Tips and tools

Nemen we op World Password Day afscheid van het wachtwoord?

In 2013 riep Intel de eerste donderdag van mei uit tot World Password Day. De boodschap was helder: kies sterkere wachtwoorden, wijzig ze regelmatig, zet multi-factor-authenticatie aan én gebruik een wachtwoordmanager. Destijds een vooruitstrevend advies.

De realiteit ziet er tegenwoordig anders uit. Bij vrijwel ieder nieuw project dat we bij Zalt starten, gaat het gesprek niet meer over hoe we wachtwoorden veiliger maken. De echte vraag is: hebben we wachtwoorden überhaupt nog nodig?

Hoe sterk een wachtwoord ook is, het blijft een kwetsbare schakel. Mensen hergebruiken wachtwoorden, vergeten ze of worden slachtoffer van phishing. Daarom verschuift de focus snel naar passwordless authenticatie: inloggen met passkeys, biometrie of hardware tokens. Niet omdat wachtwoorden slecht zijn, maar omdat de technologie inmiddels betere alternatieven biedt.

Misschien is World Password Day daardoor ongemerkt iets anders geworden dan ooit bedoeld was: niet alleen een reminder om betere wachtwoorden te kiezen, maar vooral een goed moment om afscheid te nemen van het wachtwoord zelf.

Passwordless inloggen is de nieuwe standaard

Magic links, Sign in with Apple of Google, passkeys via WebAuthn en SSO via een identity provider: voor moderne software zijn dit geen innovatieve extra’s meer, maar de standaard. Passkeys zijn niet alleen veiliger dan traditionele wachtwoorden, het is ook sneller in gebruik doordat ze al opgeslagen zijn in de keychain van het apparaat.

Zeker in een mobile-first wereld is dat essentieel. Smartphones beschikken standaard over biometrische beveiliging zoals gezichts- en vingerafdrukherkenning. Vraag je gebruikers in een app nog steeds om handmatig een 'sterk wachtwoord' in te voeren, dan laat je zowel gebruiksgemak als veiligheid liggen.

De laag erboven: authenticatie die je nauwelijks nog ziet

De interessantste ontwikkeling zit niet meer in de login zelf, maar in alles eromheen. Niet als vervanging van authenticatie, maar als een slimme laag die continu meebeweegt.

Adaptive authentication gebruiken banken al jaren. Log je thuis in vanaf je vertrouwde toestel, dan merk je er niets van. Verschijnt er om 03:00 uur een loginpoging vanaf een onbekende telefoon in het buitenland, dan vraagt het systeem automatisch om extra verificatie. Niet omdat een ontwikkelaar dat scenario expliciet heeft geprogrammeerd, maar omdat risico’s realtime worden beoordeeld op basis van context.

Behavioral biometrics gaat nog verder. Systemen analyseren hoe iemand een applicatie gebruikt: typritme, muisbewegingen, swipegedrag op een touchscreen. Samen vormen die signalen een uniek gedragsprofiel. Komen dezelfde inloggegevens ineens van iemand met afwijkend gedrag, dan grijpt het systeem in. Uit onderzoek blijkt dat banken die dit implementeerden binnen twaalf maanden gemiddeld 66% minder fraude door rekeningovernames zagen.

En sms als tweede factor? Dat tijdperk loopt af. Toezichthouders wereldwijd waarschuwen al jaren voor de risico’s van SIM-swapping en onderschepte sms-codes. Wie sms-2FA in 2026 nog als standaardoplossing implementeert, kiest vooral voor schijnveiligheid.

Elevate your standards

Waarom dit voor mission-critical software extra weegt

Wij bouwen software voor klanten waar uitval van beschikbaarheid geen optie is. Een incident management-platform voor de Nederlandse snelwegen. Een digitale betaaloplossing. Een community-app met honderdduizenden actieve gebruikers wereldwijd.

Een concreet voorbeeld uit ons werkgebied: operators die buiten werken en op gedeelde tablets moeten inloggen, vaak onder tijdsdruk. In zo’n situatie werkt een traditioneel wachtwoord simpelweg niet. Niemand wil langs de weg met koude handen een ingewikkeld wachtwoord invoeren. Daarom koppelen moderne applicaties een gebruiker veilig aan een vertrouwd toestel en controleren ze continu of de situatie klopt. Logt iemand in vanaf het juiste apparaat, op de juiste locatie en op het gebruikelijke moment, dan gaat toegang snel en soepel. Wijkt er iets af, bijvoorbeeld een ander toestel of een onverwachte locatie? Dan vraagt het systeem automatisch om extra verificatie. Goede beveiliging staat daarbij niet los van gebruiksgemak. Het ís onderdeel van de gebruikerservaring.

