Een Leider in het 2025 Gartner® Magic Quadrant™ voor Endpoint Protection Platforms. Vijf jaar op rij.Een Leider in het Gartner® Magic Quadrant™Lees Rapport
Ervaart u een beveiligingslek?Blog
Aan de slagContact Opnemen
Header Navigation - NL
  • Platform
    Platform Overzicht
    • Singularity Platform
      Welkom bij de geïntegreerde bedrijfsbeveiliging
    • AI voor beveiliging
      Toonaangevend in AI-Powered beveiligingsoplossingen
    • Beveiliging van AI
      Versnel de adoptie van AI met veilige AI-tools, applicaties en agents.
    • Hoe het werkt
      Het Singularity XDR verschil
    • Singularity Marketplace
      Integraties met één klik om de kracht van XDR te ontsluiten
    • Prijzen en Pakketten
      Vergelijkingen en richtlijnen in één oogopslag
    Data & AI
    • Purple AI
      SecOps versnellen met generatieve AI
    • Singularity Hyperautomation
      Eenvoudig beveiligingsprocessen automatiseren
    • AI-SIEM
      De AI SIEM voor het Autonome SOC
    • AI Data Pipelines
      Beveiligingsdatapijplijn voor AI SIEM en data-optimalisatie
    • Singularity Data Lake
      Aangedreven door AI, verenigd door Data Lake
    • Singularity Data Lake For Log Analytics
      Naadloze opname van gegevens uit on-prem, cloud of hybride omgevingen
    Endpoint Security
    • Singularity Endpoint
      Autonome preventie, detectie en respons
    • Singularity XDR
      Inheemse en open bescherming, detectie en respons
    • Singularity RemoteOps Forensics
      Forensisch onderzoek op schaal orkestreren
    • Singularity Threat Intelligence
      Uitgebreide informatie over tegenstanders
    • Singularity Vulnerability Management
      Rogue Activa Ontdekken
    • Singularity Identity
      Bedreigingsdetectie en -respons voor Identiteit
    Cloud Security
    • Singularity Cloud Security
      Blokkeer aanvallen met een AI-gebaseerde CNAPP
    • Singularity Cloud Native Security
      Cloud en ontwikkelingsbronnen beveiligen
    • Singularity Cloud Workload Security
      Platform voor realtime bescherming van de cloudwerklast
    • Singularity Cloud Data Security
      AI-gestuurde detectie van bedreigingen
    • Singularity Cloud Security Posture Management
      Cloud misconfiguraties opsporen en herstellen
    AI Beveiligen
    • Prompt Security
      AI-tools in de hele organisatie beveiligen
  • Waarom SentinelOne?
    Waarom SentinelOne?
    • Waarom SentinelOne?
      Cybersecurity Ontworpen voor What’s Next
    • Onze Klanten
      Vertrouwd door 's Werelds Meest Toonaangevende Ondernemingen
    • Industrie Erkenning
      Getest en Gevalideerd door Experts
    • Over Ons
      De Marktleider in Autonome Cybersecurity
    Vergelijk SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Markten
    • Energie
    • Overheid
    • Financieel
    • Zorg
    • Hoger Onderwijs
    • Basis Onderwijs
    • Manufacturing
    • Retail
    • Rijksoverheid & lokale overheden
  • Services
    Managed Services
    • Managed Services Overzicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Wereldklasse expertise en Threat Intelligence.
    • Managed Detection & Response
      24/7/365 deskundige MDR voor uw volledige omgeving.
    • Incident Readiness & Response
      DFIR, paraatheid bij inbreuken & compromitteringsbeoordelingen.
    Support, Implementatie & Health
    • Technical Account Management
      Customer Success met Maatwerk Service
    • SentinelOne GO
      Begeleid Onboarden en Implementatieadvies
    • SentinelOne University
      Live en On-Demand Training
    • Services Overview
      Allesomvattende oplossingen voor naadloze beveiligingsoperaties
    • SentinelOne Community
      Community Login
  • Partners
    Ons Ecosysteem
    • MSSP Partners
      Versneld Succes behalen met SentinelOne
    • Singularity Marketplace
      Vergroot de Power van S1 Technologie
    • Cyber Risk Partners
      Schakel de Pro Response en Advisory Teams in
    • Technology Alliances
      Geïntegreerde, Enterprise-Scale Solutions
    • SentinelOne for AWS
      Gehost in AWS-regio's over de hele wereld
    • Channel Partners
      Lever de juiste oplossingen, Samen
    • SentinelOne for Google Cloud
      Geünificeerde, autonome beveiliging die verdedigers een voordeel biedt op wereldwijde schaal.
    Programma Overzicht→
  • Resources
    Resource Center
    • Case Studies
    • Datasheets
    • eBooks
    • Webinars
    • White Papers
    • Events
    Bekijk alle Resources→
    Blog
    • In de Spotlight
    • Voor CISO/CIO
    • Van de Front Lines
    • Cyber Response
    • Identity
    • Cloud
    • macOS
    SentinelOne Blog→
    Tech Resources
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Bedrijf
    Over SentinelOne
    • Over SentinelOne
      De Marktleider in Cybersecurity
    • Labs
      Threat Onderzoek voor de Moderne Threat Hunter
    • Vacatures
      De Nieuwste Vacatures
    • Pers & Nieuws
      Bedrijfsaankondigingen
    • Cybersecurity Blog
      De Laatste Cybersecuritybedreigingen, Nieuws en Meer
    • FAQ
      Krijg Antwoord op de Meest Gestelde Vragen
    • DataSet
      Het Live Data Platform
    • S Foundation
      Zorgen voor een veiligere toekomst voor iedereen
    • S Ventures
      Investeren in Next Generation Security en Data
Aan de slagContact Opnemen
Background image for Wat is een passkey? Fundamenten van moderne authenticatie
Cybersecurity 101/Identiteitsbeveiliging/Passkey

