Moderniseer authenticatie met wachtwoorden, digitale referenties en meer.

Eiji Kitamura
Natalia Markoborodova

Gepubliceerd: 21 mei 2026

Tijdens Google I/O 2026 spraken we over een web waar inloggen geen vervelende klus is. Het moet een veilig, vereenvoudigd toegangspunt zijn dat gebruikers een veilig gevoel geeft. In dit artikel leggen we uit hoe je je accountprocessen kunt optimaliseren, de drempel kunt verlagen en mensen vanaf het begin kunt beschermen.

Snel toegang

Waarom modernisering belangrijk is

Een onoverzichtelijk proces (zoals rommelige aanmeldformulieren, die irritante "wachtwoord vergeten"-lus of een muur van inlogknoppen) verpest de sfeer. Het zijn "context-switch killers" die gebruikers afschrikken. Ouderwetse wachtwoorden en eenmalige wachtwoorden (OTP's) maken mensen bovendien erg kwetsbaar voor phishing.

Elke seconde wrijving is een kans voor een gebruiker om af te haken. Het moderniseren van je authenticatie beschermt je systemen en je gebruikers. Door elk contactpunt in het identiteitsproces soepeler te laten verlopen, verhoog je vanzelf je conversieratio's. Zo behaalde pixiv bijvoorbeeld een verbluffend succespercentage van 99% bij het inloggen (een verbetering van 29% ten opzichte van wachtwoorden) na de implementatie van passkeys. Het afstappen van zwakke inloggegevens maakt alles sneller en veiliger.

Vereenvoudig het aanmaken van accounts.

De eerste interactie van een gebruiker met uw app bepaalt de sfeer. Het stroomlijnen van accountaanmaak is de eerste stap naar een betere acceptatie en veiligheid.

Identiteitsfederatie als primaire methode voor het aanmaken van accounts.

Je kunt je gebruikers de tijdrovende formulieren voor het aanmaken van accounts laten overslaan door gebruik te maken van identiteitsfederatie . Hiermee kunnen gebruikers zich registreren via een vertrouwde provider zoals Google. Dit zorgt voor een robuuste en gestroomlijnde registratie-ervaring, waardoor gebruikers zonder de gebruikelijke registratieprocedure toegang krijgen tot je app.

Dankzij federatie hoeven gebruikers hun naam of e-mailadres niet handmatig in te voeren. Omdat de aanbieder ze al heeft geverifieerd, kunt u overbodige stappen voor onafhankelijke verificatie overslaan en meer mensen toegang verlenen.

Daarnaast biedt de implementatie van een federatieve identiteitsoplossing de mogelijkheid om het beveiligingsniveau van een gespecialiseerde IdP (Identity Provider) over te nemen. Omdat IdP's gespecialiseerd zijn in identiteit en beveiliging, elimineert het gebruik van hun infrastructuur het risico van het volledig opnieuw opbouwen van authenticatie.

Neem de FedCM API (Federated Credential Management) in gebruik.

Als u als identiteitsprovider (IdP) optreedt, raden we aan de FedCM API te gebruiken. Deze API handelt de interactie af via de browserinterface, wat de privacy beschermt door tracking te voorkomen en gebruikers een inlogmogelijkheid met één tik biedt. Bovendien zorgt de API voor een overzichtelijkere interface doordat alleen relevante accounts worden weergegeven.

Een dialoogvenster voor de actieve FedCM-aanmelding op het bureaublad, waarin een gebruiker wordt gevraagd zich aan te melden met zijn of haar account. Het dialoogvenster bevat een logo en opties om in te loggen bij de Relying Party (RP) met het huidige account van de Identity Provider (IdP), een ander account te kiezen of te annuleren. Het dialoogvenster is gecentreerd en groter dan het dialoogvenster voor de passieve modus.
FedCM: Dialoogvenster voor de gebruikersinterface in actieve modus. Lees meer over de beschikbare gebruikersinterface-modi die FedCM biedt.

