Elke keer dat je inlogt geef je iets prijs. De vraag is: hoeveel, aan wie, en hoe lang blijft het bewaard? De drie methoden hieronder laten zien hoe groot het verschil is.
Eigenschap
🔑 Wachtwoord
De klassieke methode — e-mail + wachtwoord
Verouderd
💬 WhatsApp-stijl
Login via telefoonnummer + sms-code
Populair
🔺 PrismPass
Drie factoren, geen centrale opslag
Privacy-first
Wat je invult
E-mailadres + wachtwoord
Elke keer opnieuw typen
Elke keer opnieuw typen
Telefoonnummer
Dan wachten op sms-code
Dan wachten op sms-code
Niets — vingerafdruk of gezicht
Op jouw apparaat, verlaat nooit het toestel
Op jouw apparaat, verlaat nooit het toestel
Wat de server opslaat
Jouw e-mail, een hash van je wachtwoord
Bij een datalek: jouw adres ligt op straat
Bij een datalek: jouw adres ligt op straat
Jouw telefoonnummer, logingeschiedenis
Gekoppeld aan apparaat en locatie
Gekoppeld aan apparaat en locatie
Alleen een wiskundig bewijs: "geldig"
Geen naam, geen adres, geen apparaat-ID
Geen naam, geen adres, geen apparaat-ID
Kan de server jou herkennen bij de volgende login?
Ja — altijd hetzelfde e-mailadres
Ja — altijd hetzelfde telefoonnummer
Nee — elke login genereert een nieuw bewijs
Sessies zijn niet aan elkaar koppelbaar
Sessies zijn niet aan elkaar koppelbaar
Wat bij een datalek?
Jouw e-mail + wachtwoordhash gestolen
Bruikbaar voor phishing en credential stuffing
Bruikbaar voor phishing en credential stuffing
Telefoonnummer + metadata gestolen
Bruikbaar voor sim-swap aanvallen — jouw nummer is je identiteit
Bruikbaar voor sim-swap aanvallen — jouw nummer is je identiteit
Niets bruikbaars gestolen
Server bewaart alleen onleesbare bewijzen
Server bewaart alleen onleesbare bewijzen
Wachtwoord vergeten?
E-mail met resetlink → nieuw wachtwoord kiezen
Geen wachtwoord → niet van toepassing
Geen wachtwoord → niet van toepassing
Vatbaar voor phishing?
Ja — valse site pikt je wachtwoord
Gedeeltelijk — sms-code kan onderschept worden
Nee — biometrie werkt alleen op jouw apparaat
Weet de dienst wie jij bent?
Ja — naam, e-mail, alles gekoppeld
Ja — telefoon als identiteit
Nee — tenzij jij dat zelf kiest (via PrismID)
Hoe gaat een login in de praktijk?
🔑 Wachtwoord-login
1.
Je typt je e-mailadres in
2.
Je typt je wachtwoord — de server vergelijkt met de opgeslagen hash
3.
De server onthoudt wie jij bent voor de volgende keer
4.
Jij bent ingelogd — maar de server weet nu ook je adres, je apparaat en wanneer je inlogt
⚠️ Bij een datalek bij de dienst staan jouw gegevens direct op straat.
💬 WhatsApp-stijl login
1.
Je geeft je telefoonnummer in
2.
Je ontvangt een sms-code — je typt die in
3.
De server koppelt jouw nummer aan je account
4.
Handig — maar de telecomoperator en de dienst weten allebei wie er inlogt
⚠️ Jouw telefoonnummer is je identiteit. Dat is makkelijk te misbruiken.
🔺 PrismPass login
1.
Je raakt je scherm aan — vingerafdruk of gezichtsherkenning op jouw apparaat
2.
Je horloge of telefoon levert een tijdgebonden code (max. 120 seconden geldig)
3.
De drie factoren samen maken een wiskundig bewijs — de server checkt alleen: klopt het?
4.
Ingelogd — de server weet niets over jou, alleen dat het bewijs geldig was
✓ De server slaat geen identiteitsdata op — by design kan de beheerder niet achterhalen wie er ingelogd is, zolang de architectuur correct geïmplementeerd is.
Wat ziet de server?
Bij elke succesvolle login
🔑 Wachtwoord-login
●jouw e-mailadres
●hash van je wachtwoord
●IP-adres
●datum + tijdstip
●browser + apparaattype
●koppelbaar aan eerdere sessies
💬 WhatsApp-stijl login
●jouw telefoonnummer
●apparaat-ID
●IP-adres
●datum + tijdstip
●IP-adres (globale locatie-indicatie)
●koppelbaar aan eerdere sessies via nummer
🔺 PrismPass login
●bewijs: geldig ✓
●naam of e-mail
●telefoonnummer
●IP-adres ¹
●biometrische data
●koppeling met andere sessies
Toelichting & bronnen
¹ Elk verzoek aan een webserver bevat technisch altijd een IP-adres — dat is hoe het internet werkt. PrismPass slaat dit niet op en koppelt het niet aan een identiteit of sessie. Bij wachtwoord- en telefoonnummer-login wordt het IP wél bewaard als onderdeel van het gebruikersprofiel.
WhatsApp-metadata: WhatsApp EEA Privacybeleid 2026 — "We retain information including your phone number, the time and date you make a call or send a message."
SMS-risico's: Mozilla Foundation WhatsApp Privacy Review 2025; iProov OTP Authentication Risks 2026.
WebAuthn/biometrie: W3C WebAuthn Level 3 — private key verlaat Secure Enclave nooit (by design, vastgelegd in standaard).
ZKP unlinkability: Cloudflare Research, "Zero-Knowledge Proofs for Private Web Attestation", 2021/2025.
¹ Elk verzoek aan een webserver bevat technisch altijd een IP-adres — dat is hoe het internet werkt. PrismPass slaat dit niet op en koppelt het niet aan een identiteit of sessie. Bij wachtwoord- en telefoonnummer-login wordt het IP wél bewaard als onderdeel van het gebruikersprofiel.
WhatsApp-metadata: WhatsApp EEA Privacybeleid 2026 — "We retain information including your phone number, the time and date you make a call or send a message."
SMS-risico's: Mozilla Foundation WhatsApp Privacy Review 2025; iProov OTP Authentication Risks 2026.
WebAuthn/biometrie: W3C WebAuthn Level 3 — private key verlaat Secure Enclave nooit (by design, vastgelegd in standaard).
ZKP unlinkability: Cloudflare Research, "Zero-Knowledge Proofs for Private Web Attestation", 2021/2025.
Zie het zelf in de demo
Log in met PrismPass en kijk live mee in de serverlog — wat wordt er geregistreerd, en wat niet. De server draait echt, de log is echt.
PrismPass · PrismShield · PrismID · PrismAdd
Werkende PoC — 25 april 2026 · I. Smid-Woelders, Zwolle
Bekijk het ecosysteem →
Werkende PoC — 25 april 2026 · I. Smid-Woelders, Zwolle