Wat is een passkey? Fundamenten van moderne authenticatie

Passkeys gebruiken cryptografische sleutelpaaren om wachtwoorden te vervangen, waardoor phishing en diefstal van inloggegevens worden geëlimineerd. Leer hoe ze werken en ontdek best practices voor implementatie.

CS-101_Identity.svg
Inhoud
Wat is een passkey?
Hoe passkeys zich verhouden tot cybersecurity
Passkeys versus wachtwoorden
Kerncomponenten van passkeys
Hoe passkeys werken
Belangrijkste voordelen van passkeys
Ondersteuning van passkeys door platforms en adoptie in de sector
Uitdagingen en beperkingen van passkeys
Veelgemaakte fouten bij implementatie van passkeys
Best practices voor passkeys
Belangrijkste punten

Gerelateerde Artikelen

  • Wat is LDAP Injection? Hoe het werkt en hoe het te stoppen
  • Wat is Broken Authentication? Oorzaken, impact & preventie
  • Wat is Authentication Bypass? Technieken & Voorbeelden
  • Passkey versus Security Key: Verschillen & Hoe te Kiezen
Auteur: SentinelOne | Recensent: Jeremy Goldstein
Bijgewerkt: April 9, 2026

Wat is een passkey?

Een aanvaller vist het wachtwoord van een medewerker, omzeilt sms-twee-factor-authenticatie en beweegt zich lateraal door uw netwerk. Volgens het Verizon DBIR was bij 88% van de inloggegevens-gebaseerde aanvalspatronen sprake van gestolen inloggegevens, terwijl phishing werd gebruikt in 57% van de social engineering-incidenten.

Passkeys elimineren dit volledige aanvalspad. Ze gebruiken cryptografische, wachtwoordloze authenticatie waarbij privésleutels nooit het apparaat van de gebruiker verlaten, waardoor diefstal van inloggegevens feitelijk onmogelijk wordt.

Een passkey is gebaseerd op publieke-sleutelcryptografie. Uw apparaat genereert een uniek sleutelpaar: de privésleutel blijft op uw apparaat in hardwarebeveiligde opslag zoals een Trusted Platform Module of Secure Enclave, en de publieke sleutel gaat naar de dienstverlener. Tijdens authenticatie stuurt de dienst een uitdaging die uw apparaat ondertekent met de privésleutel. Er worden geen wachtwoorden over het netwerk verzonden. Dit elimineert phishing, credential stuffing en aanvallen door hergebruik van wachtwoorden omdat privésleutels nooit apparaten verlaten en er geen herbruikbare geheimen worden verzonden.

Passkeys implementeren de FIDO2-standaard (WebAuthn + CTAP), wat zorgt voor consistente beveiliging over platforms, browsers en diensten heen. Apparaatgebonden passkeys slaan privésleutels op in hardwarebeveiligingsmodules voor de hoogste zekerheid. Gesynchroniseerde passkeys versleutelen en synchroniseren sleutels binnen platformecosystemen voor bredere toegankelijkheid.

Inzicht in hoe passkeys verschillen van de wachtwoorden die ze vervangen, maakt de beveiligingsverbetering duidelijk.