Het "eerst federeren, dan upgraden"-patroon

De federatie-en-upgrade-functie combineert de snelheid van federatie met de langetermijnbeveiliging van wachtwoorden. Als u direct na een federatieve registratie om een ​​wachtwoord vraagt , is de volgende login van de gebruiker vanaf dag één beschermd tegen phishing.

Optimaliseer formulieren voor automatisch invullen.

Als handmatige formulieren nodig zijn, gebruik dan beschrijvende name en id attributen en correcte autocomplete waarden, zodat de browser de velden voor de gebruiker kan invullen. Dit vermindert de mentale belasting en de kans op typefouten tijdens het aanmeldingsproces. Zie onze best practices voor aanmeldingsformulieren voor meer informatie over formulieroptimalisatie.

<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">

<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">

Wrijvingsloze attribuutverificatie

Als je gebruikers dwingt je app te verlaten om een ​​code in hun e-mail te controleren, daalt je conversieratio. Deze contextwisseling zorgt ervoor dat mensen afgeleid raken en niet meer terugkomen.

Maak kennis met het Email Verification Protocol (EVP).

Het Email Verification Protocol (EVP) , een opkomende functie, stelt uw applicatie in staat om rechtstreeks via de browser een geverifieerd e-mailadres te verkrijgen.

Om deze functie te activeren, voegt u een verborgen invoerveld toe met het attribuut autocomplete="email-verification-token" en een challenge . De browser analyseert het e-maildomein uit het invoerveld en vraagt ​​de e-mailuitgever om te verifiëren dat de gebruiker de controle over dit e-mailadres heeft. Na succesvolle verificatie toont de browser een geverifieerd e-mailbericht dat uw backend direct kan verifiëren. Voor de gebruiker verloopt dit proces naadloos; die ziet alleen een melding na e-mailverificatie.

EVP maakt een einde aan de wrijving die mensen afschrikt (zoals verborgen links of OTP-e-mails) bij het inloggen, registreren en resetten van wachtwoorden.

<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">

Houd er rekening mee dat het aan de individuele e-mailproviders is om EVP te ondersteunen. Neem contact op met uw provider om te controleren of zij van plan zijn EVP te ondersteunen. Als u een eigen domein heeft, kunt u dit mogelijk koppelen aan een e-mailprovider die EVP ondersteunt.

Aangezien dit zich nog in een experimentele fase bevindt, stellen we uw feedback over deze functie in de GitHub-repository zeer op prijs.

Voorbeeld van het Email Verification Protocol (EVP)-proces.

API voor digitale referenties

Voor gevoelige gegevens zoals een officiële naam of leeftijd biedt de Digital Credentials API een manier om geverifieerde gegevens uit de digitale portemonnee van een gebruiker op te vragen via browserbemiddeling met behulp van selectieve openbaarmaking . Dit betekent dat u kunt verifiëren dat een gebruiker een bepaalde leeftijd heeft bereikt, zonder daadwerkelijk de volledige geboortedatum of officiële naam te ontvangen, waardoor de privacy van de gebruiker gewaarborgd blijft.

Zie Digital Credentials API: Veilige en privé-identiteit op het web .

Implementeer wachtwoorden voor een probleemloze aanmelding.

Passkeys zijn meer dan alleen een vervanging voor wachtwoorden. Ze betekenen een fundamentele verschuiving naar naadloze, phishingbestendige authenticatie.

Directe UI-modus

Vanaf Chrome versie 149 is de Immediate UI Mode beschikbaar. Hiermee kan de website direct controleren of er inloggegevens aanwezig zijn zodra een gebruiker de site bezoekt. Als er een toegangscode of wachtwoord in de wachtwoordmanager staat, zorgt de browser ervoor dat er direct een lijst met beschikbare accounts in een inlogvenster verschijnt.

