Wat zijn wachtwoorden en passkeys?
Stel je dit scenario voor: om 2:14 uur bekijkt je SOC-analist authenticatielogs die honderden mislukte inlogpogingen in het afgelopen uur tonen. Om 2:31 uur slaagt één poging met inloggegevens die zijn gestolen bij een eerdere datalek, en je beveiligingsstack heeft dit nooit gedetecteerd.
Dit is het fundamentele verschil tussen wachtwoorden en passkeys. Wachtwoorden werken volgens het model van gedeelde geheimen waarbij dezelfde inloggegevens op zowel je apparaat als de server bestaan. Wanneer aanvallers die server compromitteren of de inloggegevens phishen, beschikken ze over alles wat nodig is voor authenticatie. Passkeys elimineren deze kwetsbaarheid door asymmetrische cryptografie. Privésleutels verlaten je apparaat nooit, en publieke sleutels die op servers worden opgeslagen zijn cryptografisch waardeloos voor aanvallers.
Volgens het 2025 DBIR, dat 22.052 beveiligingsincidenten analyseerde, was bij 88% van de datalekken sprake van gestolen inloggegevens. Wachtwoorden creëren een systemische kwetsbaarheid, ongeacht complexiteitseisen, rotatiebeleid of gebruikersvoorlichting.
Passkeys implementeren de FIDO2-protocolarchitectuur via twee complementaire standaarden: de W3C Web Authentication (WebAuthn)-specificatie voor browser- en platformbeheer van inloggegevens, en de FIDO Alliance CTAP2 (Client to Authenticator Protocol) voor communicatie tussen applicaties en authenticators. Samen vervangen deze protocollen het verzenden van wachtwoorden door cryptografische challenge-response-authenticatie die aan specifieke domeinen is gebonden.
Wanneer je een passkey registreert, genereert je authenticator een uniek publiek-privé sleutelpaar voor dat specifieke account. De privésleutel blijft beveiligd in de hardwarebeveiligingsmodule of secure enclave van je apparaat en wordt nooit over netwerken verzonden. Alleen de publieke sleutel wordt bij de server geregistreerd. Tijdens authenticatie stuurt de server een cryptografische challenge die je apparaat ondertekent met de privésleutel, waarmee het bezit wordt bewezen zonder de sleutel zelf bloot te stellen.
Deze architecturale verschillen bepalen direct welke aanvallen slagen en welke falen tegen je infrastructuur.
Hoe wachtwoorden en passkeys zich verhouden tot cybersecurity
Passkeys pakken de authenticatiezwaktes aan die de meeste datalekken veroorzaken. NIST Special Publication 800-63B vereist phishing-resistente authenticatie voor AAL2 en stelt dit verplicht voor AAL3, en CISA CPG 2.0 beveelt passkeys expliciet aan als phishing-resistente methode. Wachtwoorden kunnen aan geen van beide eisen voldoen, ongeacht lengte, complexiteit of rotatiefrequentie.
De data onderstrepen waarom. Volgens het 2025 DBIR-onderzoek bestond 44% van al het authenticatieverkeer op piekaanvalsdagen uit credential stuffing-aanvallen, en 80% van de gecompromitteerde accounts had eerder inloggegevens gelekt via andere diensten. Ransomware kwam voor in 44% van de datalekken, waarbij hergebruik van wachtwoorden het eerste toegangspunt bood. De aanval op Colonial Pipeline in 2021 illustreert dit goed; aanvallers gebruikten één gecompromitteerd VPN-wachtwoord om netwerktoegang te krijgen, wat resulteerde in $4,4 miljoen aan losgeld volgens DOJ-onthullingen.
Passkeys elimineren deze aanvalspaden. Volgens de FIDO Alliance maakt het ontwerp van passkeys inloggegevens bestand tegen phishing, credential stuffing en grootschalige datalekken omdat publieke sleutels op servers geen authenticatiewaarde hebben zonder de privésleutels op gebruikersapparaten.
Voordat we specifieke aanvalsvectoren in detail bekijken, vat de volgende tabel samen hoe wachtwoorden en passkeys zich verhouden op de voor security-teams belangrijkste punten.
