsmaatregelen.

Dat opslagverschil bepaalt alle vervolgkeuzes rond attestatie, compliance en herstel.

Attestatie

Apparaatattestatie is een techniek ingebouwd in FIDO- en WebAuthn-protocollen waarmee de authenticator cryptografisch de chain of trust van de fabrikant van het apparaat kan verifiëren. Volgens de FIDO Alliance attestation white paper vereist dit een hardware-ingebed fabrikantcertificaat in het beveiligde element van de authenticator.

Gesynchroniseerde passkeys kunnen geen apparaatprovenance bieden omdat cloud-synchronisatie deze cryptografische keten verbreekt. Als je attestatie afdwingt in je identity platform, komen alleen apparaatgebonden inloggegevens in aanmerking.

Compliance-afstemming

NIST SP 800-63B-4 trekt een duidelijke lijn. AAL2 vereist phishing-resistente authenticatie, en zowel gesynchroniseerde passkeys als security keys kunnen hiervoor in aanmerking komen. AAL3 vereist een niet-exporteerbare authenticatiesleutel, wat gesynchroniseerde passkeys volledig uitsluit.

Deze componenten zijn direct gekoppeld aan wat er gebeurt tijdens het aanmelden en waar de twee typen inloggegevens verschillend gedrag vertonen.

Registratie, authenticatie en waar de twee uiteenlopen

De authenticatiestroom voor passkeys en security keys volgt hetzelfde FIDO2-patroon. Het verschil zit in hoe elk type omgaat met opslag, overdraagbaarheid en herstel van inloggegevens achter de schermen.

Registratie (beide methoden)

Tijdens registratie genereert de authenticator een uniek publiek/privé sleutelpaar dat is gebonden aan het domein van de dienst. De privésleutel blijft op de authenticator, en de server slaat alleen de publieke sleutel op.

Authenticatie (beide methoden)

  1. De server stuurt een cryptografische uitdaging.
  2. Je voert lokale verificatie uit: een vingerafdrukscan, gezichtsherkenning, pincode of een fysieke knopdruk.
  3. De authenticator ondertekent de uitdaging met de privésleutel.
  4. De server valideert de handtekening met de opgeslagen publieke sleutel.

Die gedeelde stroom is de reden dat beide benaderingen phishing-aanvallen op protocolniveau blokkeren.

Overdraagbaarheid

Met een fysieke security key draag je één token dat authenticatie mogelijk maakt op onbeperkt aantal apparaten. Steek hem in een FIDO2-compatibele browser of tik via NFC, en je bent ingelogd.

Met gesynchroniseerde passkeys worden je inloggegevens automatisch gerepliceerd over apparaten binnen het ecosysteem van je provider: Apple, Google of een derde partij. Je authenticeert op je laptop, en dezelfde passkey werkt op je telefoon zonder extra hardware. Cross-ecosysteem overdraagbaarheid blijft echter inconsistent. Een flow die werkt op Chrome/Windows kan anders werken op Safari/macOS, en browser-UX-verschillen blijven een aanhoudend knelpunt voor enterprise-implementaties.

Beveiligingsgrenzen

Voor apparaatgebonden inloggegevens heeft een aanvaller je inloggegevens, fysieke toegang tot het hardwaretoken en de mogelijkheid om lokale authenticatie te omzeilen nodig.

Voor gesynchroniseerde inloggegevens verschuift de beveiligingsgrens naar je cloudprovider. Als een aanvaller het cloudaccount compromitteert via social engineering of provider-resetmanipulatie, kan hij inloggegevens synchroniseren naar een door de aanvaller beheerd apparaat.

Die verschuiving in beveiligingsgrens vraagt om operationele planning. Beide typen inloggegevens brengen afwegingen met zich mee die je moet meenemen voordat je organisatiebreed afdwingt, en die afwegingen zijn alleen relevant als de platforms, browsers en identity providers die je gebruikt het gekozen type inloggegeven daadwerkelijk ondersteunen.

Waar passkeys en security keys vandaag worden ondersteund

Vanaf 2025 is de adoptie van passkeys en security keys op een praktisch kantelpunt beland in zowel consumenten- als bedrijfsomgevingen.

