Twee technologieën domineren moderne accountbeveiliging: passkeys en twee-factorauthenticatie (2FA). Beide overstijgen de beperkingen van één combinatie van gebruikersnaam en wachtwoord, maar doen dat op iets verschillende manieren. In dit artikel wordt uitgelegd hoe elke aanpak werkt, hoe ze zich tot elkaar verhouden op het gebied van beveiliging en hoe ze soepel kunnen worden geïmplementeerd, zodat gebruikers kunnen bepalen wat het beste past bij hun persoonlijke of zakelijke behoeften.
Het kernidee achter passkeys en 2FA
Hoe werken passkeys?
Functie | Passkey | 2FA |
Belangrijkste doel | Het wachtwoord vervangen door een cryptografische uitwisseling met publieke sleutels | Een tweede factor toevoegen aan een bestaand wachtwoord |
Hoe het werkt | Er wordt een cryptografisch sleutelpaar (publiek en privé) gegenereerd op het apparaat van de gebruiker. De publieke sleutel wordt op de server opgeslagen en de privésleutel op het apparaat. Bij het inloggen stuurt de server een uitdaging naar het apparaat van de gebruiker, dat de uitdaging met de privésleutel ondertekent en de handtekening terugstuurt. | Na correcte wachtwoordauthenticatie vraagt de site of app om een tweede stukje informatie: een code uit een authenticator-app, een sms-bericht, een e-mail of een hardwaretoken. |
Wat gebruikers zien | “Log in met je apparaat” of een verzoek om een vingerafdruk te tikken of een gezicht te scannen. | Er verschijnt een verzoek om een numerieke code nadat een gebruiker het wachtwoord heeft ingevoerd. |
Zowel passkeys als 2FA voegen een extra beschermingslaag toe waardoor het voor aanvallers veel moeilijker wordt om toegang te krijgen, maar ze doen dat door verschillende beveiligingsprincipes te benutten.
Beveiligingsfundamenten van passkeys uitgelegd
Passkeys zijn gebaseerd op een volwassen, grondig onderzochte cryptografische bouwsteen: public-key-infrastructuur (PKI) en cryptografie met publieke sleutels, bedoeld om wachtwoorden te vervangen. Wanneer een gebruiker een apparaatsgebonden passkey aanmaakt, gebruikt het apparaat van de gebruiker een beveiligde enclave of trusted execution environment (TEE) waarin de privésleutel wordt bewaard.
In tegenstelling tot wachtwoorden blijft deze privésleutel op het apparaat en wordt deze beschermd door biometrie of een pincode. Een online dienst die een passkey ondersteunt, kent alleen de publieke sleutel, die niet kan worden gebruikt om de privésleutel te reconstrueren. Dit versterkt de online beveiliging. De methode met een publiek-privé-sleutelpaar biedt betere beveiliging dan elke andere huidige authenticatiemethode. Passkeys helpen phishingaanvallen op websites en apps te voorkomen door een ander proces te gebruiken dan traditionele wachtwoorden.
Zodra een passkey is aangemaakt, vindt bij het inloggen het volgende proces plaats:
Serveruitdaging: De server stuurt een willekeurige nonce (getal dat slechts één keer wordt gebruikt) naar het apparaat.
Handtekening genereren: Met biometrische authenticatie ondertekent het apparaat van de gebruiker de nonce met het ECDSA- of EdDSA-algoritme (veelgebruikte keuzes zijn de secp256r1-curve voor ECDSA en de ed25519-curve voor EdDSA).
Handtekening verifiëren: De website of app verifieert de handtekening met de opgeslagen publieke sleutel van het sleutelpaar. Als de handtekening overeenkomt, is de gebruiker geauthenticeerd.
Omdat de privésleutel het apparaat nooit verlaat en nooit via het netwerk wordt verzonden, kan een aanvaller die de server compromitteert zich niet voordoen als de gebruiker, omdat die de passkey van een gebruiker niet kan authenticeren.
Zelfs als aanvallers erin slagen de opgeslagen publieke sleutel voor een account te stelen, kunnen ze de vereiste handtekening niet vervalsen. Dit is een veel sterkere garantie dan de geheimhouding van een wachtwoord, dat kan worden gestolen, geraden of gekraakt. Gesynchroniseerde passkeys bieden sterkere bescherming tegen datalekken dan traditionele wachtwoorden en helpen gevoelige informatie te beveiligen.
