Een roze-zilveren hangslot op een zwart computertoetsenbord.
Inzicht17 juli · 09:006 min leestijd

Passkeys staan straks standaard aan, dus waarom logt je team nog met sms in?

Er ligt een datum in de agenda van elke organisatie die op Microsoft 365 draait, of de beheerder het nu weet of niet.

Er ligt een datum in de agenda van elke organisatie die op Microsoft 365 draait, of de beheerder het nu weet of niet. Microsoft maakt passkeys op 1 september 2026 de standaard inlogmethode in Entra ID en schrapt op 1 februari 2027 de eigen sms- en voice-MFA. Voor veel teams voelt dat als goed nieuws dat zichzelf oplost: de sterkste inlog gaat vanzelf aan, de zwakste verdwijnt vanzelf. Klaar.

Dat is precies het misverstand. Een passkey aanzetten is één klik, en die klik is je beveiliging niet. Het is het makkelijkste deel ervan.

Mijn stelling is simpel. Zolang de zwakke terugval naast die passkey blijft staan, verandert er voor een aanvaller vrijwel niets. De winst zit niet in de methode die je aanzet, maar in twee saaie klussen eromheen die geen knop voor je doet: de sms-terugval echt uitfaseren, en de accounts opruimen die niemand beheert. Dat is een proces, geen tooltapje. Het is dezelfde les als bij MFA, waar “we hebben het aanstaan” ook als eindpunt werd gevierd terwijl de aanval allang omheen liep, naar je ingelogde sessie.

Een passkey met een sms-terugval is zo sterk als die sms

Begin bij de meest gemaakte denkfout: dat een aanvaller je passkey moet verslaan. Dat hoeft hij niet. Hij kiest de zwakste methode die nog op het account staat, en op de meeste accounts staat er na de uitrol nog een tweede deur open. Microsoft zegt het zelf onomwonden: ook nadat passkeys zijn uitgerold houden de meeste accounts nog een wachtwoord of sms-methode “voor het geval dat”, en juist die slapende methode is het aanvalsoppervlak. De gebruiker gebruikt hem niet. De aanvaller wel.

En sms is geen willekeurige zwakke schakel. Amerikaanse overheidsdiensten adviseren sinds eind 2024 al om sms niet langer als tweede factor te gebruiken, omdat de berichten onversleuteld zijn en te onderscheppen. Sim-swapping, waarbij iemand jouw nummer op zijn eigen simkaart laat zetten, maakt een sms-code net zo publiek als een briefkaart. En de druk op die zwakke schakel neemt toe: volgens Microsofts eigen cijfers halen AI-gedreven phishingcampagnes doorklikpercentages tot 54 procent, tegen ongeveer 12 procent bij traditionele campagnes. Een passkey aanzetten en de sms laten staan is een extra slot op de voordeur monteren terwijl het keukenraam openblijft.

Daarom zijn “passkeys aanzetten” en “veilig zijn” niet hetzelfde. De adoptie loopt namelijk al: 68 procent van de organisaties is met passkeys bezig, van pilot tot volledige uitrol, blijkt uit het jaarlijkse passkey-onderzoek van de FIDO Alliance. Aanzetten is het probleem niet. Afmaken is het probleem. Het verschil tussen die twee is precies het weghalen van de zwakke methode, en dat is wat Microsoft per 1 februari 2027 voor zijn eigen sms afdwingt. Microsoft deed het intern al: het rolde phishing-bestendige authenticatie uit naar 99,9 procent van de eigen accounts en haalde de zwakkere methodes eruit. Niet het aanzetten was het werk, het weghalen was het werk.

De accounts die niemand beheert

De tweede klus is minder zichtbaar en daarom hardnekkiger. Een passkey gaat uit van één persoon met één vingerafdruk of gezicht op één apparaat. Maar in elke organisatie zit een categorie accounts waar dat model niet op past: de gedeelde postbus info@ of verkoop@, het dienstaccount waaronder een koppeling draait, de inlog die drie mensen delen “omdat het handig is”. Dat zijn precies de accounts waar iemand zegt: die kunnen niet op passkeys, dus daar houden we het wachtwoord of de sms maar.

En zo blijft de zwakke terugval bestaan, alleen verplaatst naar de accounts die het minst in de gaten worden gehouden. Een gedeelde postbus in Microsoft 365 heeft een eigen account dat kan inloggen terwijl niemand dat hoort te doen; de veilige instelling is de aanmelding op zo'n postbus blokkeren en de toegang via rechten regelen. Een dienstaccount hoort geen mens-methode te gebruiken maar een beheerde identiteit. Dat is geen technische voetnoot, het is het echte werk: in kaart brengen wie er eigenlijk inlogt en hoe, welke accounts gedeeld zijn, en elk daarvan bewust opruimen of omzetten. Voor een klein team met een handvol persoonlijke accounts is dat een middag. Voor een organisatie met honderden gebruikers, gedeelde postbussen en dienstaccounts is het een project, en de gefaseerde route van sms-MFA naar phishing-bestendige passkeys is niet voor niets een uitrol in stappen.

Zet je sms uit, dan verschuift de zwakte naar het herstel

Stel, je doet het goed. Je haalt de sms weg, je ruimt de gedeelde accounts op. Dan verschuift de zwakste plek naar de plek waar bijna niemand naar kijkt: hoe iemand weer binnenkomt die buitengesloten is. Want de dag dat een medewerker zijn passkey kwijt is, belt hij de helpdesk. En daar wordt hij geïdentificeerd met vragen waarvan het antwoord op zijn LinkedIn staat.

