Vandaag is het Wereld Wachtwoord Dag – een dag die ooit bedoeld was om gebruikers bewust te maken van het belang van sterke wachtwoorden. Maar anno 2025 rijst de vraag: hoe lang vieren we deze dag nog? Binnenkort misschien de Dag van de Identiteit?
Het traditionele wachtwoord staat steeds meer onder druk. Kwetsbaarheden stapelen zich op, gebruikers blijven slordig omgaan met hun inloggegevens en cybercriminelen richten zich juist op die zwakke schakel. Tegelijkertijd maken moderne vormen van authenticatie, zoals biometrie, passkeys en context-based access, razendsnel terreinwinst. Steeds meer organisaties kiezen voor een aanpak waarin identiteit, niet het wachtwoord, de sleutel is tot toegang.
Van wachtwoord naar identiteit
De beveiligingswereld maakt een duidelijke omslag: van perimeterbeveiliging en wachtwoorden naar identiteitsgestuurde toegang. Deze trend is niet nieuw, maar krijgt in 2025 versneld vorm. Gartner voorspelde het al jaren geleden: identity is the new perimeter. In de praktijk betekent dat: het is minder relevant wáár iemand zich bevindt of welk device hij gebruikt. Wat telt, is wie die persoon is en of hij daadwerkelijk toegang mag krijgen tot die data of dienst.
Deze benadering sluit aan op Zero Trust en op het steeds complexere hybride landschap waarin organisaties opereren. Voor jou als it-dienstverlener betekent dit dat je klanten moet begeleiden naar een model waarin identiteit, authenticatie en autorisatie centraal staan.
Waarom wachtwoorden tekortschieten
Wachtwoorden zijn al decennia de standaard voor toegangscontrole, maar hun tekortkomingen zijn inmiddels overduidelijk. Veel gebruikers hergebruiken hetzelfde wachtwoord voor meerdere accounts, wat het risico op een kettingreactie bij een datalek vergroot. Sterker nog, uit recente cijfers blijkt dat ruim een kwart van de mensen hetzelfde wachtwoord gebruikt voor tussen de 11 en 20 verschillende accounts.
Daarnaast worden wachtwoorden vaak onderschept via phishing, keyloggers of man-in-the-middle-aanvallen. Zelfs als gebruikers complexe wachtwoorden aanmaken, biedt dat geen garantie op veiligheid. Het probleem zit niet alleen in de gebruiker, maar ook in het feit dat wachtwoorden centraal worden opgeslagen en dus een aantrekkelijk doelwit vormen voor aanvallers.
Uit het Verizon Data Breach Investigations Report blijkt dat gestolen of zwakke credentials in 81 procent van succesvolle cyberaanvallen een meer of minder belangrijke rol spelen. Het is duidelijk dat het wachtwoord zijn langste tijd heeft gehad.
Identity-first security in de praktijk
De overstap naar identity-first security betekent dat identiteit het nieuwe uitgangspunt wordt voor toegangscontrole. In plaats van een enkel wachtwoord draait het om meerdere lagen van verificatie, waarbij factoren als biometrie, device-trust, locatie en gebruikersgedrag meespelen. Authenticatie wordt hierdoor dynamisch en contextafhankelijk. Toegang wordt niet meer automatisch verleend op basis van een gebruikersnaam en wachtwoord, maar beoordeeld op basis van risico’s en omstandigheden. Een medewerker die altijd vanuit Nederland werkt en ineens vanaf een onbekende locatie in Zuid-Amerika probeert in te loggen, krijgt bijvoorbeeld geen toegang zonder aanvullende verificatie.
Ook autorisatie verandert mee. Waar vroeger vaste rollen bepaalden wie toegang kreeg tot bepaalde systemen, zijn er nu modellen zoals Just-In-Time en Just-Enough Access, waarbij toegang tijdelijk en minimaal wordt toegekend. Dit verkleint de kans dat kwaadwillenden toegang krijgen tot gevoelige systemen.
Identity-tools
Identity-first security vraagt om slimme tooling, maar vooral ook om een gedragsverandering in hoe organisaties omgaan met toegang. IT-dienstverleners spelen hierin een centrale rol.
Concrete toepassingen en tools die verband houden met Identity-first zijn
- Single Sign-On (SSO): één keer inloggen om toegang te krijgen tot meerdere gekoppelde applicaties binnen één domein of organisatie, bijvoorbeeld via een centrale identiteit in Microsoft Entra ID of een interne AD-server.
- Federated identity management: toegang tot applicaties over meerdere domeinen of organisaties heen, waarbij identiteitsbronnen met elkaar worden vertrouwd. Dit werkt vaak via standaarden zoals SAML of OAuth, en wordt ondersteund door platforms als Okta, Azure AD en Google Workspace
- Context-aware access op basis van locatie, tijdstip, device en gebruikersgedrag
- Just-In-Time en Just-Enough Access voor gecontroleerde toegang tot resources
De rol van IT-dienstverleners
Voor jou als msp of IT-partner liggen hier duidelijke kansen. Denk aan het implementeren van moderne IAM-oplossingen, het trainen van gebruikers in veilig gedrag en het zorgen voor governance en monitoring van identiteitsbeheer. Het betekent ook: afstappen van het idee dat toegangsbeheer een technische kwestie is. Identity-first security is een bedrijfsrisico, een compliance-uitdaging én een gebruikerservaring in één.
