Multi-factor authentication heeft de beveiliging van accounts sterk verbeterd. MFA blijft een van de effectiefste manieren om toegang tot systemen en data te beschermen. Alleen is er wel iets veranderd: aanvallers zijn beter geworden in het omzeilen van zwakkere MFA-vormen. Dat vraagt om extra waakzaamheid én een andere benadering van MFA.
Een van de belangrijkste methoden van dit moment is adversary-in-the-middle, meestal afgekort tot AiTM. Daarbij krijgt een medewerker een mail die echt lijkt, bijvoorbeeld een melding van Microsoft 365. De gebruiker klikt, logt in, keurt een MFA-push goed en denkt dat alles normaal verloopt. In werkelijkheid zit er een kwaadaardige tussenlaag tussen browser en dienst. Die onderschept in realtime de sessie, zodat de aanvaller daarna toegang krijgt alsof hij de echte gebruiker is.
Dit is geen randverschijnsel. Het Canadese Cyber Centre beschreef meer dan honderd AiTM-campagnes tussen 2023 en begin 2025. Proofpoint meldde daarnaast dat campagnes in april 2025 duizenden organisaties troffen, met een sterke toename van phishing-as-a-service-platformen zoals Tycoon 2FA. Ook Cisco Talos ziet dat MFA-problemen, waaronder bypass-technieken, een grote rol spelen in incidentrespons.
Dat betekent niet dat MFA niet meer werkt. Het betekent vooral dat niet elke vorm van MFA nog hetzelfde beschermingsniveau biedt.
Wat phishingbestendige MFA anders maakt
De bekendste MFA-methoden, zoals sms-codes, OTP-codes en pushmeldingen, houden nog altijd veel aanvallen tegen. Ze vormen een belangrijke extra laag bovenop wachtwoorden. Maar ze hebben ook een zwak punt: ze vragen de gebruiker om iets in te voeren of goed te keuren op een pagina die mogelijk nep is. Als een aanvaller die stap slim nabootst, kan hij die verificatie soms gewoon meenemen.
Phishingbestendige MFA pakt precies dat probleem aan. Deze aanpak gebruikt cryptografie die is gekoppeld aan het echte domein van de dienst. De verificatie werkt dus alleen met de legitieme website of applicatie. Zit er een proxy of nepomgeving tussen, dan mislukt de controle.
Passkeys zijn vandaag de meest toegankelijke vorm van die aanpak. Ze zijn gebouwd op FIDO2 en WebAuthn. De gebruiker logt in met biometrie of een pincode op het eigen apparaat, bijvoorbeeld via Face ID, Touch ID of Windows Hello. De privésleutel verlaat dat apparaat niet. Daardoor is er geen wachtwoord om te stelen en geen code die een aanvaller kan onderscheppen.
Passkeys vervangen MFA niet, maar maken het sterker
Passkeys maken traditionele MFA niet overbodig. Beide hebben een rol in een goed beveiligingsbeleid.
Voor veel organisaties blijft de eerste stap heel simpel: zorg eerst dat MFA overal is ingeschakeld. Wie nog op alleen wachtwoorden vertrouwt, loopt onnodig risico. Push-gebaseerde MFA, authenticatie-apps en OTP-methoden bieden in veel situaties nog steeds veel betere bescherming dan alleen een wachtwoord.
Passkeys zijn vooral interessant voor plekken waar de impact van een accountovername groot is. Denk aan beheerdersaccounts, remote access, Microsoft 365-omgevingen met verhoogde rechten en cloudapplicaties met klant-, financiële of operationele data. Juist daar wil je het risico op phishing en sessiediefstal zo klein mogelijk maken.
Voor MSP’s en securitypartners ligt daar een praktische route. Je kunt gewone MFA inzetten als standaard voor breed gebruik, en passkeys toevoegen voor accounts en applicaties met een hoger risico. Zo verhoog je de beveiliging waar het echt telt, zonder direct alles te hoeven ombouwen.
