Er ligt een datum in de agenda van elke organisatie die op Microsoft 365 draait, of de beheerder het nu weet of niet. Microsoft maakt passkeys op 1 september 2026 de standaard inlogmethode in Entra ID en schrapt op 1 februari 2027 de eigen sms- en voice-MFA. Voor veel teams voelt dat als goed nieuws dat zichzelf oplost: de sterkste inlog gaat vanzelf aan, de zwakste verdwijnt vanzelf. Klaar.
Dat is precies het misverstand. Een passkey aanzetten is één klik, en die klik is je beveiliging niet. Het is het makkelijkste deel ervan.
Mijn stelling is simpel. Zolang de zwakke terugval naast die passkey blijft staan, verandert er voor een aanvaller vrijwel niets. De winst zit niet in de methode die je aanzet, maar in twee saaie klussen eromheen die geen knop voor je doet: de sms-terugval echt uitfaseren, en de accounts opruimen die niemand beheert. Dat is een proces, geen tooltapje. Het is dezelfde les als bij MFA, waar “we hebben het aanstaan” ook als eindpunt werd gevierd terwijl de aanval allang omheen liep, naar je ingelogde sessie.
Een passkey met een sms-terugval is zo sterk als die sms
Begin bij de meest gemaakte denkfout: dat een aanvaller je passkey moet verslaan. Dat hoeft hij niet. Hij kiest de zwakste methode die nog op het account staat, en op de meeste accounts staat er na de uitrol nog een tweede deur open. Microsoft zegt het zelf onomwonden: ook nadat passkeys zijn uitgerold houden de meeste accounts nog een wachtwoord of sms-methode “voor het geval dat”, en juist die slapende methode is het aanvalsoppervlak. De gebruiker gebruikt hem niet. De aanvaller wel.
En sms is geen willekeurige zwakke schakel. Amerikaanse overheidsdiensten adviseren sinds eind 2024 al om sms niet langer als tweede factor te gebruiken, omdat de berichten onversleuteld zijn en te onderscheppen. Sim-swapping, waarbij iemand jouw nummer op zijn eigen simkaart laat zetten, maakt een sms-code net zo publiek als een briefkaart. En de druk op die zwakke schakel neemt toe: volgens Microsofts eigen cijfers halen AI-gedreven phishingcampagnes doorklikpercentages tot 54 procent, tegen ongeveer 12 procent bij traditionele campagnes. Een passkey aanzetten en de sms laten staan is een extra slot op de voordeur monteren terwijl het keukenraam openblijft.
Daarom zijn “passkeys aanzetten” en “veilig zijn” niet hetzelfde. De adoptie loopt namelijk al: 68 procent van de organisaties is met passkeys bezig, van pilot tot volledige uitrol, blijkt uit het jaarlijkse passkey-onderzoek van de FIDO Alliance. Aanzetten is het probleem niet. Afmaken is het probleem. Het verschil tussen die twee is precies het weghalen van de zwakke methode, en dat is wat Microsoft per 1 februari 2027 voor zijn eigen sms afdwingt. Microsoft deed het intern al: het rolde phishing-bestendige authenticatie uit naar 99,9 procent van de eigen accounts en haalde de zwakkere methodes eruit. Niet het aanzetten was het werk, het weghalen was het werk.
De accounts die niemand beheert
De tweede klus is minder zichtbaar en daarom hardnekkiger. Een passkey gaat uit van één persoon met één vingerafdruk of gezicht op één apparaat. Maar in elke organisatie zit een categorie accounts waar dat model niet op past: de gedeelde postbus info@ of verkoop@, het dienstaccount waaronder een koppeling draait, de inlog die drie mensen delen “omdat het handig is”. Dat zijn precies de accounts waar iemand zegt: die kunnen niet op passkeys, dus daar houden we het wachtwoord of de sms maar.