Wachtwoord versus passkey in één oogopslag
De verschillen tussen wachtwoorden en passkeys beslaan beveiligingsarchitectuur, gebruikerservaring, compliance-gereedheid en ecosysteemondersteuning. Deze vergelijking is gebaseerd op onderzoek van de FIDO Alliance, NIST-standaarden en Verizon DBIR-data om elke dimensie te kwantificeren.
| Kenmerk | Wachtwoord | Passkey |
| Authenticatiemodel | Gedeeld geheim (server slaat inloggegevens op) | Asymmetrische cryptografie (server slaat alleen publieke sleutel op) |
| Phishing-resistentie | Geen; inloggegevens worden naar elk domein verzonden | Cryptografische domeinbinding blokkeert phishing-sites |
| Risico op credential stuffing | Hoog; hergebruikte inloggegevens werken bij meerdere diensten | Geen; elke inloggegevens is uniek per dienst |
| Succespercentage inloggen | Gemiddeld 63% (FIDO Alliance Passkey Index) | Gemiddeld 93% (FIDO Alliance Passkey Index) |
| Snelheid van inloggen | Gemiddeld ~27,5 seconden | Gemiddeld ~13,6 seconden (FIDO Alliance Passkey Index) |
| Vereiste gebruikersactie | Wachtwoord onthouden en typen, daarna MFA voltooien | Biometrische scan of apparaat-PIN |
| Impact van servercompromittering | Gehashte wachtwoorden blootgesteld aan offline aanval | Publieke sleutels zijn cryptografisch waardeloos zonder privésleutels |
| Herstelmethode | Wachtwoordreset via e-mail | Gesynchroniseerde passkeys, back-up authenticators of adminherstel |
| Compliance (NIST AAL2/AAL3) | Kan niet voldoen aan phishing-resistente eisen | Voldoet aan phishing-resistente eisen |
| Platformondersteuning | Universeel | Apple-, Google-, Microsoft-ecosystemen; 48% van de top 100 websites |
De volgende secties behandelen elk van deze dimensies in detail, te beginnen met de specifieke wachtwoordkwetsbaarheden die passkeys moeten elimineren.
Beveiligingskwetsbaarheden: aanvalsvectoren op wachtwoorden
Wachtwoorden creëren vier primaire zwaktes die direct je beveiligingspositie beïnvloeden: phishinggevoeligheid, blootstelling aan credential stuffing, man-in-the-middle-interceptie en impact van databasecompromittering. NIST SP 800-63B bevestigt dat de asymmetrische cryptografische architectuur van FIDO2/WebAuthn phishing-resistente authenticatie mogelijk maakt die wachtwoorden niet kunnen bieden, ongeacht complexiteitseisen.
- Phishing-aanvallen blijven effectief tegen wachtwoordgebaseerde authenticatie. Volgens onderzoek samengevat in het 2025 Verizon DBIR blijven gebruikers klikken op gesimuleerde phishing-oefeningen, zelfs na trainingssessies. Wanneer gebruikers wachtwoorden invoeren op door aanvallers beheerde domeinen, worden deze inloggegevens in leesbare vorm naar tegenstanders verzonden die ze direct testen op je echte diensten. De MGM Resorts-breach in 2023 toont dit goed aan; aanvallers gebruikten social engineering om MFA te omzeilen, wat volgens SEC-meldingen resulteerde in ongeveer $100 miljoen schade.
- Credential stuffing benut wachtwoordhergebruik op grote schaal. Het 2025 Data Breach Investigations Report van Verizon bevestigt dat 80% van de gecompromitteerde accounts eerder inloggegevens had gelekt via andere diensten. Gebruikers hergebruiken routinematig inloggegevens voor consumentendiensten, professionele platforms en zakelijke applicaties. Wanneer een consumentendienst wordt gecompromitteerd, testen aanvallers die inloggegevens direct op zakelijke authenticatie-endpoints.
- Man-in-the-middle-aanvallen onderscheppen wachtwoordtransmissie. MITM-aanvallers positioneren zich tussen gebruikers en servers, bijvoorbeeld met valse SSL-certificaten om gegevens tijdens transport te onderscheppen. Wachtwoordgebaseerde authenticatie vereist het verzenden van een geheim dat identiteit bewijst, en die transmissie creëert kwetsbaarheid, ongeacht transportversleuteling.
- Datalekken onthullen opgeslagen wachtwoorden ondanks hashing. Je authenticatiedatabase bevat wachtwoordhashes, geen platte tekst. Deze bescherming vertraagt credential compromise maar voorkomt het niet. Aanvallers met database-toegang voeren offline brute-force-aanvallen uit op gehashte wachtwoorden zonder accountvergrendeling of rate limiting te activeren. Bij een databasecompromittering moeten alle wachtwoorden direct worden gereset voor je volledige gebruikersbestand.
Passkeys elimineren deze kwetsbaarheden via een cryptografische architectuur die diefstal van inloggegevens ineffectief maakt.
Cryptografische architectuur van passkeys
De beveiligingsgaranties die passkeys bieden, komen voort uit de werking van de onderliggende cryptografie. In tegenstelling tot wachtwoorden, die vertrouwen op de geheimhouding van een gedeelde waarde, gebruiken passkeys public-key cryptografie waarbij het authenticatiebewijs en het authenticatiegeheim fundamenteel verschillende objecten zijn.
Tijdens authenticatie stuurt je server een cryptografische challenge naar de authenticator van de gebruiker via de WebAuthn API. De authenticator ondertekent deze challenge met de privésleutel die op het apparaat is opgeslagen, en de ondertekende bewering wordt via de browser teruggestuurd naar je server. Je server verifieert de digitale handtekening met de eerder geregistreerde publieke sleutel. Dit challenge-response-proces bewijst dat de gebruiker de privésleutel bezit zonder deze ooit bloot te stellen.
Domeinbinding biedt phishing-resistentie. WebAuthn bindt authenticatie cryptografisch aan het specifieke oorsprongsdomein waar registratie plaatsvond. Wanneer gebruikers phishing-sites bezoeken die je domein nabootsen, blokkeert de WebAuthn-implementatie van de browser authenticatieresponsen naar het verkeerde domein. Deze bescherming werkt op protocolniveau, niet op gebruikersinzicht. Phishing-sites kunnen geen geldige authenticatieresponsen ontvangen voor jouw domein, zelfs als gebruikers volledig worden misleid door visuele gelijkenis.
De cryptografische algoritmen voldoen aan NIST-specificaties voor overheids- en zakelijke implementaties. Ondersteunde algoritmen zijn onder meer:
- ECDSA-, RSA- en EdDSA-varianten voor ondertekeningsoperaties
- FIPS 202 (SHA-3) voor hashing
- SP 800-108 voor sleutelderivatie
- SP 800-90a voor willekeurige getallengeneratie
Deze zijn gedefinieerd in de FIDO Authenticator Allowed Cryptography List, die expliciet verwijst naar NIST-standaarden. Ontdekkingsbare inloggegevens op basis van deze architectuur maken wachtwoordloze authenticatie mogelijk waarbij gebruikers geen gebruikersnamen hoeven te onthouden, en browser-autofill-integratie stroomlijnt de inlogervaring.
Deze cryptografische basis vertaalt zich in tastbare verschillen in het dagelijks gebruik van wachtwoorden en passkeys.
Gebruikerservaring: wachtwoord versus passkey-inloggen
Wachtwoordauthenticatie vereist dat gebruikers voor elke dienst unieke inloggegevens onthouden, deze correct typen en aanvullende MFA-stappen voltooien zoals het invoeren van sms-codes of het goedkeuren van pushmeldingen. Dit meerstapsproces veroorzaakt meetbare frictie. Volgens de FIDO Alliance Passkey Index is het succespercentage van wachtwoordgebaseerde logins gemiddeld 63%, wat betekent dat meer dan één op de drie pogingen faalt door vergeten inloggegevens, typefouten of verlopen MFA-tokens.
Passkey-authenticatie reduceert inloggen tot één stap. Gebruikers authenticeren via biometrie (Face ID, vingerafdruk of Windows Hello) of een apparaat-PIN. Het FIDO Alliance World Passkey Day-onderzoek toont aan dat passkeys een inlogsucces van 93% behalen en gemiddeld 13,6 seconden per aanmelding vergen, tegenover 27,5 seconden voor wachtwoorden. Er hoeft niets onthouden, ingetikt of onderschept te worden. Biometrische data blijft op het apparaat en wordt nooit naar de server verzonden, wat zowel beveiliging als privacy waarborgt.
Voor organisaties vertaalt deze UX-verbetering zich direct in operationele besparingen. Deelnemers aan de FIDO Alliance Passkey Index rapporteerden een daling van 81% in helpdeskverzoeken gerelateerd aan inloggen na implementatie van passkeys, waarmee een van de grootste terugkerende kostenposten in IT-support wordt geëlimineerd.
Deze UX-voordelen zijn afhankelijk van waar je gebruikers en applicaties daadwerkelijk draaien, wat platform- en ecosysteemgereedheid relevant maakt.
Platform- en ecosysteemondersteuning
Passkey-ondersteuning is breed beschikbaar op grote platformen:
- Apple synchroniseert passkeys via iCloud Keychain op iOS-, iPadOS- en macOS-apparaten met end-to-end-encryptie.
- Google beheert passkeys via Google Password Manager op Android 9+ en Chrome, gesynchroniseerd over alle apparaten die zijn aangemeld met hetzelfde Google-account.
- Microsoft integreert passkeys via Windows Hello op Windows 10+ met ondersteuning in Edge en Microsoft-accounts.
Volgens de FIDO Alliance ondersteunt nu 48% van de 100 grootste websites wereldwijd passkey-authenticatie, meer dan een verdubbeling ten opzichte van 2022.
Cross-platform authenticatie werkt via QR-code-overdracht en Bluetooth-nabijheid, zodat gebruikers op een laptop kunnen inloggen met een passkey die op hun telefoon is opgeslagen. Externe wachtwoordmanagers zoals 1Password en Bitwarden ondersteunen nu passkey-opslag en -synchronisatie, waardoor de afhankelijkheid van één ecosysteem afneemt. Het Credential Exchange Protocol (CXP) van de FIDO Alliance ontwikkelt zich verder om veilige passkey-overdracht tussen providers mogelijk te maken, waarmee vendor lock-in wordt aangepakt.
Browsersondersteuning is volledig. Safari, Chrome, Edge en Firefox implementeren allemaal de WebAuthn API die nodig is voor passkey-authenticatie. Dit betekent dat je webapplicaties passkeys kunnen ondersteunen zonder browser-specifieke code.
Ondanks deze brede platformondersteuning introduceren passkeys afwegingen waar organisaties rekening mee moeten houden voordat ze tot uitrol overgaan.
Beperkingen en afwegingen van passkeys
Geen enkele authenticatietechnologie is zonder frictie, en inzicht in deze beperkingen helpt bij het opstellen van een realistische uitrolstrategie.
- Afhankelijkheid van ecosystemen blijft een aandachtspunt. Gesynchroniseerde passkeys zijn momenteel gekoppeld aan platform-specifieke credential managers. Een medewerker die Apple iCloud Keychain gebruikt, kan die passkeys niet direct benaderen vanaf een Android-apparaat. Hoewel QR-code-authenticatie en externe wachtwoordmanagers workarounds bieden, is cross-ecosysteem-portabiliteit nog in ontwikkeling. Het Credential Exchange Protocol van de FIDO Alliance moet dit oplossen, maar volledige interoperabiliteit is nog geen standaard.
- Gedeelde en serviceaccounts zorgen voor complicaties. Passkeys zijn gebonden aan individuele apparaten en biometrie, waardoor ze lastig zijn voor gedeelde teamaccounts, serviceaccounts of kiosken waar meerdere gebruikers op hetzelfde apparaat inloggen. Organisaties lossen dit doorgaans op door wachtwoordauthenticatie te behouden voor gedeelde accounts en passkeys uit te rollen voor individuele gebruikers.
- Herstel zonder wachtwoorden vereist nieuwe workflows. Wanneer een gebruiker alle apparaten verliest en geen back-up authenticator heeft geregistreerd, wordt accountherstel complexer dan een eenvoudige wachtwoordreset. Organisaties hebben goed geteste herstelprocedures nodig, waaronder herstel met hulp van een beheerder en out-of-band-identiteitsverificatie.
- Niet alle diensten ondersteunen passkeys al. Ondanks toenemende adoptie ontbreken WebAuthn-ondersteuning bij veel legacy-applicaties, interne tools en externe SaaS-producten nog. Je organisatie zal waarschijnlijk hybride authenticatie hanteren, waarbij passkeys de primaire identity providers beschermen en wachtwoorden blijven bestaan voor niet-ondersteunde systemen tijdens de migratie.
Deze beperkingen bepalen hoe ondernemingen passkey-uitrol in de praktijk benaderen, en de data tonen dat de meeste organisaties toch doorgaan ondanks de complexiteit.
Uitrol van wachtwoord versus passkey in de onderneming
Volgens de FIDO Alliance Enterprise Deployment Survey onder 400 Britse en Amerikaanse leidinggevenden van bedrijven met meer dan 500 medewerkers, heeft 87% van de organisaties passkey-authenticatie voor medewerkers uitgerold of is hiermee bezig. Velen kiezen voor een gefaseerde aanpak, waarbij eerst integratie met de infrastructuur wordt aangepakt voordat universele uitrol plaatsvindt. Organisaties rapporteerden een daling van 26% in wachtwoordgebruik na implementatie van passkeys, wat aantoont dat gedeeltelijke adoptie meetbare beveiligingsverbeteringen oplevert terwijl legacy-compatibiliteit wordt aangepakt.
Je identity platform moet ondersteuning bieden voor de WebAuthn API en lifecycle management van passkeys. De meeste moderne identity providers ondersteunen nu passkey-authenticatie via WebAuthn. Integratie vindt plaats op je Identity Provider (IdP)-laag, waar gebruikers authenticeren met passkeys voordat SAML-asserties of OIDC-tokens worden uitgegeven aan gefedereerde applicaties. Beveiligingsplatforms zoals SentinelOne Singularity Platform moeten integreren met je IdP om zichtbaarheid te behouden op authenticatiegebeurtenissen, waarbij passkey-gebaseerde logins worden gecorreleerd met endpoint-activiteit en gebruikersgedragsanalyse.
Je Mobile Device Management (MDM)- en Unified Endpoint Management (UEM)-beleid moeten ook worden bijgewerkt om passkey-authenticators en apparaatattestatie te ondersteunen. Compatibiliteit met legacy-applicaties is de belangrijkste uitrolbarrière. Je hebt een volledige applicatie-inventarisatie nodig om te bepalen welke systemen passkeys ondersteunen en welke gatewayoplossingen of blijvende wachtwoordauthenticatie vereisen tijdens de migratie.
Gebruikersadoptie bepaalt het beveiligingsresultaat. Het Thales/FIDO Alliance State of Passkey Deployment Report voor 2024 noemt gebruikersvoorlichting als belangrijkste uitroluitdaging. Het documenteert verwarring bij gebruikers over passkey-concepten, vooral rond synchronisatie tussen apparaten, en weerstand tegen het veranderen van gevestigde gewoonten. Organisaties die adoptie niet stimuleren, lopen het risico dezelfde kwetsbaarheden en kosten te behouden, zelfs na implementatie van passkeys.
Naast operationele uitrol moet passkey-adoptie ook voldoen aan de compliance-kaders en Zero Trust-architecturen die de beveiligingspositie van ondernemingen bepalen.
Compliance en Zero Trust-afstemming
Passkeys voldoen aan phishing-resistente authenticatie-eisen waaraan wachtwoorden niet kunnen voldoen. NIST Special Publication 800-63B definieert authenticatiezekerheidsniveaus waarbij AAL2 expliciet vereist dat phishing-resistente opties worden aangeboden en AAL3 deze exclusief verplicht. Als je alleen wachtwoorden gebruikt, kun je aan deze eisen niet voldoen, ongeacht complexiteitsbeleid of multi-factor authenticatie-lagen.
Voor federale implementaties bevestigt aanvullende NIST-richtlijn dat gesynchroniseerde passkeys voldoen aan AAL2-eisen. Federale authenticatiesleutels moeten worden opgeslagen in synchronisatieplatforms die voldoen aan de Federal Information Security Modernization Act (FISMA). De PCI Security Standards Council heeft ook FAQ 1595 en FAQ 1596 uitgebracht die specifiek ingaan op passkeys en FIDO2-gebaseerde authenticatie voor compliance in de betaalkaartindustrie.
Passkeys sluiten aan bij de kern van Zero Trust-principes:
- Privésleutels verlaten het authenticatorapparaat nooit, waardoor diefstal van inloggegevens en replay-aanvallen worden voorkomen.
- Authenticatie wordt cryptografisch gebonden aan geverifieerde domeinen, waardoor phishing wordt gestopt door validatie van de relying party.
- Elke sessie vereist cryptografisch bewijs van apparaatbezit in plaats van het presenteren van gecachte inloggegevens.
Samen ondersteunen deze eigenschappen het "never trust, always verify"-principe van Zero Trust.
Voor organisaties in GDPR-jurisdicties, zorg of SOC 2-compliance-omgevingen ondersteunen passkeys compliance door minder blootstelling van persoonsgegevens en phishing-resistente authenticatie die voldoet aan NIST AAL2/AAL3-standaarden. Aan deze eisen voldoen is één kant van de medaille; de andere is het behouden van zichtbaarheid over je authenticatie-infrastructuur tijdens de transitie.
Singulariteit™ Identiteit
Detecteer en reageer in realtime op aanvallen met holistische oplossingen voor Active Directory en Entra ID.
Vraag een demo aanBelangrijkste punten
Wachtwoorden creëren systemische kwetsbaarheid door gedeelde geheimen die aanvallers stelen via phishing, credential stuffing en datalekken. Passkeys elimineren deze aanvallen via asymmetrische cryptografie waarbij privésleutels het gebruikersapparaat nooit verlaten.
Met 88% van de datalekken waarbij gestolen inloggegevens betrokken zijn en 87% van de Amerikaanse/Britse ondernemingen met 500+ medewerkers die passkeys uitrollen of implementeren, is de richting duidelijk. NIST en CISA vereisen expliciet phishing-resistente authenticatie die wachtwoorden niet kunnen bieden, ongeacht complexiteitsbeleid.
Veelgestelde vragen
Een passkey is een phishing-resistent authenticatiemiddel gebaseerd op de FIDO2/WebAuthn-standaard. Het maakt gebruik van asymmetrische cryptografie om voor elk account een uniek publiek-privaat sleutelpaar te genereren. De privésleutel blijft op uw apparaat en wordt nooit naar servers verzonden.
Een wachtwoord is een gedeeld geheim dat zowel op uw apparaat als op de server wordt opgeslagen, waardoor het kwetsbaar is voor phishing, credential stuffing en datalekken. Passkeys bewijzen identiteit via een cryptografische challenge-response in plaats van het verzenden van een herbruikbaar geheim.
Passkeys gebruiken cryptografische domeinbinding waardoor authenticatieresponsen alleen geldig zijn voor het specifieke oorsprongsdomein waar de registratie heeft plaatsgevonden. Wanneer gebruikers phishingwebsites bezoeken, blokkeert de WebAuthn-implementatie van de browser authenticatieresponsen zodat deze niet bij het verkeerde domein terechtkomen.
Deze bescherming werkt op protocolniveau en is dus niet afhankelijk van het vermogen van gebruikers om frauduleuze sites te herkennen. De FIDO Alliance classificeert zowel gesynchroniseerde als apparaatgebonden passkeys formeel als phishingbestendig, terwijl wachtwoorden in de phishable categorie blijven, samen met SMS-OTP, e-mail-OTP en vergelijkbare methoden.
Enterprise-passkeys-implementaties gebruiken gesynchroniseerde passkeys die worden gerepliceerd op apparaten die zijn aangemeld bij hetzelfde account-ecosysteem, zoals Apple, Google of Microsoft. Wanneer gebruikers een apparaat kwijtraken, blijven hun passkeys toegankelijk op andere geauthenticeerde apparaten. Organisaties dienen back-up-authenticators en door beheerders ondersteunde herstelworkflows te implementeren voor scenario's waarin gebruikers toegang tot alle apparaten verliezen.
Voor NIST-naleving moeten federale implementaties authenticatiesleutels opslaan in FISMA-conforme synchronisatieplatforms zoals gespecificeerd in NIST SP 800-63B Supplement over Synchroniseerbare Authenticators.
Legacy-applicaties zonder WebAuthn-ondersteuning kunnen passkey-authenticatie niet direct accepteren. Organisaties implementeren passkeys op de Identity Provider-laag, waar gebruikers zich authenticeren met passkeys voordat SAML-verklaringen of OIDC-tokens worden uitgegeven aan gefedereerde applicaties.
Dit maakt een geleidelijke migratie mogelijk; moderne applicaties integreren direct met passkey-authenticatie, terwijl legacy-applicaties standaard federatietokens ontvangen na passkey-gebaseerde IdP-authenticatie.
NIST SP 800-63B vereist phishing-resistente authenticatie voor AAL2 en AAL3, wat met wachtwoorden niet mogelijk is, ongeacht complexiteit of rotatiebeleid. CISA beveelt passkeys aan als standaard authenticatie voor kritieke infrastructuur via phishing-resistente methoden.
PCI DSS v4.x behandelt passkeys in FAQ's 1595 en 1596 voor naleving binnen de betaalkaartindustrie. Federale implementaties moeten voldoen aan FISMA-eisen voor opslag van authenticatiesleutels in conforme synchronisatie-omgevingen.