What is a Passkey - Featured Image | SentinelOne

Hoe passkeys zich verhouden tot cybersecurity

Passkeys stoppen phishing op cryptografisch niveau. Wanneer aanvallers phishingcampagnes tegen uw gebruikers uitvoeren, voorkomt origin binding via het WebAuthn-protocol authenticatie op nagemaakte domeinen. Zelfs als een gebruiker op een phishinglink klikt en probeert in te loggen, kan de inloggegevensstroom niet worden voltooid omdat cryptografische binding aan het legitieme domein dit blokkeert.

Privésleutels die zijn opgeslagen in hardwarebeveiligingsmodules kunnen niet via software-aanvallen worden geëxtraheerd. Databaselekken kunnen geen herbruikbare inloggegevens blootleggen, en credential stuffing faalt omdat passkeys uniek zijn per dienst.

Incidenten uit de praktijk tonen het belang hiervan aan. In september 2023 werd MGM Resorts slachtoffer van een social engineering-aanval waarbij aanvallers zich voordeden als een medewerker bij de IT-helpdesk en zo inloggegevens verkregen die leidden tot de uitrol van ransomware met een geschatte schade van $100 miljoen. In 2022 werd een grote identiteitsprovider getroffen door een incident met gestolen inloggegevens via een gecompromitteerde externe leverancier, wat gevolgen had voor honderden klanten.

Met passkey-beveiligde accounts wordt diefstal van inloggegevens als initiële toegangsmethode geëlimineerd, waardoor de aanvalsvector achter het merendeel van deze inbreuken wordt verwijderd. De kracht van die bescherming komt voort uit een specifieke set technische componenten die samenwerken.

Passkeys versus wachtwoorden

Wachtwoorden zijn gedeelde geheimen. U maakt ze aan, verzendt ze naar een server en de server slaat een gehashte kopie op. Elke stap in die keten is kwetsbaar: gebruikers kiezen zwakke wachtwoorden, hergebruiken ze bij meerdere diensten en trappen in phishingpagina's die ze in realtime oogsten. Zelfs gehashte wachtwoorddatabases worden gelekt en offline gekraakt.

Passkeys werken op elk niveau anders. Uw apparaat genereert een cryptografisch sleutelpaar en de privésleutel verlaat het apparaat nooit. De server slaat alleen de publieke sleutel op, die nutteloos is voor een aanvaller zonder het bijbehorende private deel. Authenticatie gebeurt via een ondertekende uitdaging, zodat er niets herbruikbaars over het netwerk gaat.

De praktische verschillen zijn aanzienlijk. Wachtwoorden vereisen dat gebruikers complexe tekenreeksen onthouden en deze periodiek wijzigen, wat leidt tot hergebruik en zwakke keuzes. Passkeys vereisen alleen een biometrische scan of apparaat-PIN om te ontgrendelen, zonder iets te hoeven onthouden. Wachtwoordresets zijn goed voor 20-50% van de IT-helpdeskverzoeken binnen organisaties; passkeys elimineren deze categorie volledig.

Vanuit beveiligingsoogpunt blijven wachtwoorden kwetsbaar voor phishing, brute-force-aanvallen, credential stuffing en databaselekken. Passkeys zijn bestand tegen alle vier:

  • Phishing — Domeinbinding voorkomt dat inloggegevens worden gebruikt op nagemaakte sites
  • Brute-force en credential stuffing — Er bestaan geen wachtwoorden om te raden of te hergebruiken
  • Databaselekken — Servers slaan alleen publieke sleutels op, die nutteloos zijn zonder het private deel
  • Hergebruik van inloggegevens — Uniek per dienst betekent dat het compromitteren van één account geen andere accounts opent

Waar wachtwoorden één authenticatiefactor bieden (iets dat u weet), combineren passkeys er twee: iets dat u heeft (het apparaat met de privésleutel) en iets dat u bent (biometrische verificatie), waarmee ingebouwde multi-factor authenticatie in één stap wordt geleverd.

Deze verschillen vertalen zich direct in meetbare beveiligingsresultaten wanneer passkeys worden geconfronteerd met aanvallen uit de praktijk.

