SSO is geen wondermiddel: waarom de meeste organisaties het aanvullen met wachtwoordbeheer

Door de sterke groei van clouddiensten kiezen veel bedrijven ervoor om de authenticatie van medewerkers te beheren met Single Sign-On (SSO). Maar SSO lost lang niet alle authenticatie-uitdagingen op.

SSO helpt authenticatie tussen applicaties te consolideren, waardoor de gebruikerservaring eenvoudiger wordt doordat gebruikers minder logins en wachtwoorden hoeven te onthouden, en de beveiliging van bedrijven toeneemt doordat sterke authenticatie voor meer applicaties wordt gewaarborgd. Tegenwoordig gebruiken de meeste bedrijven een van twee assertionprotocollen om SSO te implementeren: Security Assertion Markup Language (SAML) of OpenID Connect (OIDC).

In een recent onderzoek onder IT-beheerders en zakelijke leiders ontdekte Bitwarden dat de overgrote meerderheid van organisaties SSO gebruikt om hun applicaties te beveiligen, maar dat de meeste nog steeds veel applicaties hebben die niet door SSO worden ondersteund. Deze respondenten merkten op dat legacyapplicaties vaak geen SSO ondersteunen en dat veel aanbieders van SaaS-applicaties SSO alleen aanbieden bij hun duurste enterprise-abonnementen.

Daardoor vallen veel applicaties niet onder SSO. En dat zijn geen onbelangrijke applicaties. Veel respondenten beoordelen het beveiligingsrisico van niet-SSO-applicaties als aanzienlijk, en een vijfde heeft al beveiligingsincidenten gezien die verband houden met deze applicaties.

Kortom, zoals één respondent zei: SSO is geen “wondermiddel”. Het moet worden aangevuld met een andere oplossing, en volgens veel respondenten biedt een wachtwoordbeheerder het beste van twee werelden.

Belangrijkste bevindingen

• 89% van de organisaties gebruikt SSO, maar de meerderheid (57%) heeft tot 50 applicaties die dit nog niet ondersteunen.

• Meer dan de helft (62%) van de respondenten zegt dat SSO alleen niet genoeg is voor hun organisatie om veilige authenticatie te realiseren.

• Shadow-IT-applicaties vormen voor organisaties de grootste uitdaging bij het beveiligen van authenticatie voor niet-SSO-applicaties, genoemd door 65%.

• Respondenten zeggen dat de Bitwarden-wachtwoordbeheerder effectief is bij het beveiligen van applicaties die niet door SSO worden ondersteund. 85% noemt betere beveiliging en 83% minder risico rond inloggegevens als de belangrijkste voordelen, en 70% wijst op gestroomlijnde logins.

SSO is sinds het begin van het cloudtijdperk steeds populairder geworden. Het verbetert de beveiligingshouding van organisaties en de ervaring van eindgebruikers. Het is dan ook geen verrassing dat 89% van de respondenten in ons onderzoek zegt dat hun organisatie SSO gebruikt.

Een reden waarom SSO zo’n verschil maakt, is de enorme hoeveelheid applicaties die bedrijven moeten ondersteunen. Twee derde (66%) van de organisaties beheert meer dan 100 applicaties binnen de organisatie, en 27% van de organisaties beheert er meer dan 300.

Veel van die applicaties ondersteunen echter geen authenticatie via SSO. De meerderheid van de organisaties in ons onderzoek (57% van de respondenten) zegt dat ze tot 50 applicaties hebben die dit nog niet ondersteunen, en 14% heeft meer dan 100 applicaties die niet door SSO worden ondersteund.

“SSO vereenvoudigt de toegang voor onze gebruikers doordat ze zich één keer kunnen authenticeren en toegang krijgen tot meerdere systemen,” zei een respondent. “Het dekt echter niet elke applicatie, zoals legacy-systemen, tools van derden of schaduw-IT.”

Microsoft Entra ID is veruit de populairste keuze voor de implementatie van SSO: 40% van de respondenten gebruikt het om authenticatie in hun organisatie te beveiligen. Nog eens 12% gebruikt Okta en 7% gebruikt Google Identity.

