In maart 2026 heeft Microsoft passkeys automatisch ingeschakeld voor miljoenen Microsoft Entra-tenants wereldwijd. Wat twee jaar geleden nog een nichetechnologie leek, is nu de nieuwe standaard voor authenticatie. Passkeys zijn sneller, veiliger en phishing-resistent. Maar wat betekent deze omschakeling in de praktijk voor uw organisatie en uw medewerkers?
Maart 2026 wordt door beveiligingsexperts aangeduid als het kantelpunt dat lang was voorspeld: het moment waarop passwordless authenticatie verschuift van een opkomende technologie naar de nieuwe standaard. Microsoft heeft passkeys automatisch ingeschakeld voor miljoenen Microsoft Entra-tenants, wat betekent dat vrijwel elke organisatie die Microsoft 365 gebruikt nu technisch in staat is zonder wachtwoord in te loggen.
De cijfers ondersteunen de verschuiving. Onderzoek toont aan dat inmiddels 87 procent van de onderzochte organisaties passkeys inzet of actief aan het uitrollen is. En dat is niet zonder reden: passkeys zijn veertien keer sneller dan de combinatie van een wachtwoord met traditionele MFA, en gebruikers slagen er 95 procent van de tijd in om succesvol in te loggen, tegenover 30 procent bij verouderde authenticatiemethoden.
Een passkey is een cryptografische sleutel die wordt opgeslagen op uw apparaat of in een authenticator-app. Bij het inloggen wordt uw identiteit bevestigd via biometrie, een pincode of uw aanwezigheid op het apparaat, zonder dat er ooit een wachtwoord over het netwerk wordt verstuurd. Dat maakt passkeys per definitie phishing-resistent: er is niets om te stelen, geen wachtwoord om te onderscheppen en geen MFA-code om via social engineering te ontfutselen.
Microsoft Entra ondersteunt twee varianten. Device-bound passkeys zijn cryptografisch verankerd aan het specifieke apparaat en kunnen niet worden geëxporteerd of gesynchroniseerd. Ze bieden de hoogste beveiligingsgraad. Synced passkeys kunnen via een platform zoals iCloud Keychain of een wachtwoordmanager over meerdere apparaten worden gedeeld, wat praktischer is voor gebruikers die met meerdere apparaten werken.
Voor eindgebruikers is de verandering in de meeste gevallen positief. Inloggen gaat sneller — gemiddeld drie seconden in plaats van 69 seconden bij wachtwoord plus MFA-code — en er hoeft niets te worden onthouden. Op een Windows-apparaat met Windows Hello is inloggen bij Microsoft 365 een kwestie van gezichtsherkenning of vingerafdruk. Op een mobiel apparaat idem.
De overgangsfase vraagt wel enige aandacht. Medewerkers die gewend zijn aan wachtwoorden en een Authenticator-app zullen begeleid moeten worden bij de registratie van hun passkey. Microsoft heeft hiervoor tooling beschikbaar in het Entra-beheercentrum, inclusief de mogelijkheid om passkey-registratie af te dwingen bij de volgende inlog.
Beheerders kunnen per april 2026 in het Microsoft Entra-beheercentrum passkey-registratie forceren in plaats van de Authenticator-app. Dat is een belangrijke verschuiving: het geeft IT-afdelingen de mogelijkheid om proactief alle accounts te migreren naar phishing-resistente authenticatie zonder te wachten tot gebruikers dit zelf initiëren.
Tegelijkertijd is het belangrijk om het beleid voor Conditional Access bij te werken. Organisaties die phishing-resistente MFA willen afdwingen als voorwaarde voor toegang tot gevoelige applicaties, kunnen daarvoor specifieke Conditional Access-regels instellen die alleen passkeys of FIDO2-sleutels accepteren en wachtwoord-gebaseerde authenticatie weigeren, ook als die gecombineerd wordt met SMS-codes.
In lijn met de opkomst van passkeys versnelt ook de uitfasering van SMS-gebaseerde MFA. Microsoft heeft aangegeven dat SMS-authenticatie in de toekomst niet meer als compliant geldt voor organisaties met hogere beveiligingseisen. SMS-codes zijn kwetsbaar voor SIM-swapping en real-time phishing-aanvallen waarbij de code wordt onderschept. Voor organisaties die nog SMS-MFA gebruiken, is de overstap naar passkeys of de Microsoft Authenticator-app een urgente prioriteit.
Een praktische eerste stap is het in kaart brengen van welke authenticatiemethoden uw medewerkers momenteel gebruiken. Vervolgens kunt u een migratiepan opstellen: wie gebruikt nog een wachtwoord zonder MFA, wie gebruikt SMS-codes en wie is al over op de Authenticator-app? Op basis daarvan prioriteert u de groepen die als eerste moeten migreren naar passkeys.
Zarioh helpt organisaties bij de configuratie van Microsoft Entra, het opstellen van Conditional Access-beleid en de begeleiding van medewerkers bij de overstap naar passwordless werken. Wilt u weten hoe uw huidige authenticatieopzet scoort en wat de volgende stappen zijn? Neem contact met ons op.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