Kerncomponenten van passkeys

Passkey-authenticatie is gebaseerd op vijf technische componenten die phishingbestendige authenticatie mogelijk maken:

  • Cryptografische sleutelpaar vormen de basis. Elke passkey bestaat uit een wiskundig gerelateerde publieke en private sleutel. De publieke sleutel staat op de server van de dienstverlener; de privésleutel blijft op het apparaat van de gebruiker in hardwarebeveiligde opslag.
  • Authenticators genereren en slaan passkeys op. Platformauthenticators zijn geïntegreerd in apparaten via TPM's, Secure Enclaves of Trusted Execution Environments (TEEs), waardoor privésleutels aan specifieke hardware zijn gebonden. Roaming authenticators omvatten USB-beveiligingssleutels en Bluetooth-tokens. Beide implementeren CTAP- en WebAuthn-specificaties voor domeinbinding, phishingbestendigheid en cryptografisch bewijs van bezit.
  • WebAuthn API stelt webapplicaties en browsers in staat te communiceren met authenticators. Deze W3C-standaard definieert hoe registratie en authenticatie worden uitgevoerd, wat zorgt voor consistente implementatie over platforms heen.
  • Relying party verwijst naar de dienst die passkey-authenticatie implementeert, uitdagingen genereert, reacties valideert en het register van publieke sleutels bijhoudt.
  • Gebruikersverificatie bevestigt dat de legitieme gebruiker de authenticator bedient via biometrische authenticatie, apparaat-PIN of patroon. Verificatie gebeurt lokaal; biometrische gegevens verlaten het apparaat nooit.

Deze componenten werken samen via twee kernprocessen: registratie en authenticatie.

Hoe passkeys werken

Beide processen zijn gebaseerd op cryptografische challenge-response die het verzenden van inloggegevens volledig elimineert.

Registratieproces

Tijdens registratie stuurt de relying party vereisten naar de browser van de gebruiker, die WebAuthn aanroept. De authenticator genereert een uniek sleutelpaar dat is gekoppeld aan dat domein. Deze origin binding voorkomt hergebruik van inloggegevens en phishing.

De privésleutel wordt opgeslagen in hardwarebeveiligd geheugen. Bij apparaatgebonden implementaties betekent dit hardwarebeveiligingsmodules, TPM's, Secure Enclaves of beveiligingschips. Bij gesynchroniseerde implementaties betekent dit versleutelde cloudopslag zonder exportmogelijkheid. De authenticator retourneert de publieke sleutel en credential metadata aan de relying party. Registratie is binnen enkele seconden voltooid, wat een wachtwoordloze loginervaring oplevert zonder wachtwoord aan te maken.

Authenticatieproces

Wanneer de gebruiker zich authenticeert, genereert de relying party een willekeurige uitdaging en stuurt deze samen met het credential-ID. Na gebruikersverificatie via biometrische scan, PIN-invoer of apparaatontgrendeling ondertekent de authenticator de uitdaging met de privésleutel.

De ondertekende uitdaging wordt teruggestuurd naar de relying party voor validatie. Als de handtekening klopt, is de authenticatie voltooid. Uitdagingen verlopen binnen enkele minuten en kunnen niet worden hergebruikt.

Authenticatie over meerdere apparaten

Gesynchroniseerde passkeys versleutelen privésleutels in cloud keychains (iCloud-sleutelhanger of Google Password Manager) voor toegang op meerdere apparaten binnen hetzelfde ecosysteem. Ze bieden gemakkelijke toegang maar beperkte attestation-ondersteuning, waardoor organisaties niet altijd cryptografisch het exacte beveiligingshardware kunnen verifiëren. Apparaatgebonden passkeys vereisen de fysieke authenticator bij elke login, wat meer zekerheid biedt via volledige attestation-mogelijkheden waarmee organisaties het exacte model beveiligingssleutel of hardwarebeveiligingsmodule kunnen verifiëren.

Voor ondernemingen hangt de keuze tussen gesynchroniseerde en apparaatgebonden credentials af van het risicoprofiel. Hoogbeveiligde omgevingen zoals beheerdersaccounts profiteren van apparaatgebonden implementaties, terwijl gesynchroniseerde opties geschikt zijn voor algemene medewerkersauthenticatie waar gebruiksgemak belangrijk is.

Nu de werking is behandeld, is de volgende vraag wat passkeys uw organisatie opleveren.

Belangrijkste voordelen van passkeys

Passkeys bieden vier categorieën meetbare verbetering ten opzichte van wachtwoordgebaseerde authenticatie, op het gebied van beveiliging, operatie en compliance.