Ongeacht het gebruikte platform, en ondanks de beperkingen, biedt SSO aanzienlijke voordelen. Zoals een leidinggevende het verwoordde: “Door SSO te gebruiken voor alle ondersteunde applicaties, centraliseer je authenticatie, vereenvoudig je lifecyclebeheer en versterk je de beveiliging.”

Nu zoveel applicaties nog steeds niet door SSO worden ondersteund, is het geen verrassing dat ruim de helft (62%) van de respondenten zegt dat SSO alleen niet genoeg is voor hun organisatie om tot veilige authenticatie te komen.

Het risico van niet-SSO-applicaties is reëel. Bijna een vijfde van de respondenten (18%) gaf aan dat hun organisatie een beveiligingsincident heeft meegemaakt dat verband hield met een applicatie of account die niet door SSO was beveiligd. Verrassend genoeg weet een iets groter deel (19%) niet eens of ze een incident hebben meegemaakt, waarschijnlijk doordat veel van deze niet-SSO-applicaties “schaduw-IT” zijn, buiten de controle en het toezicht van IT-teams. 

Daarom gebruiken de meeste organisaties aanvullende methoden om applicatiebeveiliging te waarborgen. Wachtwoordbeheer en oplossingen voor multifactorauthenticatie (MFA) zijn de belangrijkste technieken die organisaties gebruiken om applicaties buiten SSO te beveiligen. 

Een respondent vatte hun aanpak als volgt samen: “Zorg dat de SSO-provider waar mogelijk wordt gebruikt, dwing sterke 2FA af en gebruik de wachtwoordbeheerder als veilige aanvulling voor accounts die niet met SSO kunnen worden geïntegreerd.”

Aanvullende beveiligingslagen, plus proactieve communicatie en voorlichting, zijn ook cruciaal om ervoor te zorgen dat medewerkers de best practices voor authenticatie begrijpen.

“SSO is geen wondermiddel,” zei een respondent. “Zorg dat er aanvullende controles zijn om applicatiegegevens te beschermen.”



Andere methoden om applicaties buiten SSO of wachtwoordbeheer te beveiligen

66% - 2FA of MFA

35% - Door medewerkers beheerd e-mailadres en wachtwoord

21% - SSO zonder SAML

18% - Passkeys

16% - Beheer van bevoorrechte toegang

6% - Applicatieproxy

1% - Overig

Als je denkt dat SSO alle “belangrijke” applicaties dekt en dat de applicaties daarbuiten niet essentieel zijn voor de beveiliging, denk dan nog eens goed na.

Een kwart van de respondenten beoordeelde applicaties die niet door SSO worden ondersteund als een “aanzienlijk risico” of “hoog risico” voor hun organisatie. Ze merkten op dat veel daarvan applicaties waren met een grote impact op het bedrijf, gevoelige gegevens bevatten, gemakkelijk konden worden gecompromitteerd door zwakke wachtwoorden en in sommige gevallen geen ondersteuning boden voor MFA.

Nog eens 35% zei dat deze applicaties ten minste een “middelmatig risico” vormden, wat betekent dat in totaal 55% vond dat niet-SSO-applicaties een middelmatig tot hoog risico voor de organisatie vormden. Niemand zei dat er helemaal geen risico was door apps die niet door SSO worden gedekt.

“Niet alle applicaties die je als bedrijfskritisch zou kunnen beschouwen, ondersteunen standaard SSO,” zei een respondent. “Dat veranderen kost tijd. In mijn ervaring kiezen zakelijke gebruikers applicaties doorgaans niet vanwege hun SSO-mogelijkheden. Als je het ze oplegt, ontstaat er schaduw-IT. “

Zelfs grote cloudapplicaties missen soms de SSO-ondersteuning die organisaties nodig hebben. Zoals een IT-leider het verwoordde: “Veel ‘volwassen’ SaaS-platforms lopen nog steeds achter met SSO, en bijna elke organisatie heeft nog steeds behoeften rond legacy-authenticatie die ook goed moeten worden beheerd.”

Dit risico is niet louter theoretisch. Zoals hierboven vermeld, zegt 18% van de respondenten dat hun organisatie een beveiligingsincident heeft meegemaakt door een gebrek aan SSO-ondersteuning. 

“Zelfs als je heel goed bent in het koppelen van je apps aan SSO, zul je nog steeds apps hebben die niet kunnen worden gekoppeld, zoals legacy-apps en externe apps (niet beheerd door je bedrijf),” zei een respondent.

