Microsoft rolt passkeys uit binnen Microsoft Entra ID, het identiteitsplatform dat vroeger Azure Active Directory heette. De functie komt wereldwijd beschikbaar voor organisaties in de cloud. De uitrol start nu en loopt door in de komende weken. Doel is veiliger en eenvoudiger inloggen, zonder wachtwoorden en met betere bescherming tegen phishing.
Wachtwoorden maken plaats
Een passkey is een digitale sleutel die een wachtwoord vervangt. Het systeem gebruikt een publiek-privaat sleutelpaar om te bewijzen wie je bent. De geheime sleutel blijft op je apparaat en wordt niet gedeeld. Dat maakt phishing veel lastiger en inloggen sneller.
Microsoft Entra ID ondersteunt nu passkeys naast bestaande methoden zoals Windows Hello en FIDO2-beveiligingssleutels. Passkeys kunnen worden opgeslagen in een platformkluis, zoals op een telefoon of laptop. Ze werken in de browser via de webstandaard WebAuthn. Dat betekent minder wachtwoorden en minder sms-codes.
Voor eindgebruikers verandert de ervaring weinig. Je kiest je account en bevestigt met gezichtsherkenning, vingerafdruk of pincode. Biometrie is een lokale ontgrendeling, niet de inlog zelf. De cryptografie doet de daadwerkelijke verificatie richting Microsoft Entra.
Een passkey vervangt het wachtwoord door een cryptografisch sleutelpaar: de publieke sleutel gaat naar de dienst, de private sleutel blijft veilig op het apparaat.
Beheer via Entra beleid
Beheerders schakelen passkeys in via de verificatiemethoden en “authentication strengths” in Microsoft Entra. Daarmee kun je per app eisen dat alleen phishing-resistente methoden worden gebruikt. Denk aan passkeys, FIDO2 of Windows Hello. Zo voorkom je zwakkere opties als sms of mailcodes.
Voor onboarding ondersteunt Entra een Temporary Access Pass. Dat is een tijdelijke code om de eerste passkey te registreren. Daarna kan de tijdelijke code uit. Dit verkleint het risico op accountovernames bij uitgifte.
Levenscyclusbeheer blijft belangrijk. Regels voor verloren of gestolen apparaten moeten duidelijk zijn. Koppel passkeys aan apparaatbeheer en intrekbeleid. Log inlogpogingen om forensisch onderzoek mogelijk te maken.
Werkt op pc en mobiel
Passkeys werken in moderne browsers en besturingssystemen. Ondersteuning is er voor Windows, Android, iOS en macOS. Ook Edge, Chrome en Safari kunnen ermee overweg. Op het moment van schrijven is de exacte dekking per versie nog afhankelijk van updates.
Microsoft Authenticator kan als passkey-opslag en -verificator dienen. Ook platformkluizen van Apple en Google worden ondersteund. Inloggen kan op een pc met bevestiging op je telefoon. Een QR-code of nabijheid helpt de twee apparaten te koppelen.
Voor gedeelde of vaste werkplekken is beleid nodig. Gebruik daar bij voorkeur hardware-sleutels per medewerker. Vermijd gedeelde accounts met één passkey. Dat schaadt controle en traceerbaarheid.
AVG en Europese plichten
Passkeys passen bij dataminimalisatie onder de AVG. De private sleutel en biometrie blijven lokaal en worden niet naar de cloud gestuurd. Alleen een cryptografisch bewijs gaat over het netwerk. Dit verkleint het risico op grootschalige wachtwoordlekken.
Voor vitale sectoren helpt dit bij NIS2-eisen rond sterke authenticatie. Ook sluit het aan op eIDAS 2.0, waar vertrouwensniveaus en veilige inlogmiddelen centraal staan. Nederlandse overheden kunnen het verbinden met de BIO. Een DPIA blijft wel raadzaam, vooral bij cross-device synchronisatie.
Let op internationale gegevensstromen. Synchronisatie via platformaanbieders kan buiten de EU lopen. Controleer verwerkersovereenkomsten en opslaglocaties. Documenteer keuzes en stel passende waarborgen in.
Beperkingen en aandachtspunten
Niet elke legacy-app spreekt WebAuthn. Oude protocollen zoals POP/IMAP of RDP-gateways vragen soms alternatieven. Breng afhankelijkheden in kaart en plan vervanging. Gebruik waar nodig tussenlagen of moderniseer de frontends.
Herstel en offboarding vragen extra aandacht. Wat als iemand zijn telefoon kwijtraakt of de kluis niet meer kan openen? Voorzie meerdere passkeys of een hardware-sleutel als back-up. Houd herstelmethoden kort en streng om misbruik te voorkomen.
Training is cruciaal voor brede acceptatie. Leg simpel uit wat een passkey is en wat het verandert. Oefen met registratie en herstel. Communiceer duidelijk dat sms-codes geen voorkeursoptie meer zijn.
Gevolgen voor Nederlandse organisaties
Voor bedrijven in Nederland kan dit wachtwoordbeheer en kosten verminderen. Minder resets en minder phishingincidenten schelen tijd. Hybride werken wordt eenvoudiger, omdat bevestiging op mobiele apparaten werkt. Dit helpt ook bij inhuur en leveranciersaccounts.
De publieke sector ziet voordelen bij digitale dienstverlening. Passkeys bieden hogere betrouwbaarheid zonder extra frictie. Dat past bij doelstellingen rond veilige toegang voor burgers en ambtenaren. Controleer wel compatibiliteit met bestaande ketens en middleware.
Plan een gefaseerde uitrol. Start met vrijwillige adoptie, gevolgd door beleid dat passkeys verplicht stelt. Koppel dit aan monitoring en rapportage in Entra. Evalueer periodiek op veiligheid, gebruiksgemak en naleving.
