Hey {{first_name}} 👋,

Ik zet passkeys al een tijd aan bij elke dienst die het aanbiedt. Google, Amazon, PayPal en steeds vaker ook bij kleinere diensten. Het is een gewoonte geworden: als ik ergens inlog en de optie zie, schakel ik het in.

Ik schreef vorig jaar oktober al eens over passkeys. Sindsdien is er veel veranderd. Tijd voor een update: wat werkt er goed, wat niet en hoe gebruik ik het in de praktijk?

Duik er maar in👇

Even de basis. Een passkey vervangt je wachtwoord door een digitale sleutel die op je apparaat wordt opgeslagen. Als je inlogt, bewijst je apparaat dat jij het bent via je vingerafdruk, gezichtsherkenning of pincode. De website krijgt nooit je sleutel te zien. Er is dus letterlijk niets om te stelen.

Het grote verschil met een wachtwoord: er valt niets te phishen. Een nepsite kan je wachtwoord afvangen, maar een passkey werkt alleen op de echte site. En je hoeft niets te onthouden of over te typen.

Bij de honderd grootste websites wereldwijd zit de ondersteuning inmiddels boven de 50%. Google meldt dat meer dan 800 miljoen accounts passkeys gebruiken. Bij Amazon hebben 175 miljoen gebruikers er eentje aangemaakt in het eerste jaar. Het groeit snel.

Ik bewaar al mijn passkeys in het Canadese 1Password. Dat is een bewuste keuze. Je kunt passkeys ook opslaan op je apparaat zelf: Apple heeft het ingebouwd in iCloud Sleutelhanger en Android in de Google Wachtwoordmanager. Beide werken prima.

Het verschil zit hem in wat er gebeurt als je meerdere apparaten hebt. Apple synct je passkeys via iCloud, maar alleen naar andere Apple-apparaten. Android doet hetzelfde via je Google-account. Heb je een iPhone en een Windows-laptop? Dan heb je een probleem.

1Password lost dat op. Het synct je passkeys naar elk apparaat, ongeacht of het Apple, Android of Windows is. Het kost € 3 per maand, maar voor mij is het dat meer dan waard. Bitwarden is een goed gratis alternatief dat hetzelfde doet.

Mijn advies: kies een methode en wees consistent. Sla niet sommige passkeys op je telefoon op en andere in een app. Dat wordt een chaos die je over drie maanden niet meer ontrafelt.

En hier wordt het eerlijk gezegd minder rooskleurig.

Nederlandse banken? Die doen nog niet mee. ING, Rabobank, ABN AMRO: je logt nog steeds in met een app en een code. Juist de plek waar je het meeste baat zou hebben bij sterke inlogbeveiliging, is passkeys nog niet beschikbaar.

DigiD? Nee. De overheid werkt aan digitale identiteitsportefeuilles, maar passkeys staan niet op de planning.

En veel Nederlandse webshops en diensten? Wisselend. Bol, Coolblue, je zorgverzekeraar: de meeste zitten er nog niet aan. Je merkt dat passkeys vooral bij de grote internationale techbedrijven zijn doorgebroken en dat de rest volgt in een tempo dat je geduldig van wordt.

Een paar dingen die me opvielen na een jaar passkeys gebruiken.

Ten eerste: het went snel. Na een week merk je niet meer dat je het anders doet. Na een maand voelt een wachtwoord typen als een stap terug.

Ten tweede: het is veiliger dan je denkt. Een passkey kan niet worden gephisht. Er is letterlijk niets om te stelen. De sleutel zit op jouw apparaat en nergens anders.

Ten derde: het is nog niet af. De belofte van passkeys is "nooit meer een wachtwoord." De realiteit in 2026 is "soms geen wachtwoord, als de dienst het ondersteunt en je binnen hetzelfde ecosysteem blijft." Dat is een stuk minder sexy.

Maar het wordt elk kwartaal beter. Microsoft lanceerde afgelopen april passkey-sync in hun wachtwoordmanager. Steeds meer websites voegen ondersteuning toe. De richting is duidelijk. Het duurt alleen langer dan je zou willen.

Passkeys zijn het beste inlogsysteem dat ik heb gebruikt. Sneller dan wachtwoorden, veiliger dan tweestapsverificatie en na een week merk je het niet meer. Ik zet het overal aan waar het kan.

Is het perfect? Nee. Maar het is een stuk beter dan dat wachtwoord dat je al jaren hergebruikt. Je weet wel welke ik bedoel.