  • Besturingssystemen en browsers. Apple (iOS 16+, macOS Ventura+), Google (Android 9+) en Microsoft (Windows 10/11 via Windows Hello) ondersteunen allemaal native het aanmaken en gebruiken van passkeys. Elke grote browser, waaronder Chrome, Safari, Edge en Firefox, ondersteunt WebAuthn. Volgens de FIDO Alliance is meer dan 95% van de iOS- en Android-apparaten nu passkey-ready, en hebben meer dan een miljard gebruikers minstens één passkey geactiveerd.
  • Identity providers. Enterprise IdP's hebben FIDO2-ondersteuning toegevoegd. Microsoft Entra ID ondersteunt apparaatgebonden passkeys op FIDO2 security keys en in Microsoft Authenticator, met gesynchroniseerde passkey-ondersteuning in preview. Okta ondersteunt zowel passkeys als FIDO2 security keys als phishing-resistente authenticators, met attestatie- en AAGUID-gebaseerde beleidscontroles. Cisco Duo, Ping Identity en andere grote IdP's ondersteunen ook FIDO2-registratie voor beide typen inloggegevens. Dit betekent dat je IdP waarschijnlijk geen belemmering vormt.
  • Hardware security keys werken universeel op FIDO2-compatibele platforms via USB, NFC of Bluetooth. Toonaangevende fabrikanten zoals Yubico leveren multi-protocol keys (YubiKey 5 Series) die FIDO2, PIV/Smart Card en OTP ondersteunen, zodat zowel moderne als legacy authenticatiebehoeften in één token worden afgedekt.
  • Cross-platform overdraagbaarheid. Gesynchroniseerde passkeys ondervinden nog steeds frictie bij overstap tussen ecosystemen. Een passkey aangemaakt in Apple Keychain synchroniseert niet native naar Google Password Manager of een Windows-apparaat. De FIDO Alliance werkt aan de Credential Exchange Protocol (CXP), een concept-specificatie ontwikkeld door Apple, Google, Microsoft, 1Password, Bitwarden en Dashlane om veilige, versleutelde passkey-overdracht tussen providers te standaardiseren. CXP wordt verwacht als publieke reviewversie in 2026. Tot die tijd bieden derde partij password managers zoals 1Password en Bitwarden de meest consistente cross-platform passkey-ervaring.

Voor enterprise planning is de belangrijkste conclusie dat platformondersteuning geen adoptiebarrière meer is. De resterende frictie zit in cross-ecosysteem overdraagbaarheid voor gesynchroniseerde passkeys en organisatorische gereedheid rond registratie, herstel en beleidsafdwinging. Die operationele uitdagingen verdienen nadere aandacht.

Uitdagingen en beperkingen om rekening mee te houden

Geen enkele authenticatiemethode elimineert alle risico's. Bij grootschalige uitrol van passkeys versus security keys kom je een aantal terugkerende uitdagingen tegen:

  • Herstelprocessen worden een primaire controle. Als aanvallers je helpdesk of provider-resetproces kunnen beïnvloeden, kunnen ze je sterkste aanmeldingsstroom omzeilen.
  • Sleutelverlies wordt een beschikbaarheidsprobleem. Een verloren token kan een gebruiker buitensluiten tenzij je vooraf back-ups en admin-workflows inricht.
  • Platformverschillen veroorzaken frictie. Fragmentatie van browsers en besturingssystemen kan leiden tot inconsistente WebAuthn-ervaringen en hogere supportlast.
  • Levenscyclusbeheer is reëel. Uitgifte, vervanging en intrekking brengen extra werk met zich mee, vooral als je tokens breder uitrolt dan alleen voor bevoorrechte gebruikers.

Dit zijn geen theoretische problemen. In 2023 maakte MGM Resorts een cyberincident bekend, veroorzaakt door social engineering, met een geschatte negatieve impact van $100 miljoen, volgens een MGM-melding. Sterke aanmeldfactoren helpen, maar je moet ook identity operations, inclusief servicedesk- en fallbackprocessen, versterken. Het goede nieuws is dat elk van deze beperkingen te koppelen is aan een specifieke implementatiepraktijk die je vooraf kunt inrichten.

Best practices voor uitrol van passkeys en security keys

Of je nu passkeys, security keys of beide uitrolt, deze praktijken helpen je de uitrol af te stemmen op risico, gebruiksgemak en operationele realiteit:

  1. Segmenteer op risico en assurance. Geef een hardware security key uit aan bevoorrechte beheerders, executives en gereguleerde rollen waar AAL3 of hoge assurance-attestatie vereist is. Gebruik gesynchroniseerde passkeys voor de bredere medewerkerspopulatie waar AAL2 volstaat.
  2. Maak registratie en back-ups standaard. Vereis passkey-instelling tijdens device onboarding, en registreer meerdere authenticators per gebruiker zodat je een back-up hebt die gebruikers niet terugstuurt naar makkelijk te phishen factoren.
  3. Versterk account recovery en fallback. Behandel account recovery als controle: verscherp identiteitsverificatie voor helpdesk-resets, beperk fallback-methoden en monitor op abnormaal fallback-gebruik.
  4. Rol gefaseerd uit en monitor continu. Start met risicogroepen, breid gefaseerd uit en dwing pas af als gebruikerssupport en resetprocessen standhouden. Houd blijvend zicht op ongebruikelijke reizen, risicovolle apparaatwijzigingen en verdachte herregistraties.

