Waarom je in 2026 een wachtwoordmanager nodig hebt (zelfs nu passkeys eraan komen)
Passkeys worden uitgerold op het web, maar de dekking is in 2026 nog steeds gedeeltelijk. Een wachtwoordmanager verwerkt passkeys, OTP's en de lange staart aan oude wachtwoorden. Hier is de eerlijke afweging.
Wat een wachtwoordmanager doet
Een wachtwoordmanager genereert voor elk account een uniek, willekeurig wachtwoord, slaat die wachtwoorden versleuteld op met een sleutel die is afgeleid van één hoofdwachtwoord, en vult de inloggegevens automatisch in bij het inloggen. Deze architectuur maakt een einde aan het hergebruik van wachtwoorden — verreweg het meest uitbuitbare gedrag bij aanvallen om accounts over te nemen. Alle vijf op deze site vergeleken managers (Bitwarden, 1Password, Proton Pass, NordPass, KeePassXC) passen zero-knowledge-encryptie toe: als de server van de aanbieder wordt gehackt, bevat die alleen versleutelde datablokken die niet te ontsleutelen zijn zonder het hoofdwachtwoord van de gebruiker.
Passkeys vervangen wachtwoordmanagers niet in 2026
Passkeys (FIDO2 / WebAuthn) zijn phishingbestendige inloggegevens die zich cryptografisch binden aan een specifieke origin. Waar ze worden ondersteund, zijn ze een duidelijke verbetering ten opzichte van wachtwoorden. Het probleem is de uitrol: de ondersteuning voor passkeys op grote websites is in 2026 nog steeds gedeeltelijk en inconsistent. Banken, overheidsdiensten, niche-SaaS en de meeste oudere bedrijfssystemen vertrouwen nog steeds op wachtwoorden. Grote wachtwoordmanagers (Bitwarden, 1Password, Proton Pass) slaan passkeys inmiddels naast wachtwoorden op, zodat de manager de juiste plek blijft voor beide.
Je eerste manager kiezen
Drie opties dekken de meeste gebruikers af. Bitwarden Free dekt onbeperkt wachtwoorden met een opensource, geauditeerde implementatie (volgens github.com/bitwarden + bitwarden.com/help/is-bitwarden-audited). Proton Pass Free is vergelijkbaar, met Zwitserland als jurisdictie (volgens proton.me/pass/pricing). KeePassXC is de uitsluitend lokale optie, zonder enige cloudcomponent (volgens keepassxc.org). Kies wat past bij je synchronisatievoorkeur (geauditeerde cloud vs. lokaal), importeer je in de browser opgeslagen wachtwoorden en schakel 2FA in op het account van de manager zelf.
Waarom het hoofdwachtwoord belangrijker is dan de keuze van de manager
Elke geauditeerde zero-knowledge-wachtwoordmanager beschermt je kluis met een sleutel die via een geheugen-intensieve KDF uit je hoofdwachtwoord wordt afgeleid (Argon2id is de huidige best practice; PBKDF2 met een hoog aantal iteraties is de oudere standaard). Als het hoofdwachtwoord kort of te raden is, is de sterkte van de encryptie irrelevant — een aanvaller die het versleutelde datablok steelt, kan het offline met brute kracht kraken. De oplossing is een wachtwoordzin: 4 tot 6 willekeurige woordenboekwoorden leveren ongeveer 50 tot 80 bits entropie op, meer dan welk wachtwoord dat kort genoeg is om comfortabel te typen.
Bronnen
Bitwarden-audits: bitwarden.com/help/is-bitwarden-audited. Bitwarden-broncode: github.com/bitwarden. Proton Pass: proton.me/pass/pricing + github.com/ProtonPass. KeePassXC: keepassxc.org + github.com/keepassxreboot/keepassxc. Argon2 (winnaar van de Password Hashing Competition): password-hashing.net/argon2-specs.pdf. Alle URL's geraadpleegd op 2026-04-30.