Wachtwoordbeheer is in tien jaar tijd grondig veranderd. Waar het oorspronkelijke IIP-VV materiaal zich nog richtte op de overstap van handmatig onthouden wachtwoorden naar de eerste generatie wachtwoordmanagers, vormen passkeys en op FIDO2 gebaseerde authenticatie inmiddels het nieuwe uitgangspunt voor consumenten en organisaties. Deze pagina vat de stand van de techniek per 2026 samen, met aandacht voor de keuze tussen managers en voor de positie van wachtwoorden naast nieuwere methoden.
Waarom een wachtwoordmanager nog steeds relevant is
Hoewel het aandeel van wachtwoordloze inlogmethoden snel toeneemt, ondersteunt een aanzienlijk deel van de webdiensten in 2026 nog uitsluitend traditionele wachtwoorden. Een wachtwoordmanager genereert per dienst een uniek, lang wachtwoord en bewaart dit versleuteld. Daarmee verdwijnt de praktijk van hergebruik, die door het Nationaal Cyber Security Centrum (NCSC) en door internationale autoriteiten zoals NIST consequent wordt aangewezen als een van de belangrijkste oorzaken van succesvolle credential-stuffing-aanvallen.
Naast wachtwoordopslag bieden moderne managers ook beveiligde notities, eenmalige codes (TOTP), passkey-opslag en deelfuncties voor gezinnen of teams. De keuze tussen een offline manager (zoals KeePassXC) en een cloudgebaseerde dienst (zoals Bitwarden of 1Password) hangt af van het vertrouwensmodel van de gebruiker en van de mate waarin synchronisatie tussen apparaten gewenst is.
Vergelijking van veelgebruikte managers
Bitwarden
Bitwarden is open source en biedt een gratis variant met onbeperkte synchronisatie tussen apparaten. De broncode wordt periodiek geaudit door externe partijen. De server kan ook zelf gehost worden, wat aantrekkelijk is voor organisaties met een eigen sleutelbeheerregime. De betaalde varianten voegen onder meer noodtoegang, geintegreerde TOTP-codes en uitgebreidere bestandsdeling toe.
1Password
1Password is een commercieel product met sterke nadruk op gebruikerservaring en op zogenoemde Secret Keys, een extra cryptografische factor naast het hoofdwachtwoord. De dienst ondersteunt passkey-opslag, integratie met Single Sign-On en een afzonderlijke modus voor ontwikkelaars die geheimen in lokale ontwikkelomgevingen beheren.
KeePassXC
KeePassXC is een lokale, open source manager zonder cloudcomponent. Synchronisatie verloopt via de eigen kanalen van de gebruiker, bijvoorbeeld een versleutelde mapsynchronisatie. Voor gebruikers die het serverrisico volledig willen uitsluiten, blijft KeePassXC een geschikte keuze. De leercurve is hoger dan bij commerciele alternatieven.
Browser- en platformmanagers
De ingebouwde managers van Chrome, Firefox, Safari en de iCloud Keychain zijn in 2026 functioneel volwaardiger geworden, inclusief synchronisatie van passkeys. Voor gebruikers die binnen een enkel ecosysteem werken, vormen ze een werkbaar minimum. Voor wisselend gebruik tussen platformen blijft een onafhankelijke manager praktischer.
Passkeys en FIDO2
Passkeys zijn cryptografische sleutelparen die gebonden zijn aan een specifieke dienst en die op het apparaat van de gebruiker worden bewaard. Onder de motorkap maken ze gebruik van de WebAuthn-standaard van het W3C en van het FIDO2-protocol van de FIDO Alliance. Een passkey is per ontwerp ongevoelig voor phishing: de browser controleert het domein voordat de sleutel wordt gebruikt, waardoor een nagemaakte website geen geldige authenticatie kan uitlokken.
In 2026 ondersteunen alle grote besturingssystemen passkey-synchronisatie via de eigen sleutelbos (iCloud Keychain, Google Password Manager, Windows Hello met Microsoft-account). Daarnaast bieden Bitwarden, 1Password en enkele andere managers cross-platform passkey-synchronisatie. Voor gebruikers die zich los willen maken van een enkel ecosysteem is dat een belangrijke ontwikkeling.
Tweefactorauthenticatie (2FA en MFA)
Voor diensten die nog geen passkeys ondersteunen, blijft tweefactorauthenticatie de aanbevolen aanvulling op een sterk wachtwoord. De volgorde van voorkeur, ook gebruikt in NCSC-richtlijnen, is in grote lijnen: hardware security keys (YubiKey, vergelijkbare FIDO2-tokens) boven app-gegenereerde codes (Aegis, 2FAS, ingebouwde manager-TOTP) boven sms-codes. Sms blijft kwetsbaar voor SIM-swap-aanvallen en zou waar mogelijk vermeden moeten worden.
Praktische aanbevelingen
Voor consumenten zonder bijzondere bedreigingsmodellen volstaat in 2026 een combinatie van een wachtwoordmanager met passkey-ondersteuning, een sterk hoofdwachtwoord en een hardwaresleutel als reserve. Het hoofdwachtwoord wordt bij voorkeur opgebouwd als een passphrase van vijf of meer willekeurige woorden, conform de aanpak die NIST in SP 800-63B beschrijft.
Voor organisaties is een centraal beheerde manager met SSO-integratie en met audit-trail functioneel het meest praktisch. Periodieke evaluatie van de leveranciersaudit, encryptie-architectuur en herstelprocedures wordt aanbevolen, in lijn met de richtlijnen van het NCSC en de baseline-informatiebeveiliging Overheid (BIO).
Wat te doen bij verlies of compromittering
Bij verlies van het hoofdwachtwoord biedt geen enkele goed ontworpen manager een achterdeur. Cloudgebaseerde diensten kennen wel herstelmechanismen via een tevoren ingestelde herstelcontact of een afgedrukte recovery code. Het is verstandig die procedure eenmalig te doorlopen voordat een noodsituatie zich voordoet. Bij vermoedelijke compromittering van het hoofdwachtwoord moeten alle opgeslagen wachtwoorden worden vervangen en moet het 2FA-overzicht worden herzien.
Bronnen en verdieping
Bronnen: NCSC, factsheets over authenticatie; NIST SP 800-63B Digital Identity Guidelines; W3C WebAuthn Recommendation; FIDO Alliance, passkeys overview.