Sterke punten van 2FA
Passkeys vervangen het wachtwoord voor een account volledig; 2FA voegt een tweede factor toe aan het bestaande wachtwoord. Daarom is 2FA vaak de eerste stap die veel mensen zetten richting sterkere beveiliging. Het wordt al op vrijwel elk platform ondersteund en kan worden ingezet met verschillende methoden voor de tweede factor, waaronder:
Authenticator-apps: Bitwarden Authenticator, Google Authenticator, Microsoft Authenticator, Authy, enzovoort, die tijdgebaseerde eenmalige wachtwoorden (TOTP) genereren.
Sms-codes: Unieke codes die op het telefoonnummer van de gebruiker binnenkomen.
E-mailcodes: Codes die naar het geregistreerde e-mailadres van de gebruiker worden gestuurd.
Hardwaretokens: YubiKey of hardwaredongles van Duo Security, die een fysiek challenge-responsemechanisme bieden.
Elke methode biedt een andere balans tussen gemak en beveiliging.
Codes via sms zijn handig, maar kunnen worden onderschept via sim-swaps of het afluisteren van netwerken. Daarom worden ze meestal alleen aanbevolen voor accounts met een laag risico. Sommige diensten, zoals veel banken, bieden echter alleen sms- of e-mailcodes voor gebruikersverificatie.
2FA biedt meer beveiliging dan een eenvoudig wachtwoord, kan worden afgestemd op het comfortniveau van de gebruiker en wordt breed toegepast. Als aanvullende laag maakt 2FA wachtwoorden niet overbodig, maar het vereist wel dat aanvallers zowel het juiste wachtwoord als de tweede factor bemachtigen om toegang tot een account te krijgen.
Passkeys en 2FA in de praktijk vergelijken
Beveiligingsvergelijking
Passkeys: Een challenge-responsesysteem met publieke en private sleutels, dat wiskundig zo is ontworpen dat het niet te vervalsen is zolang de private sleutel het apparaat nooit verlaat. Omdat de private sleutel nooit wordt blootgesteld, kan zelfs een gecompromitteerde server zich niet voordoen als de gebruiker, waardoor een kwaadwillende geen toegang tot een account kan krijgen.
Dit maakt passkeys de veiligste authenticatiemethode die vandaag beschikbaar is: ze combineren cryptografisch bewijs van bezit met biometrische of pincodeverificatie in een naadloze ervaring. En dankzij de extra laag die wordt geboden door de vingerafdruksensor of gezichtsscanner van het apparaat, voegen passkeys biometrische authenticatie toe aan het proces, wat helpt phishingaanvallen en andere beveiligingsincidenten te voorkomen.
2FA: Door een tweede factor toe te voegen, wordt de drempel voor aanvallers drastisch verhoogd: zij moeten het wachtwoord raden of via brute force achterhalen én de tweede factor bemachtigen om toegang tot een account te krijgen.
De sterkste 2FA-methoden, zoals hardwaretokens of TOTP, zijn in veel scenario's waarin aanmelden bij een account vereist is bijna net zo veilig als passkeys.
TOTP-codes kunnen worden gegenereerd met zelfstandige apps zoals Bitwarden Authenticator, en sommige wachtwoordbeheerders bieden ook ingebouwde 2FA-ondersteuning.
2FA op basis van sms is minder veilig, omdat dit afhankelijk is van de integriteit van het mobiele netwerk. Toch biedt het nog steeds een zinvolle verdedigingslaag tegen credentialstuffing en brute-forceaanvallen.
Zie beveiliging bij de keuze tussen passkeys en 2FA als een gelaagd systeem waarin passkeys helemaal bovenaan staan, terwijl 2FA daar net onder zit, maar nog steeds boven basisbescherming met een wachtwoord.