Als je deze vier praktijken uitvoert, verklein je het aantal lockouts en beperk je de opties van aanvallers zonder gebruikers te vertragen. Van daaruit kun je een duidelijk segmentatiemodel opbouwen voor welk type inloggegeven je waar inzet.

Hoe kies je tussen een passkey en een security key

Kiezen tussen een passkey en een security key hoeft geen of/of-keuze te zijn. De meeste organisaties eindigen met een hybride model omdat verschillende groepen verschillende assurance-niveaus en herstelpaden nodig hebben.

Gebruik deze segmentatie om de keuze duidelijk te maken:

  • Hardware security key: Gebruik wanneer je AAL3, niet-exporteerbare sleutels en sterke apparaatattestatie nodig hebt voor bevoorrechte toegang.
  • Gesynchroniseerde passkey: Gebruik wanneer AAL2 volstaat en je lagere IT-overhead wilt voor brede medewerkerspopulatie.
  • Hybride beleid: Gebruik security keys voor beheerders en gereguleerde rollen, en gesynchroniseerde passkeys voor de rest van je gebruikers.
  • Recovery-first ontwerp: Behandel reset- en fallbackpaden als onderdeel van je controleset, niet als bijzaak, omdat ze phishing-resistente MFA kunnen ondermijnen.

Als je die segmentatie hebt, is de volgende stap zorgen dat je identiteitgedreven activiteiten na aanmelding nog steeds kunt detecteren en stoppen.

Singulariteit™ Identiteit

Detecteer en reageer in realtime op aanvallen met holistische oplossingen voor Active Directory en Entra ID.

Vraag een demo aan

Belangrijkste punten

Passkeys en fysieke security keys bieden beide phishing-resistente authenticatie via FIDO2 cryptografie, maar ze dienen verschillende behoeften binnen organisaties. Gesynchroniseerde passkeys geven prioriteit aan gebruikerservaring en schaalbaarheid voor algemene medewerkers op AAL2. 

Apparaatgebonden security keys bieden niet-exporteerbare inloggegevens, hardware-ondersteunde attestatie en AAL3-afstemming voor bevoorrechte gebruikers en gereguleerde omgevingen. Voor de meeste organisaties zul je beide inzetten in een risicogebaseerd model, en daarbovenop zichtbaarheid op identiteitsdreigingen toevoegen om te detecteren wat authenticatiecontroles alleen niet kunnen afvangen.

Veelgestelde vragen

Een passkey is een FIDO2-authenticatiegegevens die gebruikmaakt van publieke-sleutelcryptografie in plaats van een gedeeld geheim zoals een wachtwoord. Wanneer u een passkey registreert, genereert uw apparaat een uniek sleutelpaar: de privésleutel blijft op het apparaat (of wordt gesynchroniseerd via een cloudprovider), en de server slaat alleen de publieke sleutel op. 

U authenticeert met een biometrische scan, pincode of apparaatontgrendeling. Omdat de gegevens aan een specifiek domein zijn gebonden en nooit worden verzonden, voorkomt dit phishing en credential stuffing op protocolniveau.

AAL2 en AAL3 zijn NIST-authenticatiezekerheidsniveaus die bepalen hoe sterk u op een aanmelding kunt vertrouwen. AAL2 vereist phishing-resistente authenticatie, maar kan gesynchroniseerde referenties toestaan die onder controle van een provider tussen apparaten worden verplaatst. 

AAL3 verhoogt de eisen door een hardware-ondersteunde, niet-exporteerbare sleutel en strengere verificatievereisten te vereisen. In de praktijk betekent dit dat gesynchroniseerde passkeys geschikt zijn voor AAL2, terwijl beveiligingssleutels of andere apparaatgebonden authenticators worden gebruikt voor AAL3.

Passkey-redactieaanvallen richten zich op de gebruikersinterface door passkey-prompts te verbergen of te onderdrukken, waardoor gebruikers worden gedwongen om wachtwoorden, sms of andere zwakkere alternatieven te gebruiken. Aanvallers kunnen dit doen via adversary-in-the-middle proxies, manipulerende inlogpagina's of kwaadaardige browserextensies die het zicht van de gebruiker aanpassen. 

Om het risico te verkleinen, minimaliseer alternatieven, pas voorwaardelijke toegangsregels toe en beperk het beleid voor extensies. U dient ook te waarschuwen bij plotselinge pieken in het gebruik van alternatieven, wat vaak wijst op actieve dwang.

Een gefaseerde uitrol begint meestal met basiswerk: bevestig WebAuthn-ondersteuning, definieer AAL2- versus AAL3-beleid en bouw robuuste reset- en herinschrijvingsprocedures. Implementeer security keys eerst bij bevoorrechte en hoog-risico rollen, rol daarna gesynchroniseerde passkeys in golven uit naar de algemene medewerkers. 

