Wat is een security key en heb je er een nodig?

Stel je hebt al een sterk wachtwoord en sms-verificatie aan voor je belangrijkste accounts. Goed bezig, maar nog niet genoeg. Sms-codes worden onderschept via SIM-swap-aanvallen, en authenticator-apps zijn afhankelijk van je telefoon (verlies, malware, OS-bug). Een hardware security key, een fysiek apparaatje ter grootte van een USB-stick, is bewezen de sterkste vorm van twee-factor authenticatie. Google rapporteerde in 2018 nul succesvolle phishing-aanvallen op hun werknemers nadat ze hardware keys verplicht maakten.

In dit artikel leggen we uit hoe een security key werkt, voor wie het nuttig is, en hoe je begint.

Wat is een security key?

Een hardware security key is een fysiek apparaatje dat je inloggen verifieert via cryptografische uitwisseling. Je sluit hem aan via USB-A, USB-C of NFC, drukt op een knop, en je bent ingelogd. Geen codes, geen app, gewoon een fysieke handeling.

De technische standaard heet FIDO2/WebAuthn, gepushed door de FIDO Alliance (waarin Google, Apple, Microsoft en Yubico zitten). Inmiddels ondersteund door:

Google, Apple, Microsoft, Facebook, Twitter/X, GitHub, Dropbox
Wachtwoordmanagers zoals 1Password, Bitwarden en NordPass
Veel zakelijke tools (Salesforce, Okta, AWS, Azure AD)
Sommige Nederlandse banken en overheidsdiensten, al loopt Nederland qua adoptie achter

Bekende merken zijn YubiKey (Yubico), Nitrokey (Duits, open source) en Google Titan. Lees onze test van de en de voor concrete keuzes.

Hoe werkt het cryptografisch?

Bij registratie bij een dienst genereert de key een uniek sleutelpaar:

De publieke sleutel gaat naar de dienst en wordt opgeslagen op hun server.
De private sleutel blijft in de key, verlaat het apparaat nooit, ook niet bij firmware-updates.

Bij het inloggen stuurt de dienst een willekeurige uitdaging (“challenge”). De key tekent die met de private sleutel, je drukt op de knop ter bevestiging, en stuurt het resultaat terug. De server verifieert met de publieke sleutel.

Twee dingen maken dit phishing-immuun:

De challenge wordt gebonden aan het exacte domein. Een phishing-site (bijv. g00gle.com) krijgt geen handtekening, de key weigert simpelweg.
De private sleutel kan nooit gestolen worden via internet. Je zou de key fysiek moeten ontfutselen.

Domain binding in de praktijk

Stel een hacker maakt een perfecte kopie van je bank-loginpagina en stuurt je een phishing-mail. Met sms- of app-2FA zou je de code alsnog invoeren op de nepsite, de hacker logt vervolgens snel in op de echte. Met een security key gebeurt er niets: het domein klopt niet, dus de key reageert niet. Phishing onschadelijk.

Foto: cottonbro studio · Pexels

Voor wie is het de moeite waard?

Niet iedereen heeft een security key nodig. Wie wel:

Mensen met “sleutel-accounts”. Je primaire e-mail, wachtwoordmanager, en bankaccount zijn de poort tot al je andere accounts. Die verdienen de hoogste bescherming.
Iedereen met publieke zichtbaarheid. Journalisten, activisten, ondernemers, mensen met grote social-media-bereik, gerichte doelwitten van phishing.
Crypto-eigenaren. Een gehackt exchange-account betekent vaak permanent verlies, geen bank die kan terughalen.
Zzp’ers en kleine bedrijven. Eén gecompromitteerde admin-account kan je hele klantbestand raken.

Voor accounts met lage waarde (forums, Spotify, etc.) is een sterk wachtwoord uit je doorgaans voldoende.

Welke key past bij jou?

Drie keuzes om te maken:

Connector

USB-A voor oudere laptops en desktops.
USB-C voor moderne laptops en Android.
NFC voor draadloos gebruik op smartphones (tablet of telefoon tegen de key houden, geen kabel nodig).
Lightning voor oudere iPhones (iPhone 14 en ouder).

De meeste mensen kiezen USB-C plus NFC, werkt op laptop én telefoon.

Open source vs commercieel

YubiKey is gesloten firmware maar wereldwijd dominant en uitstekend ondersteund. Nitrokey is open source, in Duitsland geproduceerd en auditeerbaar, fijn voor wie maximale transparantie wil. Beide zijn cryptografisch even sterk.

Standaarden

Voor algemeen gebruik: FIDO2/U2F is voldoende. Wie ook PGP, SSH-sleutels of OTP-codes wil opslaan, heeft een YubiKey 5-serie of Nitrokey 3 nodig, die ondersteunen meer protocollen.

Onze volledige analyse staat in de.

Hoe begin je?

Stap 1: koop er twee. Eén primair, één back-up. Verlies van je enige key kan je permanent buiten een account zetten.

Stap 2: registreer beide bij elke ondersteunde dienst. Begin met je e-mail (Google, Outlook, ProtonMail), je wachtwoordmanager, en je belangrijkste social-media-accounts.

Stap 3: schakel zwakkere 2FA-methodes uit waar mogelijk. Zolang sms een terugvaloptie blijft, kan een aanvaller alsnog een SIM-swap gebruiken om je over te nemen.

Stap 4: bewaar de back-up-key apart. Bij voorkeur in een fysieke kluis of bij familie, niet in dezelfde tas als je primaire key.

Stap 5: combineer met een wachtwoordmanager + 2FA-app als extra laag voor diensten die nog geen FIDO2 ondersteunen.

Veelgestelde vragen

Wat als ik mijn key verlies? Met een geregistreerde back-up-key log je gewoon in. Verwijder de verloren key uit je account-instellingen en koop een nieuwe back-up.

Werkt het op mijn telefoon? Ja, moderne keys met NFC werken op iPhone (iOS 13.3+) en Android. Voor USB-C-modellen kun je rechtstreeks aansluiten op nieuwere telefoons.

Hoe lang gaat een key mee? Geen accu, dus zolang het USB- of NFC-circuit werkt. Yubico geeft 10+ jaar levensduur. Wel aanbevolen om elke 5-7 jaar te vervangen voor je back-up-pool.

Kan een hacker hem klonen? Niet zonder fysiek contact en gespecialiseerde apparatuur. Dit is geen reëel risico voor consumenten.

Een hardware key is een eenmalige investering van 30-70 euro die je belangrijkste accounts vrijwel onkraakbaar maakt voor afstandsaanvallen. Voor wie zijn primaire e-mail of wachtwoordmanager wil beschermen: zelden is veiligheid zo simpel.

Maak je accounts onkraakbaar

Beste hardware security key 2026