Implementatie en gebruiksgemak
Passkeys
Hoe passkeys werken kan wat mysterieus aanvoelen. Dat is begrijpelijk, want ze zijn relatief nieuw. Passkeys werken dankzij biometrische sensoren en API's voor gezichtsherkenning in moderne smartphones, laptops en tablets. Deze biometrische functies activeren de passkey tijdens authenticatie. Bij het maken van een passkey wordt de publieke sleutel tijdens de configuratie automatisch bij de server geregistreerd. Daarna is inloggen net zo eenvoudig als een vinger op een sensor leggen of naar het scherm kijken. Voor veel gebruikers voelt de ervaring bijna onzichtbaar: geen lange wachtwoorden typen en geen 2FA-codes onthouden.
2FA
Deze configuratie houdt meestal in dat een authenticator-app wordt gekoppeld of een hardwaretoken wordt ingesteld, zoals hardwaresleutels die de standaarden van de FIDO Alliance volgen. Na de configuratie is het proces eenvoudig: voer een gebruikersnaam en wachtwoord in en typ vervolgens de code die in de authenticator-app verschijnt of de code die via sms is binnengekomen. Omdat 2FA al lange tijd bestaat, zijn er veel tutorials, helpartikelen en ondersteuningsbronnen beschikbaar, en vrijwel alle sites en diensten ondersteunen inmiddels deze extra beschermingslaag.
Vergelijking
Beide methoden vereisen een kleine initiële configuratie, maar de extra beveiliging en privacy van gebruikers zijn de installatietijd waard. Het maken van een passkey vermindert frictie doordat er geen codes hoeven te worden getypt, dankzij de twee cryptografische sleutels, terwijl 2FA gebruikers een tastbaar gevoel van extra bescherming geeft. Het versterken van authenticatiepraktijken via een van beide methoden levert betere beveiliging op en helpt voorkomen dat gegevens op het darkweb belanden.
Kosten en infrastructuur
Passkeys
Er is geen extra hardware nodig als er al een apparaat met biometrische mogelijkheden, zoals een telefoon, in gebruik is. De enige kosten liggen aan de zakelijke kant, door de ontwikkelinspanning die nodig is om de publieke sleutel voor de server beschikbaar te maken. Voor serviceproviders is dit een eenmalige integratiekost per platform.
2FA
Door een authenticator-app op een apparaat te kiezen, zijn de kosten in wezen nul. Hardwaretokens brengen een kleine eenmalige aanschafprijs met zich mee; een YubiKey kost bijvoorbeeld ongeveer $ 50 voor een basismodel. Voor bedrijven kunnen licentie- of abonnementskosten gelden voor 2FA-oplossingen op ondernemingsniveau, zoals Duo of Okta.
Phishingbestendig versus phishingproof
Wat is het verschil tussen phishingbestendig en phishingproof? De term "phishingbestendigheid" wordt door veel organisaties gebruikt, waaronder NIST, CISA, Microsoft en de FIDO Alliance. Daarnaast NIST SP 800-63-4 (2025) definieert phishingbestendigheid en vereist dit voor AAL3.
Phishingbestendige systemen omvatten doorgaans de volgende beveiligingsmaatregelen:
Multifactorauthenticatie (MFA): Vereist dat gebruikers aanvullende verificatie uitvoeren, zoals een code die naar hun telefoon wordt gestuurd of een biometrische scan.
Phishingbestendige authenticatieprotocollen: Vereisen het gebruik van protocollen zoals WebAuthn of FIDO2 om gebruikers op een veiligere manier te authenticeren.
Training in beveiligingsbewustzijn: Gebruikers moeten worden geleerd hoe ze phishingpogingen kunnen herkennen en vermijden.
Geavanceerde dreigingsdetectie: AI-gestuurde dreigingsdetectie kan worden gebruikt om verdachte e-mails of berichten te identificeren en te blokkeren.
CISA adviseert organisaties ook herhaaldelijk om phishingbestendige multifactorauthenticatie te implementeren, zoals FIDO-beveiligingssleutels of smartcards. Sinds 2025 heeft Microsoft zijn richtlijnen afgestemd op Zero Trust, met een oproep tot phishingbestendige MFA en uitrol zonder wachtwoorden. Tot slot positioneert de FIDO Alliance passkeys/FIDO2/WebAuthn als phishingbestendig en als vervanging voor verouderde MFA (wachtwoord + sms).
