Na een vakantie begint voor veel professionals dezelfde routine: koffie, inbox openen… en dan de eerste hindernis: “wat was ook alweer mijn wachtwoord?”.
Het klassieke wachtwoord is al decennialang de toegangspoort tot onze digitale werkomgeving, maar eigenlijk is het een zwakke schakel. Mensen zijn simpelweg niet goed in het beheren van lange lijsten met complexe wachtwoorden. De praktijk laat zien dat:
- Wachtwoorden worden hergebruikt over meerdere systemen
- Wachtwoorden vaak te eenvoudig zijn (“Welkom2025!” komt vaker voor dan je denkt)
- Wachtwoorden worden opgeslagen in een Excel-bestandje, op post-its of eindigen in een mailtje
Het gevolg: wachtwoorden beschermen niet, maar vormen juist een risico. Criminelen weten dit en richten hun aanvallen doelbewust op deze kwetsbaarheid.Denk aan credential stuffing (waarbij gestolen wachtwoorden massaal op andere systemen worden uitgeprobeerd) of phishing-campagnes die medewerkers verleiden hun gegevens prijs te geven.
Passwordmanagers helpen om orde te schepen in de wachtwoordchaos, maar lossen de problemen niet op. Daarom kiezen steeds meer organisaties voor multifactorauthenticatie (MFA) om misbruik van wachtwoorden tegen te gaan. Maar: is MFA de heilige graal?
Van noodzaak naar strategie: wat MFA echt betekent
Authenticatie gaat in de kern over identiteit: ben jij echt wie je zegt dat je bent?
MFA beantwoordt die vraag met meerdere bewijzen, meestal een combinatie van:
- Iets wat je weet – zoals een wachtwoord
- Iets wat je hebt – bijvoorbeeld een token, smartphone of code
- Iets wat je bent – biometrie zoals een vingerafdruk of gezichtsherkenning
In de praktijk betekent MFA vaak: een wachtwoord plus een tweede factor. Maar de ene implementatie is de andere niet. Sommige varianten zijn relatief eenvoudig te omzeilen, andere zijn aanzienlijk robuuster.
Kwetsbare MFA-vormen: schijnveiligheid
SMS-codes: makkelijk, maar gevaarlijk
Een sms-code lijkt handig, maar in werkelijkheid valideer je niet het toestel zelf, alleen het telefoonnummer. Dat maakt deze methode kwetsbaar voor SIM-swapping: criminelen misleiden de provider en krijgen jouw nummer op hun eigen simkaart of e-sim. Vervolgens ontvangen zij de sms-codes en is jouw account in gevaar.
Authenticator-apps: veiliger, maar niet waterdicht
De 6-cijferige codes uit een authenticator-app zijn veiliger dan sms, maar ook hier zijn risico’s. Phishingpagina’s kunnen zowel het wachtwoord als de code onderscheppen. Aanvallers gebruiken deze gegevens direct om de echte omgeving binnen te dringen. Zelfs de tijdslimiet van 30 seconden is geen garantie: geautomatiseerde aanvallen zijn snel genoeg.
Sterkere alternatieven: weerbaarheid vergroten
Challenge-response authenticatie
Een krachtiger mechanisme is challenge-response. Hierbij wordt via een apart kanaal (bijvoorbeeld een pushmelding) een authenticatieverzoek verstuurd. De gebruiker moet dit expliciet bevestigen. Dit maakt phishing en man-in-the-middle-aanvallen een stuk lastiger.
Maar ook hier is waakzaamheid nodig. Aanvallers misbruiken deze vorm van authenticatie door meerdere van deze challenges te triggeren. De aanvaller hoopt daarmee de gebruiker te irriteren door de telkens weer verschijnende challenge, zodat deze op ja klikt. Als een aanvaller toegang krijgt tot de applicatiedata op jouw device, of als er een back-up in de cloud staat met jouw authenticatiegegevens, blijft misbruik mogelijk. Het is dus geen “silver bullet”, maar wel een stevige extra drempel.
De evolutie naar wachtwoordloos
Waarom zou je nog wachtwoorden gebruiken als een goede oplossing voor MFA zonder wachtwoorden binnen handbereik is? De volgende stap is passwordless. Het gaat daarbij om hardwarematige oplossingen op basis van cryptografie, bijvoorbeeld via FIDO-keys (USB-tokens) of passkeys. Het is simpel gezegd een methode waarbij je inlogt met iets wat je hebt (bijvoorbeeld een telefoon of security key) én iets wat je bent (biometrie) of iets wat je weet (een device specifieke code). Geen wachtwoorden meer, maar directe verificatie via je eigen device (bijvoorbeeld je telefoon).
Dit heeft meerdere voordelen:
- Je elimineert de zwakste schakel – het wachtwoord
- Je voorkomt phishing, omdat de passkey alleen werkt met de juiste website of app
- Je centraliseert het beheer en kunt accounts bij incidenten snel isoleren
In organisaties waar Single Sign-On al is geïmplementeerd, vormt passkey-authenticatie een logische vervolgstap. Het geeft zowel gebruikersgemak als meer grip voor securityteams.
MFA in perspectief: geen eindpunt, maar een reis
Het is belangrijk om MFA niet te zien als eindoplossing, maar als onderdeel van een bredere identiteitsstrategie. De realiteit is dat criminelen steeds inventiever worden. MFA dat vandaag “voldoende” is, kan morgen achterhaald blijken.
Daarom:
- Evalueer regelmatig de effectiviteit van je MFA-implementatie
- Houd rekening met gebruikerservaring – te complexe authenticatie leidt vaak tot schaduw-IT
- Koppel MFA aan monitoring: verdachte logins, ongebruikelijke tijden of logins vanaf onverwachte locaties moeten meteen opvallen
Conclusie: vertrouwen op identiteit
Beveiligingsadviezen zijn altijd een product van hun tijd. Waar het wachtwoord ooit voldoende leek, is MFA inmiddels een noodzaak. Maar ook binnen MFA zijn er gradaties: van kwetsbare sms-codes tot robuuste passkeys. Dit is geen liniair stappenplan dat moet worden doorlopen, maar een menukaart waarbij je de optie kiest die het best bij jouw organisatie past. De uitdaging voor securityprofessionals is niet meer factoren toevoegen, maar vooral het kiezen van de juiste factoren. Factoren die passen bij het IT-landschap van vandaag, maar ook klaar zijn voor de dreigingen van morgen.
De volgende stap? Denk wachtwoordloos. Met passkeys maak je een sprong vooruit: van beveiliging gebaseerd op wat iemand weet, naar beveiliging gebaseerd op wie iemand écht is. Want uiteindelijk draait moderne security niet meer om wachtwoorden – maar om identiteit.