En zo blijft de zwakke terugval bestaan, alleen verplaatst naar de accounts die het minst in de gaten worden gehouden. Een gedeelde postbus in Microsoft 365 heeft een eigen account dat kan inloggen terwijl niemand dat hoort te doen; de veilige instelling is de aanmelding op zo'n postbus blokkeren en de toegang via rechten regelen. Een dienstaccount hoort geen mens-methode te gebruiken maar een beheerde identiteit. Dat is geen technische voetnoot, het is het echte werk: in kaart brengen wie er eigenlijk inlogt en hoe, welke accounts gedeeld zijn, en elk daarvan bewust opruimen of omzetten. Voor een klein team met een handvol persoonlijke accounts is dat een middag. Voor een organisatie met honderden gebruikers, gedeelde postbussen en dienstaccounts is het een project, en de gefaseerde route van sms-MFA naar phishing-bestendige passkeys is niet voor niets een uitrol in stappen.
Zet je sms uit, dan verschuift de zwakte naar het herstel
Stel, je doet het goed. Je haalt de sms weg, je ruimt de gedeelde accounts op. Dan verschuift de zwakste plek naar de plek waar bijna niemand naar kijkt: hoe iemand weer binnenkomt die buitengesloten is. Want de dag dat een medewerker zijn passkey kwijt is, belt hij de helpdesk. En daar wordt hij geïdentificeerd met vragen waarvan het antwoord op zijn LinkedIn staat.
Dat is de derde klus, en Microsoft noemt het herstel zelf de zwakste schakel: kennisvragen en tijdelijke wachtwoorden via de helpdesk zijn precies wat social engineering en deepfakes uitbuiten. Niet voor niets faseert Microsoft de beveiligingsvragen voor wachtwoordherstel vanaf maart 2027 uit en vervangt het de helpdesk-route door herstel met een echt identiteitsbewijs en een selfie. De les is ongemakkelijk: het uitfaseren van de zwakke terugval is niet af zolang het herstel nog diezelfde zwakte draagt. Dan heb je de fallback niet weggehaald, je hebt hem verplaatst naar de plek waar je het ook het laatst merkt dat iemand binnen is.
Om eerlijk te zijn: dwingt Microsoft dit niet gewoon af?
Het sterkste tegenargument is een goeie. Microsoft doet het toch voor je? Per 1 februari 2027 gaat de eigen sms en voice weg, zonder opt-out, en de passkeys worden vanzelf aangezet. De deadline dwingt de gereedschapswissel af, en voor een klein team met een paar persoonlijke accounts is het echt een middag werk. Waarom zou je nu iets doen?
Omdat de deadline de klok zet, niet het werk doet. Drie dingen laat hij liggen. Ten eerste is er een ontsnappingsluik: vanaf 30 oktober 2026 kan een beheerder een externe telecomprovider koppelen om sms of voice tóch te blijven gebruiken. Dat is de knop waarmee een organisatie precies de zwakke terugval terugbouwt die de deadline net weghaalde, en onder druk (“we moeten door”) wordt die knop gevonden. Ten tweede doet 1 februari niets aan je gedeelde postbussen, je dienstaccounts of je helpdesk-herstel; dat blijft jouw werk. En ten derde: wie wacht tot de gedwongen datum, beleeft hem niet als uitrol maar als storing, met medewerkers die op een maandag in januari 2027 niet meer inloggen. Een afgedwongen wissel is geen plan. Het is een plan dat je niet zelf maakte.
De vraag die telt
Passkeys standaard betekent dat het gereedschap klaarligt, scherp en voor iedereen. Dat is winst, en ik zou niemand aanraden ertegenin te gaan. Maar beveiliging is nooit een methode aanzetten. Het is de zwakkere weg naar binnen dichttimmeren, en weten wie er eigenlijk achter een account zit.
De vraag die telt is dus niet “staat de passkey aan?”. Dat staat hij straks vanzelf. De vraag is: welke zwakkere manier om binnen te komen staat er nog open, in welke slapende sms, in welke gedeelde postbus, in welk helpdesk-telefoontje, en wie is de persoon die hem sluit? Een deadline kan de eerste vraag beantwoorden. De tweede is aan jou.
Veelgestelde vragen
Van knop naar proces
Ik denk met je mee over de inlog van je hele organisatie, ontwerp de opruiming van gedeelde accounts en zwakke terugval, en bouw het proces dat het afdwingt en zichtbaar houdt. Van eerste inventarisatie tot een uitrol die niemand onverwacht buitensluit.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
