OpenAI heeft Advanced Account Security geïntroduceerd, een nieuwe beveiligingsoptie voor ChatGPT die de bescherming van persoonlijke accounts aanzienlijk versterkt. Deze functie is ontworpen voor gebruikers die een hoger risico lopen op digitale aanvallen, zoals journalisten, onderzoekers, politici, activisten, cybersecurity-professionals of personen die werken met gevoelige informatie. Uiteraard kan iedere in aanmerking komende persoonlijke gebruiker deze optie activeren om het beveiligingsniveau te verhogen.
Deze ontwikkeling bevestigt een duidelijke trend: AI-accounts beginnen steeds meer te lijken op kritieke systemen. Ze bevatten niet alleen losse vragen of triviale gesprekken, maar ook professionele context, conceptnotities, code, documenten, productideeën, persoonlijke gegevens, integraties met externe tools en volledige workflows. In dat scenario is een accountovername niet slechts een ongemak—het kan leiden tot datalekken, intellectuele eigendom blootstelling of toegang tot verbonden omgevingen.
Passkeys en fysieke sleutels als nieuw beveiligingskader
De meest opvallende maatregel binnen Advanced Account Security is het verwijderen van wachtwoordtoegang. Na activering verlangt ChatGPT dat je inlogt met passkeys of met fysieke sleutels die FIDO-compatibel zijn, zoals een YubiKey of vergelijkbare apparaten. Daarnaast schakelt OpenAI inlogcodes via e-mail of SMS uit en blokkeert de standaardhersteloptie via die kanalen.
Vanuit technisch perspectief is deze keuze logisch. Wachtwoorden blijven een van de meest geëxploiteerde beveiligingszwaktes: ze worden hergebruikt, gelekt, slecht opgeslagen, gefopt via phishing of eindigen in datalekken. SMS-beveiliging is ook niet ideaal voor gevoelige accounts vanwege risico’s met duplicatie van SIM-kaarten, doorsturen, social engineering of toestelcompromis.
Passkeys en fysieke sleutels minimaliseren dat risico aanzienlijk omdat ze gebruikmaken van asymmetrische cryptografie en ontworpen zijn om phishingaanvallen te weerstaan. Bij pogingen om in te loggen via een valse website authenticeren de sleutels geen toegang, in tegenstelling tot invoer van wachtwoorden. Voor hoog-risicogebruikers is dat verschil cruciaal.
OpenAI werkt daarnaast samen met Yubico voor het aanbieden van beveiligingspakketten met gereduceerde prijzen. Daarbij wordt een YubiKey C Nano voorgesteld, die voor permanente verbinding met de laptop geschikt is, en een YubiKey C NFC voor back-up en gebruik op andere apparaten. Het gebruik van YubiKeys is echter niet verplicht; andere FIDO-compatibele sleutels of softwaregebaseerde passkeys kunnen ook ingezet worden.
Strengere herstelprocedures voor meer beveiliging
Een minder comfortabele kant van deze beveiligingsmaatregel is het accountherstel. Advanced Account Security biedt een hogere bescherming tegen accountkapingen, maar vergt meer discipline van de gebruiker. Om de functie te activeren, moeten ten minste twee veilige inlogmethoden worden ingesteld, inclusief één die op meerdere apparaten werkt. Ook is het noodzakelijk om herstelcodes te bewaren.
Verlies je alle passkeys, fysieke sleutels en herstelcodes, dan loop je het risico de toegang tot je account te verliezen. OpenAI waarschuwt dat haar supportteam met standaardmethoden geen account meer kan herstellen: e-mailherstel, wachtwoordreset, het uitschakelen van Advanced Account Security of toevoegen/verwijderen van inlogmethoden is niet meer mogelijk zolang de bescherming actief is.
Deze aanpak maakt de functie krachtig, maar niet zonder voorbereiding te activeren. Het wordt aanbevolen om een hoofd-sleutel voor dagelijks gebruik te hebben, een back-up op een veilige plek te bewaren en herstelcodes extern op te slaan. Iedere herstelcode kan slechts één keer gebruikt worden en, bij twijfel over blootstelling, kunnen deze worden vervangen via de beveiligingsinstellingen.
Verder introduceert OpenAI een wachttijd van 48 uur bij het herstelproces met een geldige sleutel. Deze maatregel beperkt de mogelijkheid van aanvallers om direct controle over de account te verkrijgen, nadat ze een herstelcode bemachtigen. Voor legitieme gebruikers kan dat ongemakkelijk zijn, maar voor waardevolle accounts is het vooral een veiligheidsmaatregel om tijd te winnen tijdens pogingen tot kaping.
Kortere sessies en automatische uitsluiting van training
Advanced Account Security verkort tevens de duur van actieve sessies. Gebruikers moeten vaker inloggen, wat het risico vermindert bij een apparaat dat wordt gecompromitteerd of een open sessie die in verkeerde handen valt. De functie biedt loginmeldingen en beheeropties voor actieve sessies op verschillende apparaten.