  1. Phishingbestendigheid door cryptografie: Authenticatie op basis van wachtwoorden met sms-codes blijft kwetsbaar voor realtime phishing waarbij aanvallers verzoeken via nagemaakte sites doorsturen. Passkeys elimineren dit via domeinbinding. De WebAuthn API verifieert het bestemmingsdomein vóór authenticatie, waardoor het proces faalt als domeinen niet overeenkomen. Sms-codes, pushmeldingen en TOTP blijven kwetsbaar voor man-in-the-middle-aanvallen, SIM-swapping en pushmeldingsmoeheid. Cryptografische inloggegevens zijn dat niet.
  2. Voorkomen van diefstal van inloggegevens: Uw privésleutels verlaten nooit de apparaten van gebruikers. Serverlekken kunnen geen herbruikbare inloggegevens blootleggen omdat servers alleen publieke sleutels opslaan. Infostealer-malware kan geen sleutels uit hardwarebeveiligingsmodules halen, zelfs niet met kerneltoegang. Passkeys pakken de credential harvesting-technieken aan waarop aanvallers het meest vertrouwen.
  3. Operationele efficiëntie: Implementatie van passkeys vermindert het aantal wachtwoordresetverzoeken omdat gebruikers cryptografische inloggegevens niet kunnen vergeten. De FIDO-implementatie van de USDA stelde bijvoorbeeld ongeveer 40.000 gebruikers in staat om wachtwoordloze authenticatie te gebruiken, waarmee een hele categorie helpdesktickets werd geëlimineerd. Identiteitsbeveiligingsplatforms zoals Singularity Identity van SentinelOne vullen passkey-preventie aan met autonome respons op inloggegevensgerichte dreigingen die zich richten op authenticatie-infrastructuur.
  4. Compliance en afstemming op assurance-niveaus: Passkeys voldoen aan de NIST SP 800-63 AAL3-eisen voor phishingbestendige multi-factor authenticatie. CISA beschouwt FIDO/WebAuthn-passkeys als de gouden standaard voor MFA omdat ze domeingebonden inloggegevens bieden die niet op nagemaakte sites kunnen worden gebruikt. Zoals eerder vermeld, betreft het overgrote deel van de inloggegevens-gerelateerde inbreuken gestolen inloggegevens, een categorie die passkeys volledig elimineren.

Publieke-sleutelcryptografie biedt ook controleerbare beveiligingseigenschappen die wachtwoordbeleid niet kan evenaren: cryptografisch bewijs van domeinspecifieke authenticatie, geen gedeelde geheimen op het netwerk en hardwarematige sleutelgeneratie. Deze eigenschappen leveren verifieerbaar bewijs tijdens audits en vereenvoudigen compliance-documentatie voor kaders zoals SOC 2, HIPAA en PCI DSS.

Deze beveiligings- en operationele voordelen hebben geleid tot snelle adoptie over platforms en sectoren heen.

Ondersteuning van passkeys door platforms en adoptie in de sector

Apple, Google en Microsoft ondersteunen passkeys allemaal standaard in hun besturingssystemen en browsers, waardoor organisaties platformonafhankelijke dekking hebben voor de meeste enterprise-apparaatomgevingen:

  • Apple integreert passkeys via iCloud-sleutelhanger op iOS, iPadOS en macOS
  • Google ondersteunt ze via Google Password Manager op Android en Chrome
  • Microsoft maakt passkey-authenticatie mogelijk via Windows Hello en Entra ID

Naast platformleveranciers hebben grote consumenten- en bedrijfsdiensten passkey-login geïmplementeerd. Amazon, PayPal, GitHub, Shopify en eBay ondersteunen passkeys voor klantauthenticatie. De FIDO Alliance Passkey Directory volgt de groeiende adoptie in de bankensector, gezondheidszorg en overheid. Volgens de FIDO Alliance heeft 53% van de mensen passkeys ingeschakeld op ten minste één account.

Voor beveiligingsteams in ondernemingen betekent deze adoptietrend dat wachtwoordloze authenticatie geen toekomstmuziek meer is. Identiteitsproviders zoals Microsoft Entra ID, Okta en Ping Identity bieden native FIDO2/WebAuthn-integratie, waardoor uitrol binnen organisaties nu mogelijk is.

Groeiende platformondersteuning neemt de complexiteit van implementatie echter niet weg.

Uitdagingen en beperkingen van passkeys

Implementatie van passkeys in ondernemingen kent vier belangrijke obstakels die planning en investeringen vereisen.