Hoewel passkeys op AAL2 als phishingbestendig worden erkend, specificeert NIST SP 800-63-4 dat alleen apparaatgebonde passkeys met niet-exporteerbare privésleutels voldoen aan de AAL3-vereisten. Synchroniseerbare passkeys (voor meerdere apparaten), waarmee synchronisatie tussen apparaten via clouddiensten mogelijk is, zijn niet toegestaan op AAL3 omdat de privésleutel exporteerbaar moet zijn om te kunnen synchroniseren. Organisaties die AAL3-betrouwbaarheid vereisen, moeten hardwarematige beveiligingssleutels, smartcards of apparaatgebonde passkeys inzetten in plaats van synchroniseerbare passkeys.
Een phishingproof systeem is in theorie volledig bestand tegen phishingaanvallen, wat impliceert dat het zo veilig is dat het onmogelijk is om gebruikers met phishingtechnieken te misleiden zodat ze gevoelige informatie prijsgeven. In werkelijkheid is het echter vrijwel onmogelijk om zo’n systeem te maken, omdat er zelfs met de meest geavanceerde beveiligingsmaatregelen altijd een risico op menselijke fouten blijft. Zulke systemen vereisen:
Onbreekbare authenticatieprotocollen: Een phishingproof systeem zou het gebruik vereisen van protocollen die theoretisch onbreekbaar zijn, zoals quantumresistente cryptografie.
Perfect beveiligingsbewustzijn: Alle gebruikers zouden volledig immuun moeten zijn voor social-engineeringtactieken.
Inbraakbestendig ontwerp: Het systeem zou met beveiliging als uitgangspunt moeten worden ontworpen, met technieken zoals veilige programmeerpraktijken en dreigingsmodellering.
Phishingbestendige systemen zijn ontworpen om zeer veilig te zijn en kunnen eenvoudig en succesvol worden geïmplementeerd. Onderzoek zorgvuldig elke dienst die beweert volledig phishingproof systemen te bieden voordat je verdergaat.
De juiste methode kiezen
De juiste methode kiezen hangt af van verschillende factoren. De eerste factor is de eenvoud van de configuratie. 2FA is aanvankelijk eenvoudiger in te stellen, maar passkeys bieden een hoger beveiligingsniveau. Houd bij het maken van een keuze rekening met deze tips:
Accounts met hoge waarde (bankieren, zakelijke beheerdersaccounts): Gebruik een hardwaretoken voor 2FA of stap over op passkeys, als dit wordt ondersteund.
Algemene consumentenaccounts (sociale media, e-mail): 2FA met een TOTP-authenticator-app biedt sterke bescherming en wordt breed ondersteund.
Accounts met laag risico: 2FA via sms of e-mail kan acceptabel zijn, maar overweeg een upgrade naar een sterkere methode als het account gevoelige gegevens bevat.
Conclusie
Bij de afweging tussen passkeys en 2FA hangt het antwoord af van de prioriteiten:
Als maximale beveiliging vooropstaat en er een telefoon met vingerafdruk- en/of gezichtsherkenning beschikbaar is, zijn passkeys de beste keuze.
Als het doel een snelle, stapsgewijze verbetering is ten opzichte van standaardauthenticatie met gebruikersnaam/wachtwoord die op veel platforms werkt, is 2FA, vooral met hardwaretokens of TOTP-apps, de beste volgende stap.
Hoe dan ook stap je hiermee af van de kwetsbaarheden van authenticatie met alleen een wachtwoord en zet je betekenisvolle stappen naar sterkere bescherming.
Beheer zowel passkeys als tweefactorauthenticatie met Bitwarden
Passkeys betekenen een grote sprong vooruit in veilige, gebruiksvriendelijke login, terwijl 2FA een krachtige en breed toegepaste beveiligingsmaatregel blijft die kan worden afgestemd op de behoeften van de gebruiker. Weeg bij de keuze tussen passkey en 2FA de afwegingen rond beveiliging, gemak en de middelen die nodig zijn voor implementatie mee. Welke route je ook kiest, je zet een betekenisvolle stap naar sterkere digitale beveiliging.
Voor wie al de Bitwarden-wachtwoordbeheerder gebruikt of de invoering ervan overweegt, kunnen passkeys en 2FA worden beheerd op Apple- en Android-apparaten, evenals op alle belangrijke besturingssystemen, zodat beveiliging in één tool wordt samengebracht.