Daar komt nog iets bij: de gebruikerservaring is vaak beter. Geen code overtypen, pushmelding afwachten of extra app openen. De gebruiker verifieert zich met vinger, gezicht of pincode en is binnen. Voor klanten die MFA vooral lastig vinden, is dat een sterk argument.
Waarom druk van buiten nu toeneemt
Er is nog een reden waarom dit onderwerp snel hoger op de agenda komt: de eisen van buitenaf worden scherper.
Aan de kant van richtlijnen en overheden is de lijn duidelijk. CISA publiceerde expliciet guidance voor phishingbestendige MFA. NIST beschrijft phishingresistente authenticatie als de sterkere vorm, juist omdat deze geen gegevens laat invoeren die een aanvaller kan hergebruiken. Ook in Europa zie je die beweging terug. ENISA adviseert al langer om waar mogelijk phishingbestendige tokens zoals FIDO2 te gebruiken, en in NIS2-gerelateerde implementatierichtlijnen speelt MFA een duidelijke rol in toegangsbeveiliging.
Voor veel klanten voelt de druk vanuit cyberverzekeraars nog directer. Verzekeraars kijken steeds kritischer naar toegangsbeveiliging bij acceptatie en verlenging van polissen. MFA is daarbij vaak een basisvoorwaarde. Wie zwakke of onvolledige toegangsbeveiliging heeft, kan te maken krijgen met strengere voorwaarden, hogere premies of beperkingen in dekking. Dat patroon zie je breed terug in de markt, ook al verschilt de precieze invulling per verzekeraar.
Dat dit financiële gevolgen kan hebben, blijkt ook uit echte dossiers. De stad Hamilton meldde in 2025 dat haar cyberverzekeraar een claim na de ransomwareaanval afwees op basis van de polisvoorwaarden. De stad liet die afwijzing juridisch toetsen en concludeerde daarna dat die in lijn was met de dekking.
Voor partners verandert daarmee ook het gesprek met klanten. Het gaat niet meer alleen om een best practice. Het gaat steeds vaker om aantoonbare beheersing van toegangsrisico’s.
Wat dit betekent voor je aanbod als partner
Voor securitypartners is dit een logisch moment om het MFA-verhaal te verbreden. Niet alleen: staat MFA aan? Maar ook: welke vorm van MFA gebruik je, voor welke accounts, en hoe bestand is die tegen phishing?
WatchGuard heeft die stap inmiddels concreet gemaakt in AuthPoint. Volgens WatchGuard ondersteunt AuthPoint nu FIDO2-passkeys voor OIDC-gebaseerde resources. Daarmee kunnen gebruikers zich aanmelden bij onder meer FireCloud, Microsoft External Authentication Methods en andere OIDC-geïntegreerde applicaties met biometrie of pincode, zonder wachtwoord of code. WatchGuard stelt ook dat passkeys voor OIDC zonder meerprijs zijn inbegrepen in zowel AuthPoint MFA als AuthPoint Total Identity Security.
Voor partners is vooral de manier van uitrollen relevant. Je hoeft niet alles in één keer om te zetten. Je kunt passkeys gericht activeren voor specifieke applicaties of accounts met een hoger risico, en van daaruit verder uitbouwen. Dat maakt de stap kleiner, terwijl je wel meteen winst boekt op de plekken waar de kans op schade het grootst is.
De volgende stap in MFA is selectiever en sterker
De kern is simpel. MFA blijft essentieel. Maar nu AiTM-aanvallen en andere bypass-technieken vaker voorkomen, wordt ook duidelijk dat sommige MFA-methoden sterker zijn dan andere. Passkeys dichten juist dat gat.
Voor partners is dit daarom geen verhaal over vervangen om het vervangen. Het is een verhaal over aanscherpen. Eerst MFA breed op orde brengen. Daarna phishingbestendige authenticatie inzetten waar het risico, de impact en de druk van klanten, verzekeraars en regelgeving het hoogst zijn.
Dat maakt passkeys niet tot een hype, maar tot een logische volgende stap.