Dit maakt het overbodig voor de gebruiker om een ​​aanmeldmethode te selecteren. Door proactief de inloggegevens voor het geselecteerde account aan te bieden, creëer je een naadloze "één-tik"-ervaring die voor de gebruiker als magie aanvoelt.

const credential = await navigator.credentials.get({
  password: true,
  uiMode: 'immediate',
  publicKey: publicKeyObject,
});

Zie de directe gebruikersinterface-modus voor aanmeldingen .

Automatisch invullen van wachtwoordformulieren: Gebruik de automatische formulierinvulfunctie tijdens de overgang naar wachtwoorden.

Voor gebruikers van een website die overstapt van wachtwoorden naar toegangscodes, zorgt de automatische invulling van toegangscodes ervoor dat toegangscodes verschijnen in de suggesties voor automatisch invullen zodra het invoerveld is geselecteerd. Dit betekent dat als een gebruiker al een toegangscode heeft, deze automatisch wordt ingevuld zodra het gebruikersnaamveld in een inlogformulier is geselecteerd. Als de gebruiker geen toegangscode heeft, kan hij of zij nog steeds het opgeslagen wachtwoord gebruiken.

Voorbeeld van het selecteren van een wachtwoord via automatisch invullen van een formulier.

Om dit mogelijk te maken, voeg je de annotatie autocomplete="username webauthn" toe aan je gebruikersnaamveld en stel je de mediation in op 'conditional' wanneer je navigator.credentials.get() aanroept.

Dit is een cruciale stap in de overgang naar een wachtwoordloze toekomst, omdat gebruikers hiermee op een vertrouwde manier vertrouwd raken met toegangscodes.

Bekijk de authenticatiechecklist voor Passkeys .

Strategische acceptatie van toegangscodes

Acceptatie is vaak een kwestie van timing. Door een gebruiker op het juiste moment aan te sporen, kan de kans dat hij of zij een toegangscode invoert aanzienlijk worden vergroot.

Automatische aanmaak van wachtwoorden

Niemand wil in zijn beveiligingsinstellingen duiken om een ​​nieuwe inlogmethode in te stellen. Hoe en wanneer moet je gebruikers die nog met een wachtwoord werken, aanmoedigen om over te stappen op een wachtwoord?

Dat is waar automatische wachtwoordaanmaak van pas komt. Met Conditional Create kan de browser gebruikers met een wachtwoord automatisch upgraden naar wachtwoorden op het moment dat een gebruiker inlogt met zijn wachtwoordbeheerder.

Passkey-aanvraagproces met voorwaardelijke aanmaak.

Door mediation: 'conditional' door te geven aan de navigator.credentials.create() API, die wordt geactiveerd door de recente succesvolle aanmelding van de gebruiker met het wachtwoord dat is opgeslagen in de wachtwoordmanager, genereert de browser automatisch een nieuwe toegangscode zonder dat de gebruiker extra instelschermen hoeft te doorlopen.

Dankzij een probleemloze registratie hoeven gebruikers niet bewust te kiezen voor een betere beveiliging. Dit gebeurt automatisch en beschermt hen zonder extra inspanning. Adidas zag bijvoorbeeld een stijging van 8% in het aantal aangemaakte wachtwoorden met deze automatische registratiemethode.

await navigator.credentials.create({
  mediation: 'conditional',
  publicKey: { ... },
});

Bekijk de checklist voor Passkeys-registratie.

Beheer van toegangscodes en veerkrachtig herstel

Het is belangrijk dat gebruikers hun inloggegevens altijd bij de hand hebben op alle apparaten, websites en diensten. Daarnaast is het essentieel dat ze deze gegevens beheren en hun accounts kunnen herstellen als een apparaat verloren of gestolen raakt.

