Elke keer dat je inlogt geef je iets prijs. De vraag is: hoeveel, aan wie, en hoe lang blijft het bewaard? De drie methoden hieronder laten zien hoe groot het verschil is.
Eigenschap
π Wachtwoord
De klassieke methode β e-mail + wachtwoord
Verouderd
π¬ WhatsApp-stijl
Login via telefoonnummer + sms-code
Populair
πΊ PrismPass
Drie factoren, geen centrale opslag
Privacy-first
Wat je invult
E-mailadres + wachtwoord
Elke keer opnieuw typen
Elke keer opnieuw typen
Telefoonnummer
Dan wachten op sms-code
Dan wachten op sms-code
Niets β vingerafdruk of gezicht
Op jouw apparaat, verlaat nooit het toestel
Op jouw apparaat, verlaat nooit het toestel
Wat de server opslaat
Jouw e-mail, een hash van je wachtwoord
Bij een datalek: jouw adres ligt op straat
Bij een datalek: jouw adres ligt op straat
Jouw telefoonnummer, logingeschiedenis
Gekoppeld aan apparaat en locatie
Gekoppeld aan apparaat en locatie
Alleen een wiskundig bewijs: "geldig"
Geen naam, geen adres, geen apparaat-ID
Geen naam, geen adres, geen apparaat-ID
Kan de server jou herkennen bij de volgende login?
Ja β altijd hetzelfde e-mailadres
Ja β altijd hetzelfde telefoonnummer
Nee β elke login genereert een nieuw bewijs
Sessies zijn niet aan elkaar koppelbaar
Sessies zijn niet aan elkaar koppelbaar
Wat bij een datalek?
Jouw e-mail + wachtwoordhash gestolen
Bruikbaar voor phishing en credential stuffing
Bruikbaar voor phishing en credential stuffing
Telefoonnummer + metadata gestolen
Bruikbaar voor sim-swap aanvallen β jouw nummer is je identiteit
Bruikbaar voor sim-swap aanvallen β jouw nummer is je identiteit
Niets bruikbaars gestolen
Server bewaart alleen onleesbare bewijzen
Server bewaart alleen onleesbare bewijzen
Wachtwoord vergeten?
E-mail met resetlink β nieuw wachtwoord kiezen
Geen wachtwoord β niet van toepassing
Geen wachtwoord β niet van toepassing
Vatbaar voor phishing?
Ja β valse site pikt je wachtwoord
Gedeeltelijk β sms-code kan onderschept worden
Nee β biometrie werkt alleen op jouw apparaat
Weet de dienst wie jij bent?
Ja β naam, e-mail, alles gekoppeld
Ja β telefoon als identiteit
Nee β tenzij jij dat zelf kiest (via PrismID)
Hoe gaat een login in de praktijk?
π Wachtwoord-login
1.
Je typt je e-mailadres in
2.
Je typt je wachtwoord β de server vergelijkt met de opgeslagen hash
3.
De server onthoudt wie jij bent voor de volgende keer
4.
Jij bent ingelogd β maar de server weet nu ook je adres, je apparaat en wanneer je inlogt
β οΈ Bij een datalek bij de dienst staan jouw gegevens direct op straat.
π¬ WhatsApp-stijl login
1.
Je geeft je telefoonnummer in
2.
Je ontvangt een sms-code β je typt die in
3.
De server koppelt jouw nummer aan je account
4.
Handig β maar de telecomoperator en de dienst weten allebei wie er inlogt
β οΈ Jouw telefoonnummer is je identiteit. Dat is makkelijk te misbruiken.
πΊ PrismPass login
1.
Je raakt je scherm aan β vingerafdruk of gezichtsherkenning op jouw apparaat
2.
Je horloge of telefoon levert een tijdgebonden code (max. 120 seconden geldig)
3.
De drie factoren samen maken een wiskundig bewijs β de server checkt alleen: klopt het?
4.
Ingelogd β de server weet niets over jou, alleen dat het bewijs geldig was
β De server slaat geen identiteitsdata op β by design kan de beheerder niet achterhalen wie er ingelogd is, zolang de architectuur correct geΓ―mplementeerd is.
Wat ziet de server?
Bij elke succesvolle login
π Wachtwoord-login
βjouw e-mailadres
βhash van je wachtwoord
βIP-adres
βdatum + tijdstip
βbrowser + apparaattype
βkoppelbaar aan eerdere sessies
π¬ WhatsApp-stijl login
βjouw telefoonnummer
βapparaat-ID
βIP-adres
βdatum + tijdstip
βIP-adres (globale locatie-indicatie)
βkoppelbaar aan eerdere sessies via nummer
πΊ PrismPass login
βbewijs: geldig β
βnaam of e-mail
βtelefoonnummer
βIP-adres ΒΉ
βbiometrische data
βkoppeling met andere sessies
Toelichting & bronnen
ΒΉ Elk verzoek aan een webserver bevat technisch altijd een IP-adres β dat is hoe het internet werkt. PrismPass slaat dit niet op en koppelt het niet aan een identiteit of sessie. Bij wachtwoord- en telefoonnummer-login wordt het IP wΓ©l bewaard als onderdeel van het gebruikersprofiel.
WhatsApp-metadata: WhatsApp EEA Privacybeleid 2026 β "We retain information including your phone number, the time and date you make a call or send a message."
SMS-risico's: Mozilla Foundation WhatsApp Privacy Review 2025; iProov OTP Authentication Risks 2026.
WebAuthn/biometrie: W3C WebAuthn Level 3 β private key verlaat Secure Enclave nooit (by design, vastgelegd in standaard).
ZKP unlinkability: Cloudflare Research, "Zero-Knowledge Proofs for Private Web Attestation", 2021/2025.
ΒΉ Elk verzoek aan een webserver bevat technisch altijd een IP-adres β dat is hoe het internet werkt. PrismPass slaat dit niet op en koppelt het niet aan een identiteit of sessie. Bij wachtwoord- en telefoonnummer-login wordt het IP wΓ©l bewaard als onderdeel van het gebruikersprofiel.
WhatsApp-metadata: WhatsApp EEA Privacybeleid 2026 β "We retain information including your phone number, the time and date you make a call or send a message."
SMS-risico's: Mozilla Foundation WhatsApp Privacy Review 2025; iProov OTP Authentication Risks 2026.
WebAuthn/biometrie: W3C WebAuthn Level 3 β private key verlaat Secure Enclave nooit (by design, vastgelegd in standaard).
ZKP unlinkability: Cloudflare Research, "Zero-Knowledge Proofs for Private Web Attestation", 2021/2025.
Zie het zelf in de demo
Log in met PrismPass en kijk live mee in de serverlog β wat wordt er geregistreerd, en wat niet. De server draait echt, de log is echt.
PrismPass Β· PrismShield Β· PrismID Β· PrismAdd
Werkende PoC β 25 april 2026 Β· I. Smid-Woelders, Zwolle
Bekijk het ecosysteem →
Werkende PoC β 25 april 2026 Β· I. Smid-Woelders, Zwolle