Handhaaf uitsluitend FIDO-beleid zodra adoptie en ondersteuningsgereedheid stabiel zijn. Behoud legacy-factoren alleen zolang als nodig is om lockouts tijdens de overgang te voorkomen, en schakel ze daarna uit.

Ja, maar u heeft waarborgen nodig. Sla zakelijke passkeys op in beheerde containers of werkprofielen zodat de sleutels binnen uw beheerde context blijven, niet in een persoonlijke cloudkluis. Beperk het aanmaken van passkeys tot beheerde browsers en apps waar mogelijk, en controleer op zakelijke credentials die onder persoonlijke accounts zijn geregistreerd. 

Uw accountherstelscenario is hier ook van belang: als resets terugvallen op eenvoudig te manipuleren stappen, verliezen gesynchroniseerde passkeys veel van hun zekerheid.

U gebruikt beide omdat geen enkele authenticator de juiste balans biedt tussen zekerheid, gebruiksgemak en operationele efficiëntie voor elke rol. Geef beveiligingssleutels aan bevoorrechte gebruikers, beheerders en gereguleerde rollen die niet-exporteerbare sleutels en sterk bewijs van de herkomst van de authenticator vereisen. 

Gebruik gesynchroniseerde passkeys voor het brede personeelsbestand waar AAL2 voldoende is en gebruiksgemak de adoptie stimuleert. Handhaaf vervolgens consistente fallback- en herinschrijvingsbeleid voor beide groepen, zodat aanvallers gebruikers niet kunnen downgraden naar zwakkere factoren.

Ontdek Meer Over Identiteitsbeveiliging

Wat is phishing-resistente MFA? Moderne beveiligingIdentiteitsbeveiliging

Wat is phishing-resistente MFA? Moderne beveiliging

Phishing-resistente MFA gebruikt cryptografische domeinbinding om diefstal van inloggegevens te voorkomen. Leer hoe FIDO2- en PKI-gebaseerde methoden werken en waarom CISA deze als de gouden standaard beschouwt.

Lees Meer
Identity Provider (IDP) Security: Wat het is & waarom het belangrijk isIdentiteitsbeveiliging

Identity Provider (IDP) Security: Wat het is & waarom het belangrijk is

Ontdek hoe intrusion detection systems en FIDO2-authenticatie IdP-aanvallen op uw infrastructuur stoppen.

Lees Meer
Wat is NTLM? Beveiligingsrisico’s van Windows NTLM en migratiehandleidingIdentiteitsbeveiliging

Wat is NTLM? Beveiligingsrisico’s van Windows NTLM en migratiehandleiding

NTLM is een Windows-authenticatieprotocol met kritieke kwetsbaarheden. Lees meer over Pass-the-Hash-aanvallen, relay-risico’s en migratie vóór oktober 2026.

Lees Meer
Wachtwoord versus Passkey: Belangrijkste Verschillen & BeveiligingsvergelijkingIdentiteitsbeveiliging

Wachtwoord versus Passkey: Belangrijkste Verschillen & Beveiligingsvergelijking

Wachtwoord versus Passkey: Wachtwoorden gebruiken gedeelde geheimen die kwetsbaar zijn voor phishing en datalekken, terwijl passkeys FIDO2-cryptografie gebruiken en privésleutels veilig op uw apparaat bewaren.

Lees Meer
Klaar om uw beveiligingsactiviteiten te revolutioneren?

Klaar om uw beveiligingsactiviteiten te revolutioneren?

Ontdek hoe SentinelOne AI SIEM uw SOC kan transformeren in een autonome krachtcentrale. Neem vandaag nog contact met ons op voor een persoonlijke demo en zie de toekomst van beveiliging in actie.

Vraag een demo aan
  • Aan de slag
  • Vraag een demo aan
  • Product Tour
  • Waarom SentinelOne
  • Prijzen & Pakketten
  • FAQ
  • Contact
  • Contact
  • Support
  • SentinelOne Status
  • Taal
  • Platform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support Services
  • Markten
  • Energie
  • Overheid
  • Financieel
  • Zorg
  • Hoger Onderwijs
  • Basis Onderwijs
  • Manufacturing
  • Retail
  • Rijksoverheid & lokale overheden
  • Cybersecurity for SMB
  • Resources
  • Blog
  • Labs
  • Case Studies
  • Product Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • Whitepapers
  • Pers
  • Nieuws
  • Ransomware Anthology
  • Bedrijf
  • Over SentinelOne
  • Onze klanten
  • Vacatures
  • Partners
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle rechten voorbehouden.

Privacyverklaring Gebruiksvoorwaarden

Dutch