Consistentie tussen verschillende platformen

Als u meerdere applicaties (bijvoorbeeld een Android-app en een website, of meerdere websites) beheert die hetzelfde inlogsysteem delen, kunt u de gebruikerservaring verbeteren. Dankzij naadloze uitwisseling van inloggegevens kunnen wachtwoordmanagers de juiste inloggegevens aan uw gebruikers voorstellen voor al uw applicaties.

Naadloos delen van inloggegevens bestaat uit twee technologieën: digitale activa-links voor wachtwoorden en gerelateerde oorsprongsverzoeken voor toegangssleutels.

Met Digital Asset Links zorgt u ervoor dat wachtwoorden die u online aanmaakt, beschikbaar zijn in uw Android-app, en omgekeerd. Het stelt wachtwoordmanagers ook in staat om een ​​reeds opgeslagen wachtwoord voor te stellen voor verschillende domeinen die u bezit en die dezelfde authenticatie-backend delen.

Gebruik Related Origin Requests om wachtwoorden beschikbaar te maken voor verschillende domeinen en apps via de gebruikersreferentiebeheerder.

Dit is slechts één van de manieren waarop u het inlogproces voor uw gebruikers kunt verbeteren.

Geef gebruikers de mogelijkheid om hun wachtwoord te beheren via een pagina.

Voorbeeld van een pagina voor wachtwoordbeheer met voorbeelden van goede werkwijzen.

Voor een geavanceerde wachtwoordbeheerervaring raden we aan een speciale pagina voor wachtwoordbeheer te maken met duidelijke providernamen, gebruikstijden en beheermogelijkheden. Dit helpt gebruikers hun instellingen met vertrouwen te beheren. Transparantie schept vertrouwen.

Bekijk de checklist voor Passkeys-beheer .

Veerkrachtig accountherstel

Apparaten kunnen verloren gaan of geüpgraded worden. Wachtwoorden zijn inherent robuust omdat ze gebruikmaken van hardwarematige beveiliging en doorgaans ook in de cloud worden gesynchroniseerd, waardoor gebruikers ze op een nieuw apparaat kunnen herstellen. Een back-up zoals een geverifieerd e-mailadres zorgt er echter voor dat uw gebruikers nooit de toegang tot hun digitale leven verliezen.

In plaats van iemand in de wacht te laten staan ​​voor een telefoontje naar de helpdesk, kunt u bewijzen dat die persoon de eigenaar is door gebruik te maken van signalen die u al vertrouwt, zoals identiteitsfederatie of e-mailverificatie.

Door deze signalen te combineren in een herstelstrategie kunt u direct de toegang herstellen. Zodra ze weer toegang hebben, registreer dan onmiddellijk een nieuwe toegangscode zodat ze beschermd zijn tegen nieuwe phishingaanvallen.

Sessies beschermen met DBSC

Om gebruikers te beschermen tegen accountkapingen, is het veilig bewaren van hun sessiecookies een belangrijke extra verdedigingslinie. Device Bound Session Credentials (DBSC) is een manier om een ​​sessie aan de hardware te koppelen. Dit beperkt de kans op sessiekaping, omdat zelfs als een cookie wordt gestolen, alleen hetzelfde apparaat een nieuwe aanvraag voor de cookie kan indienen. Dit voegt in feite een extra beveiligingslaag toe aan uw sessie.

DBSC is een experimentele functie die nu beschikbaar is op Windows. Meer informatie over deze update vindt u in de aankondiging over apparaatgebonden sessiegegevens op Windows . We werken er ook aan om de DBSC-ondersteuning uit te breiden naar macOS.

Passkeys agentvaardigheden

We hebben Passkey-vaardigheden, die veel van de in dit bericht beschreven aspecten omvatten, opgenomen in ons project 'Moderne webbegeleiding' . Binnenkort publiceren we een blogbericht specifiek over Passkey-vaardigheden.

Ben je klaar om de toekomst van authenticatie vorm te geven?

Ontdek onze uitgebreide handleidingen en begin vandaag nog met moderniseren: