Wat zijn wachtwoorden en passkeys?
Stel je dit scenario voor: om 2:14 uur bekijkt je SOC-analist authenticatielogs die honderden mislukte inlogpogingen in het afgelopen uur tonen. Om 2:31 uur slaagt één poging met inloggegevens die zijn gestolen bij een eerdere datalek, en je beveiligingsstack heeft dit nooit gedetecteerd.
Dit is het fundamentele verschil tussen wachtwoorden en passkeys. Wachtwoorden werken volgens het model van gedeelde geheimen waarbij dezelfde inloggegevens op zowel je apparaat als de server bestaan. Wanneer aanvallers die server compromitteren of de inloggegevens phishen, beschikken ze over alles wat nodig is voor authenticatie. Passkeys elimineren deze kwetsbaarheid via asymmetrische cryptografie. Privésleutels verlaten je apparaat nooit, en publieke sleutels die op servers worden opgeslagen zijn cryptografisch waardeloos voor aanvallers.
Volgens het 2025 DBIR, dat 22.052 beveiligingsincidenten analyseerde, was bij 88% van de datalekken sprake van gestolen inloggegevens. Wachtwoorden creëren een systemische kwetsbaarheid, ongeacht complexiteitseisen, rotatiebeleid of gebruikersopleiding.
Passkeys implementeren de FIDO2-protocolarchitectuur via twee complementaire standaarden: de W3C Web Authentication (WebAuthn)-specificatie voor browser- en platformbeheer van inloggegevens, en de FIDO Alliance CTAP2 (Client to Authenticator Protocol) voor communicatie tussen applicaties en authenticators. Samen vervangen deze protocollen het verzenden van wachtwoorden door cryptografische challenge-response-authenticatie die aan specifieke domeinen is gebonden.
Wanneer je een passkey registreert, genereert je authenticator een uniek publiek-privé sleutelpaar voor dat specifieke account. De privésleutel blijft beveiligd in de hardwarebeveiligingsmodule of secure enclave van je apparaat en wordt nooit over netwerken verzonden. Alleen de publieke sleutel wordt bij de server geregistreerd. Tijdens authenticatie stuurt de server een cryptografische challenge die je apparaat ondertekent met de privésleutel, waarmee het bezit wordt bewezen zonder de sleutel zelf bloot te stellen.
Deze architecturale verschillen bepalen direct welke aanvallen slagen en welke falen tegen je infrastructuur.
Hoe wachtwoorden en passkeys zich verhouden tot cybersecurity
Passkeys pakken de authenticatiezwaktes aan die de meeste datalekken veroorzaken. NIST Special Publication 800-63B vereist phishing-resistente authenticatie voor AAL2 en stelt dit verplicht voor AAL3, en CISA CPG 2.0 beveelt passkeys expliciet aan als phishing-resistente methode. Wachtwoorden kunnen aan geen van beide eisen voldoen, ongeacht lengte, complexiteit of rotatiefrequentie.
De data onderstrepen waarom. Volgens 2025 DBIR-onderzoek bestond 44% van al het authenticatieverkeer op piekaanvalsdagen uit credential stuffing-aanvallen, en 80% van gecompromitteerde accounts had eerder inloggegevens gelekt via andere diensten. Ransomware kwam voor in 44% van de datalekken, waarbij hergebruik van wachtwoorden het initiële toegangspunt bood. De aanval op Colonial Pipeline in 2021 illustreert dit goed; aanvallers gebruikten één gecompromitteerd VPN-wachtwoord om netwerktoegang te krijgen, wat resulteerde in $4,4 miljoen aan losgeld volgens DOJ-onthullingen.
Passkeys elimineren deze aanvalspaden. Volgens de FIDO Alliance maakt het ontwerp van passkeys inloggegevens bestand tegen phishing, credential stuffing en grootschalige datalekken omdat publieke sleutels op servers geen authenticatiewaarde hebben zonder de privésleutels op gebruikersapparaten.
Voordat we specifieke aanvalsvectoren in detail bekijken, vat de volgende tabel samen hoe wachtwoorden en passkeys zich verhouden op de belangrijkste dimensies voor securityteams.
Wachtwoord vs Passkey in één oogopslag
De verschillen tussen wachtwoorden en passkeys beslaan beveiligingsarchitectuur, gebruikerservaring, compliance-gereedheid en ecosysteemondersteuning. Deze vergelijking is gebaseerd op onderzoek van de FIDO Alliance, NIST-standaarden en Verizon DBIR-data om elke dimensie te kwantificeren.
| Kenmerk | Wachtwoord | Passkey |
| Authenticatiemodel | Gedeeld geheim (server slaat inloggegevens op) | Asymmetrische cryptografie (server slaat alleen publieke sleutel op) |
| Phishing-resistentie | Geen; inloggegevens worden naar elk domein verzonden | Cryptografische domeinbinding blokkeert phishing-sites |
| Risico op credential stuffing | Hoog; hergebruikte inloggegevens werken bij meerdere diensten | Geen; elke inloggegevens is uniek per dienst |
| Succespercentage inloggen | Gemiddeld 63% (FIDO Alliance Passkey Index) | Gemiddeld 93% (FIDO Alliance Passkey Index) |
| Snelheid van inloggen | Gemiddeld ~27,5 seconden | Gemiddeld ~13,6 seconden (FIDO Alliance Passkey Index) |
| Vereiste gebruikersactie | Wachtwoord onthouden en typen, daarna MFA voltooien | Biometrische scan of apparaat-PIN |
| Impact van servercompromittering | Gehashte wachtwoorden blootgesteld aan offline aanval | Publieke sleutels zijn cryptografisch waardeloos zonder privésleutels |
| Herstelmethode | Wachtwoordreset via e-mail | Gesynchroniseerde passkeys, back-up authenticators of adminherstel |
| Compliance (NIST AAL2/AAL3) | Kan niet voldoen aan phishing-resistente eisen | Voldoet aan phishing-resistente eisen |
| Platformondersteuning | Universeel | Apple-, Google-, Microsoft-ecosystemen; 48% van de top 100 websites |
De volgende secties behandelen elk van deze dimensies in detail, te beginnen met de specifieke wachtwoordkwetsbaarheden die passkeys moeten elimineren.
Beveiligingskwetsbaarheden: wachtwoord-aanvalsvectoren
Wachtwoorden creëren vier primaire zwaktes die direct je beveiligingspositie beïnvloeden: phishing-kwetsbaarheid, blootstelling aan credential stuffing, man-in-the-middle-interceptie en impact van databasecompromittering. NIST SP 800-63B bevestigt dat de asymmetrische cryptografische architectuur van FIDO2/WebAuthn phishing-resistente authenticatie mogelijk maakt die wachtwoorden niet kunnen bieden, ongeacht complexiteitseisen.
- Phishing-aanvallen blijven effectief tegen wachtwoordauthenticatie. Volgens onderzoek samengevat in het 2025 Verizon DBIR blijven gebruikers klikken op gesimuleerde phishing-oefeningen, zelfs na trainingssessies. Wanneer gebruikers wachtwoorden invoeren op door aanvallers beheerde domeinen, worden deze inloggegevens in leesbare vorm naar tegenstanders verzonden die ze direct testen op je echte diensten. De MGM Resorts-breach in 2023 toont dit goed aan; aanvallers gebruikten social engineering om MFA te omzeilen, wat volgens SEC-meldingen resulteerde in ongeveer $100 miljoen schade.
- Credential stuffing benut wachtwoordhergebruik op grote schaal. Het 2025 Data Breach Investigations Report van Verizon bevestigt dat 80% van gecompromitteerde accounts eerder inloggegevens had gelekt via andere diensten. Gebruikers hergebruiken routinematig inloggegevens voor consumentendiensten, professionele platforms en zakelijke applicaties. Wanneer een consumentendienst wordt gecompromitteerd, testen aanvallers die inloggegevens direct op zakelijke authenticatie-endpoints.
- Man-in-the-middle-aanvallen onderscheppen wachtwoordtransmissie. MITM-aanvallers positioneren zich tussen gebruikers en servers, bijvoorbeeld met valse SSL-certificaten om gegevens tijdens transport te onderscheppen. Wachtwoordauthenticatie vereist het verzenden van een geheim dat identiteit bewijst, en die transmissie creëert kwetsbaarheid, ongeacht transportversleuteling.
- Datalekken onthullen opgeslagen wachtwoorden ondanks hashing. Je authenticatiedatabase bevat wachtwoordhashes, geen platte tekst. Deze bescherming vertraagt credential compromise maar voorkomt het niet. Aanvallers met database-toegang voeren offline brute-force-aanvallen uit op gehashte wachtwoorden zonder accountvergrendeling of rate limiting te activeren. Bij een datalek moeten alle wachtwoorden direct worden gereset voor je volledige gebruikersbestand.
Passkeys elimineren deze kwetsbaarheden via een cryptografische architectuur die diefstal van inloggegevens ineffectief maakt.
Passkey-cryptografische architectuur
De beveiligingsgaranties die passkeys bieden, komen voort uit de werking van de onderliggende cryptografie. In tegenstelling tot wachtwoorden, die vertrouwen op geheimhouding van een gedeelde waarde, gebruiken passkeys public-key cryptografie waarbij het authenticatiebewijs en het authenticatiegeheim fundamenteel verschillende objecten zijn.
Tijdens authenticatie stuurt je server een cryptografische challenge naar de authenticator van de gebruiker via de WebAuthn API. De authenticator ondertekent deze challenge met de privésleutel die op het apparaat is opgeslagen, en de ondertekende bewering wordt via de browser teruggestuurd naar je server. Je server verifieert de digitale handtekening met de eerder geregistreerde publieke sleutel. Dit challenge-response-proces bewijst dat de gebruiker de privésleutel bezit zonder deze ooit bloot te stellen.
Domeinbinding biedt phishing-resistentie. WebAuthn bindt authenticatie cryptografisch aan het specifieke origin-domein waar registratie plaatsvond. Wanneer gebruikers phishing-sites bezoeken die je domein nabootsen, blokkeert de WebAuthn-implementatie van de browser authenticatieresponsen naar het verkeerde origin. Deze bescherming werkt op protocolniveau, niet op gebruikersinschatting. Phishing-sites kunnen geen geldige authenticatieresponsen ontvangen voor jouw domein, zelfs als gebruikers volledig worden misleid door visuele gelijkenis.
De cryptografische algoritmen voldoen aan NIST-specificaties voor overheids- en zakelijke implementaties. Ondersteunde algoritmen zijn onder meer:
- ECDSA-, RSA- en EdDSA-varianten voor ondertekeningsoperaties
- FIPS 202 (SHA-3) voor hashing
- SP 800-108 voor sleutelafleiding
- SP 800-90a voor willekeurige getallengeneratie
Deze zijn gedefinieerd in de FIDO Authenticator Allowed Cryptography List, die expliciet verwijst naar NIST-standaarden. Ontdekbare inloggegevens op basis van deze architectuur maken wachtwoordloze authenticatie mogelijk waarbij gebruikers geen gebruikersnamen hoeven te onthouden, en browser-autofill stroomlijnt de loginervaring.
Deze cryptografische basis vertaalt zich in tastbare verschillen in hoe wachtwoorden en passkeys aanvoelen in dagelijks gebruik.
Gebruikerservaring: wachtwoord vs passkey-inloggen
Wachtwoordauthenticatie vereist dat gebruikers unieke inloggegevens voor elke dienst onthouden, deze correct typen en aanvullende MFA-stappen voltooien zoals het invoeren van sms-codes of het goedkeuren van pushmeldingen. Dit meerstapsproces veroorzaakt meetbare frictie. Volgens de FIDO Alliance Passkey Index is het succespercentage van wachtwoordlogins gemiddeld 63%, wat betekent dat meer dan één op de drie pogingen faalt door vergeten inloggegevens, typefouten of verlopen MFA-tokens.
Passkey-authenticatie reduceert inloggen tot één stap. Gebruikers authenticeren via biometrie (Face ID, vingerafdruk of Windows Hello) of een apparaat-PIN. Het FIDO Alliance World Passkey Day-onderzoek toont aan dat passkeys een inlogslaagingspercentage van 93% behalen en gemiddeld 13,6 seconden per aanmelding tegenover 27,5 seconden voor wachtwoorden. Er hoeft niets onthouden of getypt te worden, en er is niets te onderscheppen. Biometrische data blijft op het apparaat en wordt nooit naar de server verzonden, wat zowel beveiliging als privacy waarborgt.
Voor organisaties vertaalt deze UX-verbetering zich direct in operationele besparingen. Deelnemers aan de FIDO Alliance Passkey Index rapporteerden een daling van 81% in helpdeskaanvragen gerelateerd aan inloggen na implementatie van passkeys, waarmee een van de grootste terugkerende kostenposten in IT-support wordt geëlimineerd.
Deze UX-voordelen zijn afhankelijk van waar je gebruikers en applicaties daadwerkelijk draaien, wat platform- en ecosysteemgereedheid relevant maakt.
Platform- en ecosysteemondersteuning
Ondersteuning voor passkeys is breed beschikbaar op grote platformen:
- Apple synchroniseert passkeys via iCloud Keychain op iOS-, iPadOS- en macOS-apparaten met end-to-end-encryptie.
- Google beheert passkeys via Google Password Manager op Android 9+ en Chrome, gesynchroniseerd over alle apparaten die zijn aangemeld bij hetzelfde Google-account.
- Microsoft integreert passkeys via Windows Hello op Windows 10+ met ondersteuning in Edge en Microsoft-accounts.
Volgens de FIDO Alliance ondersteunt nu 48% van de 100 grootste websites wereldwijd passkey-authenticatie, meer dan een verdubbeling ten opzichte van 2022.
Cross-platform authenticatie werkt via QR-code-overdracht en Bluetooth-nabijheid, zodat gebruikers op een laptop kunnen inloggen met een passkey die op hun telefoon is opgeslagen. Externe wachtwoordmanagers zoals 1Password en Bitwarden ondersteunen nu passkey-opslag en -synchronisatie, waardoor de afhankelijkheid van één ecosysteem afneemt. Het Credential Exchange Protocol (CXP) van de FIDO Alliance ontwikkelt zich verder om veilige passkey-overdracht tussen providers mogelijk te maken, waarmee vendor lock-in wordt aangepakt.
Browsersondersteuning is volledig. Safari, Chrome, Edge en Firefox implementeren allemaal de WebAuthn API die nodig is voor passkey-authenticatie. Dit betekent dat je webapplicaties passkeys kunnen ondersteunen zonder browser-specifieke code.
Ondanks deze brede platformondersteuning introduceren passkeys afwegingen waar organisaties rekening mee moeten houden voordat ze tot uitrol overgaan.
Beperkingen en afwegingen van passkeys
Geen enkele authenticatietechnologie is zonder frictie, en inzicht in deze beperkingen helpt bij het opstellen van een realistische uitrolstrategie.
- Afhankelijkheid van ecosystemen blijft een aandachtspunt. Gesynchroniseerde passkeys zijn momenteel gekoppeld aan platform-specifieke credential managers. Een medewerker die Apple iCloud Keychain gebruikt, kan die passkeys niet direct benaderen vanaf een Android-apparaat. Hoewel QR-code-authenticatie en externe wachtwoordmanagers workarounds bieden, is cross-ecosysteem-portabiliteit nog in ontwikkeling. Het Credential Exchange Protocol van de FIDO Alliance moet dit oplossen, maar volledige interoperabiliteit is nog geen standaard.
- Gedeelde en serviceaccounts zorgen voor complicaties. Passkeys zijn gebonden aan individuele apparaten en biometrie, waardoor ze lastig zijn voor gedeelde teamaccounts, serviceaccounts of kiosks waar meerdere gebruikers op hetzelfde apparaat inloggen. Organisaties lossen dit doorgaans op door wachtwoordauthenticatie te behouden voor gedeelde accounts en passkeys uit te rollen voor individuele gebruikers.
- Herstel zonder wachtwoorden vereist nieuwe workflows. Wanneer een gebruiker alle apparaten verliest en geen back-up authenticator heeft geregistreerd, wordt accountherstel complexer dan een eenvoudige wachtwoordreset. Organisaties hebben goed geteste herstelprocedures nodig, waaronder herstel met hulp van een beheerder en out-of-band-identiteitsverificatie.
- Niet alle diensten ondersteunen passkeys al. Ondanks toenemende adoptie ontbreken WebAuthn-ondersteuning bij veel legacy-applicaties, interne tools en externe SaaS-producten nog. Je organisatie zal waarschijnlijk hybride authenticatie hanteren, waarbij passkeys primaire identity providers beschermen en wachtwoorden blijven bestaan voor niet-ondersteunde systemen tijdens de migratie.
Deze beperkingen bepalen hoe ondernemingen passkey-uitrol in de praktijk benaderen, en de data tonen dat de meeste organisaties toch doorgaan ondanks de complexiteit.