Een ander belangrijk aspect is dat, met Advanced Account Security in werking, de gesprekken niet worden gebruikt voor het trainen van OpenAI-modellen. Voor gebruikers die met zeer gevoelige informatie werken, betekent dit automatisch uitsluiten dat die data wordt gebruikt voor modeltraining, zonder dat hiervoor extra instellingen nodig zijn.
De beveiligingsmaatregel geldt zowel voor ChatGPT als voor Codex wanneer deze via hetzelfde account worden gebruikt. Dit is relevant voor ontwikkelaars, omdat Codex mogelijk toegang geeft tot programmeeromgevingen, repositories of workflows met gevoelige code. Het beschermen van die accounts wordt zo onderdeel van de software-ontwikkelketen.
OpenAI koppelt deze functie bovendien aan haar Trusted Access for Cyber-programma. Zogenoemde ’trusted users’ die toegang krijgen tot krachtigere modellen voor cyberbeveiligingsdoeleinden moeten vanaf 1 juni 2026 Advanced Account Security inschakelen. Organisaties kunnen in plaats daarvan aantonen dat ze al gebruikmaken van phishing-resistente authenticatie via hun SSO-systeem.
Een beveiligingslaag voor persoonlijke accounts, niet voor Enterprise
Een belangrijke beperking is dat Advanced Account Security enkel beschikbaar is voor in aanmerking komende persoonlijke ChatGPT-accounts in ondersteunde regio’s. Het geldt niet voor ChatGPT Enterprise, gestionedAccounts of accounts gekoppeld aan bedrijfiedomains. In zakelijk omgevingen passen organisaties meestal eigen policies toe voor identiteit, SSO, MFA, SCIM, apparaatbeheer en andere beveiligingsmaatregelen.
OpenAI geeft aan dat ze deze functies mogelijk verder wil uitbreiden naar zakelijke contexten, omdat de integratie van AI-systemen in bedrijfsprocessen de beveiliging rondom identiteit net zo cruciaal maakt als dataverkeer en API-beveiliging. In bedrijfsomgevingen zal dit altijd gecombineerd worden met centrale beleidslijnen, auditlogs, toegangsbeheer en incidentrespons.
Voor individuele gebruikers ligt de focus op het beveiligen van persoonlijke accounts. Mensen die ChatGPT gebruiken voor gevoelige taken zouden hun beveiligingsinstellingen moeten herzien. Advanced Account Security kan een goede keuze zijn, maar vereist wel een voorbereiding en discipline. Voor wie een minder strenge aanpak prefereert, behoudt OpenAI basisadviezen: sterke wachtwoorden, gebruik van een wachtwoordmanager, multifactor authenticatie en voorzichtigheid met links en verdachte e-mails.
De komst van deze functie onderstreept tevens dat AI-beveiliging meer is dan contentfilters of gebruikscontroles. Het begint bij iets fundamentelers: voorkomen dat accounts in verkeerde handen vallen. Naarmate deze systemen meer context verzamelen, wordt die waarde voor aanvallers groter.
Voorheen was wachtwoordbeveiliging voldoende toen services minder geïntegreerd en risicovol waren. In een tijd van verbonden agenten, geautomatiseerde code, geïntegreerde tools en contextuele chatgeschiedenis is dat niet meer voldoende. OpenAI stuurt gebruikers met hogere risico’s naar een model dat veiliger is zonder wachtwoord, SMS of zwakke kanalen. Het is misschien minder comfortabel, maar veel geschikter voor de digitale infrastructuur van vandaag en morgen.
Veelgestelde vragen
Wat is OpenAI’s Advanced Account Security?
Een geavanceerde beveiligingsfunctie voor in aanmerking komende persoonlijke ChatGPT-accounts. Het versterkt inloggen, verwijdert wachtwoorden en kwetsbare herstelkanalen, verkort sessies en biedt meer inzicht in toegangsactiviteiten.
Welke inlogmethoden vereist het?
Passkeys of fysieke beveiligingssleutels die FIDO-compatibel zijn. Bij activering moeten minstens twee veilige methoden worden ingesteld, inclusief één die op meerdere apparaten werkt.
Wat gebeurt er als ik mijn sleutels of passkeys verlies?
Dan heb je de herstelcodes nodig die je hebt opgeslagen. Verlies je alle inlogmethoden en herstelcodes, dan waarschuwt OpenAI dat je mogelijk de toegang tot je account verliest.
Is Advanced Account Security beschikbaar voor bedrijven?
Niet voor ChatGPT Enterprise, bedrijfsgestuurde accounts of accounts met bedrijfsdomeinen. De initiële uitrol richt zich op persoonlijke in aanmerking komende accounts.