Steeds meer accounts worden gekaapt via slimme phishing en datalekken. Grote platforms als Apple, Google en Microsoft zetten daarom in op passkeys, een manier van inloggen zonder wachtwoord. Ook voor de overheid zijn de Europese AI-verordening gevolgen overheid concreet: inloggen moet veiliger en transparanter. Dat is nodig, want criminelen gebruiken kunstmatige intelligentie om aanvallen sneller en overtuigender te maken.
Wachtwoorden blijven kwetsbaar
Wachtwoorden lekken via phishingmails, nepwebsites en malware die toetsaanslagen leest. Als een wachtwoord op één plek wordt gestolen en ook elders is gebruikt, volgen snel meer inbraken. Dit heet credential stuffing: bots proberen dezelfde combinatie op honderden diensten. Zo kan één datalek uitgroeien tot veel schade.
Kunstmatige intelligentie maakt phishing beter en sneller. Taalmodellen, een soort algoritme dat tekst schrijft, produceren foutloze mails in elke taal. Criminelen combineren dit met gestolen logo’s en overtuigende domeinnamen. Ook stemklonen voor telefonische oplichting komen vaker voor.
Beveiliging is meer dan een sterk wachtwoord bedenken. Het gaat ook om het beperken van wat er mis kan gaan als één schakel toch breekt. Dat betekent: unieke wachtwoorden, extra controle bij het inloggen en minder afhankelijkheid van geheimen die je moet onthouden.
Passkeys verminderen phishing
Passkeys vervangen het wachtwoord door een digitaal sleutelpaar. De geheime sleutel staat veilig op je device; de openbare sleutel bij de dienst. Inloggen gaat met Face ID, Touch ID of Windows Hello, zonder dat je een wachtwoord typt. Phishing werkt dan niet meer, omdat er geen geheim wordt gedeeld.
De techniek heet FIDO2/WebAuthn en wordt beheerd door de FIDO Alliance en het W3C. Apple (iOS, macOS en iCloud-sleutelhanger), Google (Android, Chrome en Google Password Manager) en Microsoft (Windows en Microsoft-account) ondersteunen passkeys op grote schaal. Ook hardware-sleutels zoals YubiKey van Yubico werken met deze standaard.
Steeds meer websites bieden een passkey-optie naast of in plaats van wachtwoorden. In Nederland en België kun je ze al gebruiken bij grote platforms en sommige banken. Wie overstapt, merkt vooral gemak: sneller inloggen en minder resetten, mét hogere veiligheid.
Een passkey is een cryptografische sleutel die jouw identiteit bewijst zonder dat je een wachtwoord deelt.
Twee stappen werkt beter
Is een passkey nog niet beschikbaar, zet dan multifactor-authenticatie aan. De veiligste vormen zijn een code uit een app (zoals Google Authenticator of Authy), een bevestiging in je bank- of accountapp of een hardware-sleutel. Kies sms alleen als er geen beter alternatief is, omdat sim-swaps misbruik mogelijk maken.
Voor betalingen in de EU geldt al sterke klantauthenticatie (SCA) onder PSD2. Daarom vragen Nederlandse en Belgische banken vaak om hun app, een scanner of biometrie bij online aankopen. Dat levert extra zekerheid op als kwaadwillenden jouw wachtwoord toch kennen.
Voor organisaties is MFA onmisbaar, zeker voor beheerders en toegang tot cloudomgevingen. De meeste zakelijke diensten bieden beleid om MFA af te dwingen en risicovol inloggen te blokkeren. Daarmee verklein je de kans dat één gestolen wachtwoord leidt tot een groot incident.
Beheer wachtwoorden veilig
Waar passkeys nog ontbreken, helpt een wachtwoordmanager om lange, unieke wachtwoorden te maken en te bewaren. Bekende opties zijn Bitwarden, 1Password, iCloud-sleutelhanger en Google Password Manager. Zo voorkom je hergebruik en kun je zonder risico’s complexe wachtwoorden inzetten.
Een goede manager versleutelt je kluis end-to-end. Dat betekent dat alleen jij de inhoud kunt lezen, zelfs de aanbieder niet. Zet ook hier multifactor-authenticatie aan, bij voorkeur met een app of hardware-sleutel, voor het geval iemand je hoofdwachtwoord raadt.
Houd zicht op datalekken die jouw accounts raken. Browsers als Chrome, Safari en Firefox waarschuwen bij bekende lekken. Je kunt ook je e-mailadres controleren via betrouwbare diensten zoals Have I Been Pwned en wachtwoorden die voorkomen in lijsten direct vervangen.
Europese AI-verordening gevolgen overheid
De AVG verplicht organisaties om passende beveiliging toe te passen, zoals versleuteling en multifactor-authenticatie. Dataminimalisatie en het beperken van toegang horen daar ook bij. Wie persoonsgegevens verwerkt zonder voldoende bescherming, riskeert handhaving en boetes.
NIS2 legt, op het moment van schrijven in nationale wetgeving in uitwerking, strengere eisen op aan essentiële en belangrijke organisaties. Identiteits- en toegangsbeheer is daarin een kernonderdeel. Dit betekent in de praktijk: MFA standaard, sterke logins en snelle melding van incidenten.
De Europese AI-verordening vraagt, op het moment van schrijven, om extra waarborgen bij inzet van AI, zeker in de publieke sector. Overheden die AI-systemen gebruiken, moeten veilige toegang en duidelijke logs regelen. Initiatieven zoals de Europese Digitale Identiteitswallet (EUDI Wallet) worden in pilots getest en kunnen veilige inlogprocessen verder standaardiseren.
Concrete stappen voor vandaag
Activeer passkeys waar het kan en maak er meerdere aan op je telefoon en laptop. Sla een herstelmethode op, bijvoorbeeld via je iCloud- of Google-synchronisatie of een fysieke sleutel. Zo voorkom je dat je wordt buitengesloten bij verlies of diefstal van een apparaat.
Zet multifactor-authenticatie aan voor e-mail, bank, cloudopslag en sociale media. Gebruik bij voorkeur een app of hardware-sleutel en bewaar reservecodes offline. Controleer regelmatig je beveiligingsinstellingen en verwijder oude of onbekende apparaten.
Gebruik een wachtwoordmanager om unieke wachtwoorden te maken en te bewaren. Update je besturingssysteem en browser, zodat beveiligingslekken worden gedicht. Wees alert op domeinnamen en links; typ het adres van je bank of overheidssite zelf in en log pas in als het slotje en het adres kloppen.