  1. Beperkingen bij integratie met legacy-systemen: Legacy-applicaties die niet kunnen integreren met moderne authenticatiediensten vormen de belangrijkste belemmering voor implementatie. Veel organisaties vertrouwen op hybride systemen die wachtwoorden en cryptografische inloggegevens combineren vanwege legacy-beperkingen, wat operationele complexiteit oplevert doordat u meerdere authenticatie-infrastructuren tegelijk moet beheren. Mainframe-applicaties, industriële controlesystemen en embedded devices missen vaak de middelen om WebAuthn-protocollen te implementeren. U moet beslissen of u wachtwoordauthenticatie-eilanden onderhoudt, investeert in authenticatiegateways of accepteert dat bepaalde systemen buiten de dekking van passkeys blijven. Vroegtijdige planning voor deze hiaten voorkomt blinde vlekken in de beveiliging tijdens de uitrol.
  2. Inconsistenties in cross-platform implementatie: Implementaties verschillen per platform en browser ondanks standaardisatie via WebAuthn. Gesynchroniseerde passkeys werken alleen binnen één platformecosysteem: privésleutels die via iCloud-sleutelhanger worden gesynchroniseerd, zijn niet toegankelijk vanaf Android-apparaten met Google Password Manager, en omgekeerd. Deze inconsistenties zorgen voor onvoorspelbare authenticatiestromen die de uitrol binnen ondernemingen bemoeilijken.
  3. Complexiteit van account recovery: Verlies van apparaten of hardwarestoringen leiden tot scenario's waarin accounts worden vergrendeld en robuuste herstelmechanismen nodig zijn. Gebruikers zijn vaak bang om toegang te verliezen, en die angst vormt een psychologische barrière voor adoptie. Organisaties die herstel als bijzaak behandelen, zien meer supporttickets en lagere adoptiecijfers, dus het ontwerp van herstelmechanismen moet een prioriteit zijn tijdens de planning.
  4. Organisatorisch verandermanagement: Gebruikers kunnen weerstand bieden aan onbekende authenticatiestromen, vooral als ze de beveiligingsvoordelen niet begrijpen. Supportmedewerkers hebben training nodig in probleemoplossing, herstelprocedures en platformspecifiek gedrag vóór implementatie. Cross-functionele samenwerking tussen UX, ontwikkeling en productteams pakt adoptiebarrières effectiever aan dan passkeys als puur technische initiatieven te behandelen.

Door deze uitdagingen te kennen, voorkomt u de meest voorkomende implementatiefouten.

Veelgemaakte fouten bij implementatie van passkeys

Zelfs goed geplande uitrol van passkeys kan mislukken als teams gebruikerservaring, foutafhandeling en fallback-beveiliging over het hoofd zien. Deze vier fouten komen het vaakst voor.

  • Gebruikersvoorlichting overslaan vóór uitrol: Implementatie aankondigen zonder gebruikerszorgen te adresseren leidt tot verwarring en weerstand. Gebruikers krijgen onbekende authenticatieprompts zonder context en vragen vaak wachtwoordresets aan of nemen contact op met support. Voorlichting moet scenario's rond verlies van apparaten en herstelprocedures vooraf uitleggen, met platformspecifieke workflows voor iOS, Android en Windows.
  • Gebruik van generieke foutmeldingen: Authenticatiestromen die "Er is iets misgegaan" tonen in plaats van bruikbare aanwijzingen, ondermijnen het vertrouwen van gebruikers. Specifieke meldingen zoals "Deze inloggegevens horen bij een ander account" of "Uw apparaatbeleid vereist een update" helpen gebruikers bij het oplossen en behouden vertrouwen bij fouten.
  • Onvoldoende hersteltesten: Passkeys implementeren zonder grondige hersteltesten stelt gebruikers bloot aan vergrendeling. Gebruikers verliezen apparaten onverwacht, back-up authenticators werken niet, en cloudsync kan uitvallen. Test herstelprocedures op echte faalscenario's met stapsgewijze instructies en visuele begeleiding.
  • Onveilige fallback-authenticatie behouden: Implementaties die terugvallen op zwakke single-factor methoden (alleen e-mail of sms-OTP) blijven kwetsbaar voor dezelfde aanvallen die passkeys juist moeten stoppen. Ontwerp fallbacks met multi-factor eisen en maak herstelbewerkingen bewust minder gebruiksvriendelijk dan primaire authenticatie om routinematig gebruik te ontmoedigen en toch noodtoegang te behouden.

Het volgen van bewezen best practices helpt deze valkuilen te vermijden en een robuuste implementatie te realiseren.

Best practices voor passkeys

Succesvolle implementaties in ondernemingen delen patronen rond gefaseerde uitrol, doelgroepselectie, herstelontwerp en platformintegratie.

Implementeer een gefaseerde uitrolstrategie

Rol gefaseerd uit. Begin met het vaststellen van een multi-factor authenticatiebasis met app-gebaseerde authenticators, zodat de organisatie ervaring opdoet vóór de introductie van passkeys. Introduceer vervolgens passkeys met phishingbestendige MFA voor gevoelige applicaties, terwijl wachtwoordfallback tijdens de overgang behouden blijft.

Formuleer naarmate de adoptie groeit levenscyclus- en herstelprocessen:

  • Op afstand ontgrendelen van apparaten en uitgifte van inloggegevens
  • Intrekkingsprocedures met volledige audittrails voor compliance
  • Gecentraliseerd beheer van inloggegevens binnen de organisatie
  • Wachtwoordauthenticatie alleen nog als noodfallback

Elke fase moet duidelijke succescriteria bevatten voordat naar de volgende wordt overgegaan.