Wachtwoord vs passkey-implementatie in de onderneming
Volgens de FIDO Alliance Enterprise Deployment Survey onder 400 Britse en Amerikaanse leidinggevenden van bedrijven met meer dan 500 medewerkers, heeft 87% van de organisaties passkey-authenticatie voor medewerkers geïmplementeerd of is hiermee bezig. Velen kiezen voor gefaseerde implementatie, waarbij eerst integratie met de infrastructuur wordt aangepakt voordat universele uitrol plaatsvindt. Organisaties noteerden een daling van 26% in wachtwoordgebruik na implementatie van passkeys, wat aantoont dat gedeeltelijke adoptie meetbare beveiligingsverbeteringen oplevert terwijl legacy-compatibiliteit wordt aangepakt.
Je identity platform moet ondersteuning bieden voor de WebAuthn API en beheer van de levenscyclus van passkeys. De meeste moderne identity providers ondersteunen nu passkey-authenticatie via WebAuthn. Integratie vindt plaats op je Identity Provider (IdP)-laag, waar gebruikers authenticeren met passkeys voordat SAML-asserties of OIDC-tokens worden uitgegeven aan gefedereerde applicaties. Beveiligingsplatforms zoals SentinelOne Singularity Platform moeten integreren met je IdP om zichtbaarheid te behouden op authenticatiegebeurtenissen, waarbij passkey-logins worden gecorreleerd met endpoint-activiteit en gebruikersgedragsanalyse.
Je Mobile Device Management (MDM)- en Unified Endpoint Management (UEM)-beleid moeten ook worden bijgewerkt om passkey-authenticators en apparaatattestatie te ondersteunen. Compatibiliteit met legacy-applicaties is de belangrijkste uitrolbarrière. Je hebt een volledige applicatie-inventarisatie nodig om te bepalen welke systemen passkeys ondersteunen en welke gatewayoplossingen of voortgezet wachtwoordgebruik vereisen tijdens de migratie.
Gebruikersadoptie bepaalt het beveiligingsresultaat. Het Thales/FIDO Alliance State of Passkey Deployment Report voor 2024 noemt gebruikersvoorlichting als belangrijkste uitroluitdaging. Het documenteert verwarring bij gebruikers over passkey-concepten, vooral rond synchronisatie tussen apparaten, en weerstand tegen het veranderen van gevestigde gewoonten. Organisaties die adoptie niet stimuleren, lopen het risico dezelfde kwetsbaarheden en kosten te behouden, zelfs na implementatie van passkeys.
Naast operationele uitrol moet passkey-adoptie ook voldoen aan de compliance-kaders en Zero Trust-architecturen die de beveiligingspositie van ondernemingen bepalen.
Compliance en Zero Trust-afstemming
Passkeys voldoen aan phishing-resistente authenticatie-eisen waaraan wachtwoorden niet kunnen voldoen. NIST Special Publication 800-63B definieert authenticatiezekerheidsniveaus waarbij AAL2 expliciet vereist dat phishing-resistente opties worden aangeboden en AAL3 deze exclusief verplicht stelt. Als je alleen wachtwoorden gebruikt, kun je aan deze eisen niet voldoen, ongeacht complexiteitsbeleid of multi-factor authenticatie-lagen.
Voor federale implementaties bevestigt aanvullende NIST-richtlijn dat gesynchroniseerde passkeys voldoen aan AAL2-eisen. Federale authenticatiesleutels moeten worden opgeslagen in synchronisatieplatforms die voldoen aan de Federal Information Security Modernization Act (FISMA). De PCI Security Standards Council heeft ook FAQ 1595 en FAQ 1596 uitgebracht die specifiek ingaan op passkeys en FIDO2-gebaseerde authenticatie voor PCI-compliance.
Passkeys sluiten aan bij kern Zero Trust-principes:
- Privésleutels verlaten het authenticatorapparaat nooit, waardoor diefstal van inloggegevens en replay-aanvallen worden voorkomen.
- Authenticatie is cryptografisch gebonden aan geverifieerde domeinen, waardoor phishing wordt gestopt door validatie van de relying party.
- Elke sessie vereist cryptografisch bewijs van apparaatbezit in plaats van het presenteren van gecachte inloggegevens.
Samen ondersteunen deze eigenschappen het "never trust, always verify"-principe van Zero Trust.
Voor organisaties in GDPR-jurisdicties, zorg of SOC 2-compliance-omgevingen ondersteunen passkeys compliance door minder blootstelling van persoonsgegevens en phishing-resistente authenticatie die voldoet aan NIST AAL2/AAL3-standaarden. Aan deze eisen voldoen is één kant van de medaille; de andere is het behouden van zichtbaarheid op je authenticatie-infrastructuur tijdens de transitie.
