Passkeys vervangen wachtwoorden. Wat betekent dat voor jouw hosting?

Passkeys zijn hard op weg om het wachtwoord als standaard loginmethode te vervangen. Grote platforms ondersteunen het al: je kunt bijvoorbeeld bij Github met een passkey inloggen en daarmee in één stap ook aan 2FA voldoen. Ook Apple en Google positioneren passkeys expliciet als phishing-resistente opvolger van wachtwoorden.

Voor website- en hostingbeheer is dit méér dan ‘weer een nieuwe loginoptie’. Passkeys veranderen hoe je accounts beveiligt, hoe je team toegang geeft tot control panels en hoe je recovery inricht als iemand een apparaat kwijtraakt.

Wat is een passkey precies

Een passkey werkt met public-key cryptografie: bij het aanmaken ontstaat een sleutelpaar. De private key blijft op het apparaat (beveiligd met biometrie of pincode) en de public key staat bij de dienst. Er gaat dus geen wachtwoord over het netwerk dat kan uitlekken of onderschept worden.

Als je al met SSH-keys werkt voor servertoegang, zit je dichtbij: ook daar werkt authenticatie met sleutels in plaats van gedeelde geheimen. Het grote verschil is gebruiksgemak: passkeys zijn gemaakt voor dagelijks inloggen, inclusief biometrie en synchronisatie over devices.

Waarom passkeys veiliger zijn dan wachtwoorden

De voordelen ten opzichte van wachtwoorden zijn praktisch én relevant voor hostingaccounts:

• Niet te phishen: er is geen wachtwoord dat een aanvaller kan afpersen. Apple benoemt passkeys expliciet als phishing-resistent.

• Geen hergebruik: omdat elke passkey per dienst uniek is, verdwijnt het risico op ‘credential stuffing’ met gelekte wachtwoorden. Google legt uit dat alleen de public key op de server staat en dat die op zichzelf nutteloos is voor aanvallers.

• MFA-by-design: bij GitHub voldoen passkeys in één handeling aan zowel wachtwoord als 2FA-eis.

Kort gezegd: minder frictie voor de gebruiker, minder aanvalsrisico voor jou.

Wat betekent dit voor hostingbeheer en je CMS

De grootste impact zit in accountbeveiliging en toegangsbeheer:

• Hostingaccount en control panel: Plesk ondersteunt passkeys via WebAuthn, wat laat zien dat control panels al richting passkeys bewegen. cPanel/WHM zit bij veel omgevingen nog vooral op TOTP-gebaseerde 2FA, maar ook dat is al een flinke stap omhoog zolang passkeys nog niet overal standaard zijn

• CMS-accounts (WordPress, Magento, etc): Passkeys gaan hier vooral relevant worden via plugins/identity-providers die WebAuthn ondersteunen. Praktisch betekent dit minder wachtwoordreset-tickets en minder risico dat een beheerder een zwak of hergebruikt wachtwoord gebruikt.

 

Wat je nu al kunt doen

Tot passkey-support overal net zo vanzelfsprekend is als wachtwoorden, is dit de beste overbrugging:

• Zet 2FA aan op je hostingomgeving. cPanel documenteert de standaard 2FA-flow met authenticator apps.

• Werk nu al met SSH-keys voor servertoegang waar dat kan en beperk wachtwoordlogin.

• Monitor loginpogingen en maak recovery expliciet (wie kan accounts herstellen, hoe snel, met welke checks).

 

In de context van accountbeveiliging en toegang tot je omgeving is goede webhosting relevant, omdat je dan de basis (2FA, beheer, logins, support) strak kunt inrichten.

Recovery wordt steeds belangrijker en kritischer

De keerzijde van geen wachtwoorden meer is dat recovery zwaarder weegt. Als een beheerder een device met passkey verliest en er is geen backup of recovery-pad, kan toegang lastiger worden. Tegelijk ondersteunen veel passkey-ecosystemen synchronisatie/backup, maar je moet dit wel bewust organiseren.

Praktisch advies: leg vast wie recovery mag doen, welke backup-opties verplicht zijn en hoe je toegang intrekt bij vertrek of deviceverlies.