Het grootste probleem voor IT-managers die een veilige authenticatie voor hun organisatie willen bereiken, zijn “schaduw-IT”-apps die door zakelijke gebruikers buiten het toezicht van IT en zonder IT-ondersteuning worden geïnstalleerd. 

Vijfenzestig procent van de respondenten noemde schaduw-IT als hun grootste uitdaging bij het beveiligen van authenticatie voor applicaties die geen SSO ondersteunen.

De op een na grootste uitdaging, genoemd door 43% van de respondenten, was de medewerking van medewerkers.

Om die twee obstakels te overwinnen, moet duidelijk worden gecommuniceerd over de voordelen van SSO en de noodzaak (en het gemak) van het gebruik van een wachtwoordbeheerder voor applicaties die geen SSO ondersteunen.

Een respondent merkte op: “SSO dekt niet elke applicatie, zoals legacysystemen, tools van derden of shadow-IT. Daar vult een wachtwoordbeheerder SSO aan door inloggegevens voor accounts buiten het SSO-ecosysteem veilig op te slaan en te beheren.”

Een andere respondent verwees naar de manier waarop een wachtwoordbeheerder werkt als aanvullende oplossing om volledige beveiliging te helpen waarborgen. “Beschouw SSO als je primaire toegangscontroller voor geïntegreerde applicaties en de wachtwoordbeheerder als een verplicht vangnet voor al het andere, specifiek legacy-apps, gedeelde teamgeheimen en shadow-IT, om een complete defense-in-depth-strategie te creëren.” 

Met een wachtwoordbeheerder kunnen eindgebruikers alle inloggegevens beveiligen die ze nodig hebben voor hun dagelijkse werk, inclusief niet-SSO-applicaties die onbekend zijn bij het IT-team (shadow-IT).



Belangrijkste uitdagingen bij het beveiligen van niet-SSO-apps

58% - Zichtbaarheid van applicaties (shadow-IT)

39% - Medewerking van medewerkers

30% - Te veel applicaties

27% - Budget

16% - Draagvlak bij leidinggevenden

5% - Overig

Bitwarden Password Manager is een krachtige en gebruiksvriendelijke oplossing die SSO aanvult en beveiliging garandeert voor alle applicaties — zowel applicaties die onder SSO vallen als applicaties waarvoor dat niet geldt.

“Bitwarden ondersteunt ons bij accounts waarvoor SSO is ingeschakeld en voegt een extra 2FA-optie toe in de vorm van een authenticator of passkeys,” aldus een respondent.

Meer dan driekwart van de respondenten (77%) zegt dat Bitwarden Password Manager “effectief” of “zeer effectief” is in het beveiligen van applicaties die niet door SSO worden ondersteund.

Vijfentachtig procent gaf aan dat Bitwarden Password Manager hun organisaties betere beveiliging biedt wanneer het naast SSO wordt gebruikt, terwijl 83% zegt dat het het risico rond inloggegevens voor hun organisaties heeft verminderd.

Het is ook een gebruiksvriendelijke oplossing die het leven van gebruikers makkelijker maakt. Zeventig procent van de respondenten zegt dat hun gebruikers profiteren van gestroomlijnde logins na de invoering van Bitwarden Password Manager.

“Er zijn bepaalde dingen die SSO gewoon niet dekt,” zei een respondent. “Door Bitwarden met een organisatie-account te gebruiken, kunnen gebruikers inloggegevens veilig delen en in sommige gevallen zelfs MFA configureren”

Een andere respondent was enthousiast dat ze Bitwarden ook voor hun persoonlijke wachtwoorden gebruiken. “Het beste van twee werelden! Ik gebruik Bitwarden voor zowel mijn persoonlijke als mijn zakelijke wachtwoorden, en ik moedig mijn gebruikers aan hetzelfde te doen.“

Bitwarden ondervroeg 93 zakelijke klanten, waaronder 74 IT-beheerders, 11 executive leaders en 6 afdelingshoofden, van 28 oktober 2025 tot 6 januari 2026.

Wil je meer weten over hoe Bitwarden kan helpen authenticatie voor niet-SSO-applicaties te beveiligen? Start vandaag nog een gratis proefperiode van 7 dagen voor bedrijven vandaag.