Richt u eerst op risicogroepen

Implementeer bij geprivilegieerde gebruikers, IT-beheerders en directieleden. Deze waardevolle doelwitten lopen het grootste risico op diefstal van inloggegevens, waarbij het Verizon DBIR aangeeft dat 57% van de social engineering-incidenten phishing betreft en phishing in 16% van alle inbreuken als initiële toegangsmethode wordt gebruikt. Beveilig bedrijfskritische applicaties, waaronder e-mail, VPN, HR-systemen en financiële tools, vóór minder gevoelige diensten.

Bouw een robuuste herstelinfrastructuur

Implementeer meerdere herstelmechanismen zonder wachtwoordachterdeurtjes te creëren. Vereis dat gebruikers back-up hardwarebeveiligingssleutels registreren naast primaire platformauthenticators, zodat verlies van één apparaat niet tot volledige vergrendeling leidt.

Administratief herstel moet identiteit verifiëren via meerdere kanalen: controle van een identiteitsbewijs met foto, bevestiging door een manager en validatie van beveiligingsvragen. Cloudgesynchroniseerde passkeys bieden automatisch herstel wanneer gebruikers inloggen op vervangende apparaten met hetzelfde platformaccount. Reserveer apparaatgebonden passkeys voor geprivilegieerde toegang die hardware-attested authenticatie vereist.

Integreer met identiteitsplatforms

Koppel aan enterprise-identiteitsplatforms zoals Microsoft Entra ID met behulp van voorwaardelijke toegangsbeleid. Risicogebaseerde authenticatie kan phishingbestendige passkey-verificatie afdwingen bij verhoogd risico, terwijl gestroomlijnde authenticatie mogelijk blijft bij laag risico. Integratie met identiteitsplatforms biedt ook gecentraliseerde audittrails die passkey-authenticatie koppelen aan applicatietoegang en gebruikersgedrag.

Stel continue verbeterprocessen in

Volg adoptiegegevens: registratieratio's, succespercentages bij authenticatie, frequentie van herstel en escalaties naar de helpdesk. Pas authenticatiestromen aan op basis van operationele data en gebruikersfeedback naarmate platformondersteuning en organisatorische volwassenheid zich ontwikkelen.

Passkeys versterken uw authenticatieperimeter, maar aanvallers stoppen niet bij gestolen inloggegevens.

Identiteitsrisico's in uw hele organisatie verminderen

Detecteer en reageer in realtime op aanvallen met holistische oplossingen voor Active Directory en Entra ID.

Vraag een demo aan

Belangrijkste punten

Passkeys elimineren diefstal van inloggegevens en phishing via cryptografische authenticatie waarbij privésleutels nooit het apparaat van de gebruiker verlaten. Er worden geen wachtwoorden over het netwerk verzonden, waardoor de meest voorkomende initiële toegangsmethode die aanvallers exploiteren wordt verwijderd. Implementatie in ondernemingen vereist een gefaseerde uitrol, te beginnen bij risicogebruikers en bedrijfskritische applicaties, met zorgvuldige planning rond legacy-beperkingen, cross-platform inconsistenties en adoptiebarrières bij gebruikers.

Het overslaan van gebruikersvoorlichting, het gebruik van generieke foutmeldingen en het behouden van zwakke fallback-authenticatie kunnen de beveiligingswinst van passkeys ondermijnen als deze niet worden aangepakt. Identiteitsbeveiligingsplatforms vullen passkey-preventie aan door aanvallen te detecteren die zich richten op de authenticatie-infrastructuur buiten de inloggegevenslaag, waaronder Active Directory-compromittering, privilege-escalatie en laterale beweging.

Veelgestelde vragen

Een passkey is een wachtwoordloos cryptografisch bewijs dat wachtwoorden vervangt met behulp van publieke sleutel cryptografie. Uw apparaat genereert een uniek sleutelpaar: de privésleutel blijft in hardware-beveiligde opslag op uw apparaat, en de publieke sleutel wordt naar de dienstverlener gestuurd. 

Authenticatie vindt plaats via een cryptografische challenge-response, waardoor er nooit wachtwoorden of herbruikbare geheimen over het netwerk worden verzonden.

Nee. Passkeys gebruiken asymmetrische cryptografie waarbij privésleutels in hardwarebeveiligingsmodules op uw apparaat blijven en nooit via netwerken worden verzonden. 