Singulariteit™ Identiteit
Detecteer en reageer in realtime op aanvallen met holistische oplossingen voor Active Directory en Entra ID.
Vraag een demo aanBelangrijkste punten
Wachtwoorden creëren systemische kwetsbaarheid via gedeelde geheimen die aanvallers stelen via phishing, credential stuffing en datalekken. Passkeys elimineren deze aanvallen via asymmetrische cryptografie waarbij privésleutels het gebruikersapparaat nooit verlaten.
Met 88% van de datalekken waarbij gestolen inloggegevens betrokken zijn en 87% van de Amerikaanse/Britse ondernemingen met 500+ medewerkers die passkeys uitrollen of implementeren, is de richting duidelijk. NIST en CISA vereisen expliciet phishing-resistente authenticatie die wachtwoorden niet kunnen bieden, ongeacht complexiteitsbeleid.
Veelgestelde vragen
Een passkey is een phishing-resistente authenticatie referentie gebaseerd op de FIDO2/WebAuthn-standaard. Het maakt gebruik van asymmetrische cryptografie om voor elk account een uniek publiek-privé sleutelpaar te genereren. De privésleutel blijft op uw apparaat en wordt nooit naar servers verzonden.
Een wachtwoord is een gedeeld geheim dat zowel op uw apparaat als op de server wordt opgeslagen, waardoor het kwetsbaar is voor phishing, credential stuffing en datalekken. Passkeys bewijzen identiteit via een cryptografische challenge-response in plaats van het verzenden van een herbruikbaar geheim.
Passkeys gebruiken cryptografische domeinbinding waardoor authenticatieresponsen alleen geldig zijn voor het specifieke oorsprongsdomein waar de registratie heeft plaatsgevonden. Wanneer gebruikers phishingwebsites bezoeken, blokkeert de WebAuthn-implementatie van de browser authenticatieresponsen zodat deze niet bij het verkeerde domein terechtkomen.
Deze bescherming werkt op protocolniveau en is dus niet afhankelijk van het vermogen van gebruikers om frauduleuze sites te herkennen. De FIDO Alliance classificeert zowel gesynchroniseerde als apparaatgebonden passkeys formeel als phishingbestendig, terwijl wachtwoorden in de phishable categorie blijven, samen met SMS-OTP, e-mail-OTP en vergelijkbare methoden.
Enterprise-passkeys-implementaties gebruiken gesynchroniseerde passkeys die worden gerepliceerd op apparaten die zijn aangemeld bij hetzelfde account-ecosysteem, zoals Apple, Google of Microsoft. Wanneer gebruikers een apparaat kwijtraken, blijven hun passkeys toegankelijk op andere geauthenticeerde apparaten. Organisaties dienen back-up-authenticators en door beheerders ondersteunde herstelworkflows te implementeren voor scenario's waarin gebruikers de toegang tot alle apparaten verliezen.
Voor NIST-naleving moeten federale implementaties authenticatiesleutels opslaan in FISMA-conforme synchronisatieplatforms zoals gespecificeerd in NIST SP 800-63B Supplement over Synchroniseerbare Authenticators.
Legacy-applicaties zonder WebAuthn-ondersteuning kunnen passkey-authenticatie niet direct accepteren. Organisaties implementeren passkeys op de Identity Provider-laag, waar gebruikers zich authenticeren met passkeys voordat SAML-verklaringen of OIDC-tokens worden uitgegeven aan gefedereerde applicaties.
Dit maakt een geleidelijke migratie mogelijk; moderne applicaties integreren direct met passkey-authenticatie, terwijl legacy-applicaties standaard federatietokens ontvangen na passkey-gebaseerde IdP-authenticatie.
NIST SP 800-63B vereist phishing-resistente authenticatie voor AAL2 en AAL3, wat wachtwoorden niet kunnen bieden ongeacht complexiteit of rotatiebeleid. CISA beveelt passkeys aan als standaard authenticatie voor kritieke infrastructuur via phishing-resistente methoden.
PCI DSS v4.x behandelt passkeys in FAQ's 1595 en 1596 voor naleving binnen de betaalkaartindustrie. Federale implementaties moeten voldoen aan FISMA-eisen voor opslag van authenticatiesleutels in conforme synchronisatie-omgevingen.
