Wachtwoorden zijn de zwakste schakel in uw beveiliging. Microsoft pusht passkeys nu actief in alle 365-omgevingen en steeds meer MKB-bedrijven schakelen over. Wat zijn passkeys, hoe rolt u ze uit in Entra ID en wat betekent het voor uw gebruikers?
Wachtwoorden bestaan al sinds de jaren zestig. Ze zijn al die tijd de zwakste schakel in beveiliging geweest. Mensen kiezen ze te eenvoudig, hergebruiken ze, schrijven ze op en geven ze prijs aan phishing. Zelfs met meerlaagse authenticatie via sms of een verificatiecode blijft een wachtwoord een aanvalsoppervlak. In 2026 is het alternatief eindelijk volwassen: passkeys.
Microsoft heeft de afgelopen anderhalf jaar passkeys breed uitgerold over Microsoft 365, Entra ID en de consumentenproducten. Wat begon als een experiment is uitgegroeid tot de aanbevolen aanmeldmethode voor zakelijke gebruikers. Voor MKB-organisaties is dit het moment om de stap te maken.
Een passkey is een cryptografische sleutel die op uw apparaat wordt aangemaakt en daar veilig wordt bewaard, bijvoorbeeld in de TPM-chip van uw laptop of in de Secure Enclave van uw telefoon. Bij het inloggen bewijst uw apparaat met die sleutel dat u de juiste eigenaar bent, zonder dat er ooit een wachtwoord wordt verzonden. De ontgrendeling van de sleutel gebeurt lokaal, via uw vingerafdruk, gezichtsherkenning of een pincode.
Het verschil met traditionele MFA is fundamenteel. Bij een verificatiecode kan een phishingsite die code afvangen en doorgeven aan de echte dienst. Bij een passkey is dat onmogelijk, want de sleutel werkt alleen op het oorspronkelijke domein. Een nepwebsite die uw inloggegevens probeert te stelen, krijgt simpelweg niets.
Drie ontwikkelingen hebben passkeys het afgelopen jaar mainstream gemaakt. Ten eerste de adoptie door de grote consumentenplatformen. Apple, Google en Microsoft ondersteunen ze nu allemaal native, en synchroniseren ze veilig tussen apparaten van dezelfde gebruiker. Ten tweede de groei van apparaten met een geschikte biometrische sensor en TPM-chip, vrijwel elke laptop en telefoon van de laatste vier jaar voldoet. Ten derde de toenemende druk van regelgeving en cyberverzekeraars die phishingbestendige authenticatie nu actief verplichten of belonen.
Microsoft heeft passkeys ook ingebed in Conditional Access en Authenticator, waardoor IT-beheerders een eenduidige manier hebben om ze uit te rollen, te beheren en in te trekken. Dat was twee jaar geleden nog niet zo.
Het uitrolproces verloopt in vier stappen. Ten eerste schakelt u in het Microsoft Entra-portaal de policy voor passkeys in, onder Authentication methods. U kunt kiezen tussen apparaatgebonden passkeys, ze blijven dan op het apparaat zelf, en synchronisatie via een cloud-keychain zoals iCloud, Google Password Manager of Microsoft Authenticator.
Ten tweede registreren gebruikers hun passkey. Dit gebeurt eenmalig via Microsoft Authenticator of via de browser tijdens een normale aanmelding. De gebruiker wordt gevraagd zijn biometrie of pincode te bevestigen en de passkey wordt aangemaakt.
Ten derde stelt u Conditional Access in om passkeys te belonen of af te dwingen. Een typische configuratie is dat aanmeldingen vanaf onbekende locaties uitsluitend met een passkey mogelijk zijn, terwijl op vertrouwde apparaten ook andere methoden zijn toegestaan. Geleidelijk kunt u opschuiven naar volledig wachtwoordloos.
Ten vierde communiceert u richting gebruikers. De ervaring is fundamenteel anders dan een wachtwoord en uitleg helpt om weerstand te voorkomen. In de praktijk omarmen gebruikers passkeys snel omdat inloggen sneller en simpeler wordt.
Een veelgestelde vraag, en de zorg is begrijpelijk. Bij apparaatgebonden passkeys betekent verlies dat de sleutel weg is. De gebruiker moet zich opnieuw registreren via een hersteltraject. Bij gesynchroniseerde passkeys via de cloud-keychain is de sleutel beschikbaar op alle gekoppelde apparaten van dezelfde gebruiker.
Voor zakelijke contexten adviseren we minimaal twee geregistreerde passkeys per gebruiker, bijvoorbeeld een op de werklaptop en een op de telefoon. Dat maakt het verliesscenario beheersbaar. Voor accounts met verhoogd risico kan een fysieke FIDO2-sleutel als derde optie dienen.
Niet alle bedrijfsapplicaties ondersteunen passkeys. Voor legacy systemen blijft authenticatie via wachtwoord en MFA voorlopig nodig. Het advies is om voor zoveel mogelijk frontline-systemen, in elk geval alle Microsoft 365-toegang, e-mail, SharePoint en Teams, over te stappen op passkeys en de legacy-uitzonderingen apart te beheren met striktere MFA.
Microsoft werkt actief aan passkey-ondersteuning voor on-premises Active Directory via Windows Hello for Business cloud trust, waardoor ook hybride omgevingen volledig wachtwoordloos kunnen worden.
Drie acties voor de komende vier weken. Ten eerste, bepaal de scope. Welke gebruikersgroepen kunnen het snelst over, bijvoorbeeld de directie en het IT-team. Voor wie heeft het de grootste impact, bijvoorbeeld medewerkers die veel werken vanaf onbekende locaties. Ten tweede, activeer passkeys in monitoring-modus en laat een pilotgroep ervaring opdoen. Ten derde, stel een communicatie- en supportplan op voor de bredere uitrol in de zomer.
Wachtwoordloos werken is geen toekomstvisie meer, het is een operationele realiteit die u dit jaar kunt invoeren. Wilt u ondersteuning bij de uitrol van passkeys in uw Microsoft 365-omgeving of bij het opstellen van een wachtwoordloos beleid? Neem contact op met Zarioh.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
