Wachtwoorden werken niet meer. Ze zijn kwetsbaar, makkelijk te kraken en worden massaal hergebruikt. Als een database wordt gehackt, ligt alles op straat. Toch vertrouwen veel organisaties er nog dagelijks op.
Er zijn betere oplossingen. Passkeys bijvoorbeeld. Of de EU Digital Identity Wallet. Maar zolang we blijven hangen in ouderwetse fallback-opties, houden we het lek zelf open.
Waarom wachtwoorden achterhaald zijn
- Mensen gebruiken hetzelfde wachtwoord op meerdere plekken.
- Veel wachtwoorden zijn te raden of staan in een oud datalek.
- De fallback (zoals “wachtwoord vergeten”) is vaak nóg slechter beveiligd.
Technisch zijn er betere opties. Denk aan biometrie en cryptografische sleutels. Maar zonder een standaard en brede acceptatie blijft het behelpen.
Wat is een passkey?
Een passkey vervangt het wachtwoord. In plaats van iets dat je moet onthouden, gebruik je iets dat je hebt (je apparaat) en iets dat je bent (bijvoorbeeld je vingerafdruk). Je logt in met biometrie. De geheime sleutel blijft op je toestel en wordt niet gedeeld. Geen phishing. Geen datalekken van wachtwoorden.
Apple, Google en Microsoft ondersteunen het al. Ook 1Password en andere partijen maken het toegankelijk. Toch is de adoptie beperkt.
Wat houdt adoptie tegen?
- Elke sector ontwikkelt z’n eigen oplossing.
- Gebruikers snappen het verschil met wachtwoorden niet.
- Organisaties blijven fallback-opties aanbieden die alles ondermijnen.
- Er is geen brede standaard die over sectoren heen werkt.
Zolang de gebruiker voor elk portaal een andere app nodig heeft, haken mensen af.
En dan de Digital Identity Wallet?
De Europese Commissie werkt aan een wallet waarin je als burger zelf gegevens beheert. Rijbewijs, diploma’s, verzekeringsgegevens. Je deelt alleen wat nodig is. Niet meer dan dat.
Dat biedt kansen. Zeker als deze wallet ook gebruikt kan worden voor inloggen. Maar dan moet het wél vertrouwd aanvoelen. En niet weer een extra systeem zijn naast de drie die je al hebt.
Wat moet je hier als IT’er mee?
Kijk vooruit. Richt je IAM-landschap in met oog op interoperabiliteit. Verwacht dat je (C)IAM-systeem straks met verschillende wallets moet kunnen praten. Ondersteuning voor FIDO2 is geen luxe meer, maar een randvoorwaarde.
Vermijd nieuwe implementaties op basis van wachtwoorden. Zorg dat je fallback geen achterdeur is. En denk na over hoe je gebruikers helpt begrijpen wat een passkey is.
De rol van de overheid
De overheid moet faciliteren, niet dicteren. Standaarden en randvoorwaarden zijn prima. Maar laat de markt innoveren. Laat gebruikers kiezen uit vertrouwde oplossingen. En zorg voor één duidelijke route. Niet een woud van apps, wallets en alternatieven.
Tot slot
De toekomst is wachtwoordloos. Maar alleen als we durven loslaten. Dat vraagt om samenwerking, standaardisatie en realistische tussenstappen. We moeten richting geven. En ophouden met uitstellen.