Inloggen met passkeys: de beste Joomla-functie die je waarschijnlijk hebt genegeerd
Wees eerlijk. Wanneer je een nieuwe Joomla-site opzet en je ziet een inlogoptie die je niet direct herkent, schakel je die dan in — of kies je toch weer voor een gewoon wachtwoord zoals altijd?
Als het laatste klopt, ben je zeker niet de enige. En dat is eigenlijk best jammer. Joomla ondersteunt namelijk al jaren een uitstekend, phishing-bestendig en wachtwoordloos inlogsysteem. Alleen noemden we het lang onder een naam die niemand echt begreep.
Dat is nu veranderd: het heet simpelweg passkeys.
Het is niet nieuw — alleen hernoemd
Joomla heeft geen nieuwe technologie toegevoegd om mee te gaan met de hype. De ondersteuning bestaat al sinds Joomla 4.0, gebaseerd op de WebAuthn-standaard (W3C Web Authentication). Het grootste deel is ontwikkeld door Nicholas K. Dionysopoulos.
Het was destijds eigenlijk zijn tijd vooruit. Alleen stond het in de interface onder de naam “W3C Web Authentication (WebAuthn) Login”. En dat is precies het soort term waar de meeste sitebeheerders snel van afhaken.
Daarom werd voorgesteld om het te hernoemen naar wat inmiddels de standaardterm is geworden bij Apple, Google, Microsoft en de FIDO Alliance: passkeys.
In Joomla 6.1 zie je nu gewoon:
-
“Passkey Login” in je profiel
-
“System - Passkey (Passwordless) Login” als plugin
Zelfde techniek, duidelijkere naam.
Wat is een passkey eigenlijk?
Een wachtwoord is een gedeeld geheim: jij kent het, de website kent het, en wie het steelt kan overal inloggen.
Een passkey werkt fundamenteel anders:
-
Je apparaat maakt een cryptografisch sleutelpaar aan
-
De publieke sleutel gaat naar de website
-
De private sleutel blijft altijd op je apparaat
-
Bij inloggen onderteken je een challenge met je vingerafdruk, gezichtsherkenning of PIN
De website kan dus nooit een “wachtwoord” stelen, want dat bestaat niet.
Belangrijk detail: een passkey is gekoppeld aan de exacte website. Een nep-loginpagina werkt niet, zelfs als die er echt uitziet. Dat maakt phishing praktisch onmogelijk.
Volgens Microsoft slagen passkey-logins in ongeveer 98% van de gevallen, tegenover 32% bij wachtwoorden, en ze zijn ook nog eens sneller.
Wereldwijd worden inmiddels miljarden passkeys gebruikt en alle grote platformen ondersteunen ze standaard.
MFA is niet hetzelfde als passkeys
Joomla ondersteunt al Multi-Factor Authentication (MFA). Dat is een extra stap bovenop je wachtwoord.
Passkeys gaan verder: ze vervangen het wachtwoord volledig.
-
MFA = wachtwoord + extra controle
-
Passkeys = alleen de sleutel, geen wachtwoord meer
Dat is precies waarom passkeys veel beter bestand zijn tegen phishing: er is simpelweg geen wachtwoord meer om te stelen.
Hoe zet je het aan in Joomla?
De installatie is verrassend eenvoudig.
Vereisten:
-
HTTPS (bijvoorbeeld Let’s Encrypt)
-
PHP OpenSSL extensie
-
GMP of BCMath extensie
Stappen:
-
Controleer of de plugin System - Passkey (Passwordless) Login actief is
-
Log één keer in met gebruikersnaam en wachtwoord
-
Ga naar je profiel → “Passkey Login”
-
Klik op “Add New Passkey”
-
Bevestig via je browser of apparaat (vingerafdruk, Face ID, Windows Hello, etc.)
Vanaf dat moment kun je inloggen zonder wachtwoord.

Hoe kun je inloggen met passkeys?
Je kunt o.a. gebruiken:
-
Face ID / Touch ID (Apple)
-
Windows Hello
-
Android biometrie
-
Hardware security keys (zoals YubiKey)
-
Password managers zoals Bitwarden of 1Password
Je passkey kan ook synchroniseren tussen apparaten, waardoor je hem overal kunt gebruiken.
Is meer dan één passkey handig?
Ja — en niet om de reden die je misschien denkt.
Het gaat niet om “meer aanvalsvectoren”, want alle passkeys zijn cryptografisch sterk en phishing-resistent. Het echte voordeel is:
-
je raakt niet buitengesloten bij verlies van een apparaat
-
je hebt altijd een back-up loginmethode
Belangrijk: een 2FA-code (zoals een authenticator-app) is géén passkey.
De echte zwakke plek blijft altijd het wachtwoord — zolang dat nog actief is. Daarom is het verstandig om wachtwoordlogin uiteindelijk uit te schakelen zodra je volledig overstapt.
Waar gaat dit naartoe?
De volgende stap is logisch: inloggen zonder zelfs een gebruikersnaam te typen.
En uiteindelijk:
-
geen wachtwoorden meer
-
geen phishing van wachtwoorden meer
-
geen brute-force aanvallen op wachtwoorden meer
Dat hele probleemgebied verdwijnt simpelweg.
Conclusie
Passkeys zijn geen nieuwe feature, maar een vergeten juweel dat Joomla al jaren ondersteunt. De enige echte verandering is dat we het nu eindelijk begrijpelijk hebben genoemd.
Als je het nog niet hebt geprobeerd: zet het aan. Het kost een paar minuten en verandert je manier van inloggen direct.
En eerlijk gezegd: zodra je het eenmaal gebruikt hebt, voelt een wachtwoord al snel ouderwets.