Phishingpogingen mislukken omdat passkeys het doeldomein cryptografisch verifiëren vóór authenticatie, waardoor gebruik op nagemaakte sites wordt voorkomen.

Herstel is afhankelijk van uw architectuur. Gesynchroniseerde passkeys die versleuteld zijn in cloud keychains blijven toegankelijk vanaf elk apparaat dat is aangemeld bij uw platformaccount. 

Apparaatgebonden passkeys vereisen back-up authenticators die tijdens registratie zijn aangemeld. Organisaties moeten meerdere herstelmechanismen implementeren om volledige accountblokkering te voorkomen.

Gesynchroniseerde passkeys werken op apparaten binnen hetzelfde platformecosysteem (Apple, Google, Microsoft). Cross-platform authenticatie vereist aparte passkey-registratie per ecosysteem of hardwarebeveiligingssleutels die FIDO2-standaarden implementeren.

Ja. Passkeys voldoen aan NIST SP 800-63B AAL3-eisen voor phishing-resistente multi-factor authenticatie. Apparaatgebonden passkeys met hardware-attestatie voldoen aan de hoogste authenticatiezekerheidseisen voor federale systemen. CISA beschouwt FIDO/WebAuthn passkeys als de gouden standaard voor MFA.

Passkeys implementeren FIDO2/WebAuthn-standaarden die worden ondersteund door enterprise-identiteitsplatforms, waaronder Microsoft Entra ID. Voorwaardelijke toegangsbeleid handhaven authenticatie op basis van passkeys op basis van risicosignalen. 

Implementatie vereist gefaseerde strategieën die rekening houden met legacy-compatibiliteit, herstelmechanismen en verandermanagement.

Ontdek Meer Over Identiteitsbeveiliging

Adaptieve Multi-Factor Authenticatie: Een Compleet OverzichtIdentiteitsbeveiliging

Adaptieve Multi-Factor Authenticatie: Een Compleet Overzicht

Adaptieve MFA past de authenticatiesterkte aan op basis van realtime risicobeoordeling en bewaakt continu sessies om token-diefstalaanvallen te stoppen die traditionele MFA omzeilen.

Lees Meer
Wat is phishing-resistente MFA? Moderne beveiligingIdentiteitsbeveiliging

Wat is phishing-resistente MFA? Moderne beveiliging

Phishing-resistente MFA gebruikt cryptografische domeinbinding om diefstal van inloggegevens te voorkomen. Leer hoe FIDO2- en PKI-gebaseerde methoden werken en waarom CISA deze als de gouden standaard beschouwt.

Lees Meer
Identity Provider (IDP) Security: Wat het is & waarom het belangrijk isIdentiteitsbeveiliging

Identity Provider (IDP) Security: Wat het is & waarom het belangrijk is

Ontdek hoe intrusion detection systems en FIDO2-authenticatie IdP-aanvallen op uw infrastructuur stoppen.

Lees Meer
Wat is NTLM? Beveiligingsrisico’s van Windows NTLM en migratiehandleidingIdentiteitsbeveiliging

Wat is NTLM? Beveiligingsrisico’s van Windows NTLM en migratiehandleiding

NTLM is een Windows-authenticatieprotocol met kritieke kwetsbaarheden. Lees meer over Pass-the-Hash-aanvallen, relay-risico’s en migratie vóór oktober 2026.

Lees Meer
Klaar om uw beveiligingsactiviteiten te revolutioneren?

Klaar om uw beveiligingsactiviteiten te revolutioneren?

Ontdek hoe SentinelOne AI SIEM uw SOC kan transformeren in een autonome krachtcentrale. Neem vandaag nog contact met ons op voor een persoonlijke demo en zie de toekomst van beveiliging in actie.

Vraag een demo aan
  • Aan de slag
  • Vraag een demo aan
  • Product Tour
  • Waarom SentinelOne
  • Prijzen & Pakketten
  • FAQ
  • Contact
  • Contact
  • Support
  • SentinelOne Status
  • Taal
  • Platform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support Services
  • Markten
  • Energie
  • Overheid
  • Financieel
  • Zorg
  • Hoger Onderwijs
  • Basis Onderwijs
  • Manufacturing
  • Retail
  • Rijksoverheid & lokale overheden
  • Cybersecurity for SMB
  • Resources
  • Blog
  • Labs
  • Case Studies
  • Product Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • Whitepapers
  • Pers
  • Nieuws
  • Ransomware Anthology
  • Bedrijf
  • Over SentinelOne
  • Onze klanten
  • Vacatures
  • Partners
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle rechten voorbehouden.

Privacyverklaring Gebruiksvoorwaarden

Dutch