Dat is de derde klus, en Microsoft noemt het herstel zelf de zwakste schakel: kennisvragen en tijdelijke wachtwoorden via de helpdesk zijn precies wat social engineering en deepfakes uitbuiten. Niet voor niets faseert Microsoft de beveiligingsvragen voor wachtwoordherstel vanaf maart 2027 uit en vervangt het de helpdesk-route door herstel met een echt identiteitsbewijs en een selfie. De les is ongemakkelijk: het uitfaseren van de zwakke terugval is niet af zolang het herstel nog diezelfde zwakte draagt. Dan heb je de fallback niet weggehaald, je hebt hem verplaatst naar de plek waar je het ook het laatst merkt dat iemand binnen is.

Om eerlijk te zijn: dwingt Microsoft dit niet gewoon af?

Het sterkste tegenargument is een goeie. Microsoft doet het toch voor je? Per 1 februari 2027 gaat de eigen sms en voice weg, zonder opt-out, en de passkeys worden vanzelf aangezet. De deadline dwingt de gereedschapswissel af, en voor een klein team met een paar persoonlijke accounts is het echt een middag werk. Waarom zou je nu iets doen?

Omdat de deadline de klok zet, niet het werk doet. Drie dingen laat hij liggen. Ten eerste is er een ontsnappingsluik: vanaf 30 oktober 2026 kan een beheerder een externe telecomprovider koppelen om sms of voice tóch te blijven gebruiken. Dat is de knop waarmee een organisatie precies de zwakke terugval terugbouwt die de deadline net weghaalde, en onder druk (“we moeten door”) wordt die knop gevonden. Ten tweede doet 1 februari niets aan je gedeelde postbussen, je dienstaccounts of je helpdesk-herstel; dat blijft jouw werk. En ten derde: wie wacht tot de gedwongen datum, beleeft hem niet als uitrol maar als storing, met medewerkers die op een maandag in januari 2027 niet meer inloggen. Een afgedwongen wissel is geen plan. Het is een plan dat je niet zelf maakte.

De vraag die telt

Passkeys standaard betekent dat het gereedschap klaarligt, scherp en voor iedereen. Dat is winst, en ik zou niemand aanraden ertegenin te gaan. Maar beveiliging is nooit een methode aanzetten. Het is de zwakkere weg naar binnen dichttimmeren, en weten wie er eigenlijk achter een account zit.

De vraag die telt is dus niet “staat de passkey aan?”. Dat staat hij straks vanzelf. De vraag is: welke zwakkere manier om binnen te komen staat er nog open, in welke slapende sms, in welke gedeelde postbus, in welk helpdesk-telefoontje, en wie is de persoon die hem sluit? Een deadline kan de eerste vraag beantwoorden. De tweede is aan jou.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Van knop naar proces

Ik denk met je mee over de inlog van je hele organisatie, ontwerp de opruiming van gedeelde accounts en zwakke terugval, en bouw het proces dat het afdwingt en zichtbaar houdt. Van eerste inventarisatie tot een uitrol die niemand onverwacht buitensluit.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

'We hebben MFA aan' is geen strategie: de aanval verschoof naar je sessie
Inzicht
6 minBijgewerkt om 16:50

14 jul 13:03

'We hebben MFA aan' is geen strategie: de aanval verschoof naar je sessie

Bij de twee geraffineerdste overnames van Microsoft 365-accounts van de afgelopen week viel geen wachtwoord te stelen, want er werd er geen gebruikt.

AI vindt je lekken sneller dan jij: niet 'ben je gepatcht' maar 'wie scant je keten het eerst'
Inzicht
6 min

13 jul 13:01

AI vindt je lekken sneller dan jij: niet 'ben je gepatcht' maar 'wie scant je keten het eerst'

Een AI-model liep in enkele uren door de best beveiligde, geheime systemen van de Amerikaanse overheid en wees de zwakke plekken aan. Datzelfde model mag jij niet gebruiken.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

UWV test Microsoft Copilot, maar zonder persoonsgegevens en zonder besluit over structureel gebruik
Nieuws
5 min

29 jun 16:23

UWV test Microsoft Copilot, maar zonder persoonsgegevens en zonder besluit over structureel gebruik

Minister Vijlbrief neemt nog geen besluit over structureel gebruik van Microsoft Copilot bij UWV. In de proef mag de AI niet op bestanden of persoonsgegevens, en het kabinet onderzoekt parallel soevereine alternatieven.

Passkeys uitrollen in Entra ID: van sms-MFA naar phishing-bestendige inlog voor je hele team
Gids
Uitgebreide gids11 min

16 jul 21:05

Passkeys uitrollen in Entra ID: van sms-MFA naar phishing-bestendige inlog voor je hele team

Microsoft maakt passkeys de standaard in Entra ID en zet sms-MFA uit. Deze gids loodst je door het complete migratiepad: het juiste type per rol, het registratiemoment beveiligen tegen vishing, en herstel regelen zonder dat iemand buitengesloten raakt.

Microsoft maakt passkeys standaard in Entra ID en schrapt sms-MFA
Nieuws
4 min

14 jul 16:15

Microsoft maakt passkeys standaard in Entra ID en schrapt sms-MFA

Microsoft maakt passkeys vanaf 1 september 2026 de standaard in Entra ID en stopt per 1 februari 2027 met sms- en voice-MFA. Elke Microsoft 365-tenant die nog op telefooncodes leunt, heeft nu een harde deadline om over te stappen.