Bij moderne software draait authenticatie meestal om drie dingen:

Veiligheid: spreekt voor zich. In kritische applicaties kan een gecompromitteerd account grote operationele en juridische gevolgen hebben. Regelgeving zoals NIS2 stelt daarom steeds strengere eisen aan authenticatie.

Gebruiksgemak: de login-ervaring bepaalt voor een groot deel hoe prettig software werkt. Hoe vaker gebruikers vastlopen op wachtwoorden of resets, hoe groter de kans dat ze afhaken. Iedereen kent het: wachtwoord vergeten, mail openen, resetlink aanvragen, opnieuw inloggen. Dat voelt niet als beveiliging, maar als frictie.

Beheer: wie zelf een wachtwoordsysteem bouwt, blijft verantwoordelijk voor beveiliging, resets en updates. Door te werken met passkeys of een identity provider verschuift dat beheer naar partijen die daar volledig in gespecialiseerd zijn.

Account recovery: het onderwerp dat altijd wordt overgeslagen

De eerlijke kanttekening bij elk passwordless-verhaal: account recovery is moeilijker dan een e-mail-flow met een herstellink. Verliest een gebruiker zijn telefoon, dan moet er iets anders bestaan om hem terug binnen te krijgen zonder dat dát alternatieve pad zelf de zwakste schakel wordt.

In de praktijk betekent dat drie dingen.

  • Passkeys synchroniseren over devices via de keychain van de gebruiker, zodat het verlies van één toestel geen lock-out is.

  • Voor zakelijke contexten een tweede vertrouwd device of een hardware-key als backup.

  • Voor de uitzonderingsgevallen een bewuste, vertraagde recovery-flow met identiteitsverificatie en niet een simpele e-maillink, want dan ben je terug bij waar je vandaan kwam.

Wie passwordless invoert zonder een doordachte recovery-strategie levert geen veiliger systeem op, alleen een systeem dat meer ergernis en frustratie oplevert.

Drie belangrijke vragen over authenticatie bij een nieuwe oplossing

Voor we ook maar één regel code voor de authenticatie schrijven:

  1. Hebben we hier eigenlijk een wachtwoord voor nodig? In de meeste gevallen is het antwoord nee, of niet als primair pad.

  2. Welke context bepaalt het risico? Een veldwerker op een gedeelde tablet heeft een ander auth-pad nodig dan een back-officemedewerker met een persoonlijke laptop. Adaptive auth zonder die context is alleen maar duur.

  3. Wat gebeurt er over vijf jaar? Wat we vandaag opleveren draait over 10 jaar nog steeds. De auth-laag moet meebewegen met passkey-adoptie, nieuwe regelgeving en device-types die vandaag nog niet bestaan.

AI-agents vragen om een nieuwe vorm van authenticatie

De volgende stap in authenticatie draait niet meer alleen om mensen, maar ook om AI-agents. Denk aan een AI die namens een gebruiker e-mails leest, agenda’s beheert of acties uitvoert. Zo’n agent logt niet in met een wachtwoord of passkey, maar krijgt gecontroleerd toegang tot specifieke onderdelen van een systeem.

Dat vraagt om een andere aanpak van beveiliging. AI-agents moeten alleen toegang krijgen tot wat strikt nodig is, voor een beperkte tijd en met volledige controle achteraf. Daarom ontwerpen we moderne platformen met aparte rechten, audit-trails en extra goedkeuring voor gevoelige acties.

Wat vandaag nog uitzonderlijk lijkt, wordt snel de standaard: steeds meer verkeer binnen applicaties is straks afkomstig van software die namens gebruikers handelt.

Tot slot

World Password Day blijft een nuttige aanleiding, niet om een sterker wachtwoord te bedenken, maar om je af te vragen of een wachtwoord in jouw applicatie überhaupt nog bestaansrecht heeft. Elke applicatie die in 2026 wordt opgeleverd zonder serieus over passwordless authenticatie te zijn nagedacht, levert vandaag al de technical debt van morgen op.

Benieuwd naar de mogelijkheden voor jouw organisatie?

Van uitdaging naar oplossing,
ik help je graag verder.

Julian-product-owner-Zalt

Julian

Product Owner

Neem contact op

Seasoned Insights. Elevated Thinking.

Ontdek meer