Secrets management: hoe bewaar je wachtwoorden en API-keys veilig in 2026?

Je kent het. Een API-key in een GitHub-repo die ooit per ongeluk publiek stond. Een .env-bestand dat meegestuurd werd via Slack. Een wachtwoord in een sticky note naast het scherm. Secrets management is een van de meest onderschatte onderdelen van beveiliging — totdat het misgaat. In dit artikel leg ik uit wat secrets management precies is, waarom het ertoe doet, en hoe je het goed aanpakt als developer of ondernemer.

Wat is secrets management en waarom is het zo belangrijk?

Secrets zijn alle gevoelige gegevens die je software nodig heeft om te functioneren: API-keys, database-wachtwoorden, OAuth-tokens, certificaten en private keys. Het probleem: deze waarden moeten ergens staan — je applicatie moet er immers bij kunnen. Maar dat 'ergens' is doorslaggevend voor hoe veilig je systeem is.

De meeste datalekken beginnen niet met geavanceerde aanvallen. Ze beginnen met een hardcoded API-key in een publieke repository, of een .env-bestand dat gedeeld werd via de verkeerde kanalen. GitHub scant repositories actief op bekende secret-patronen en stelt eigenaren op de hoogte — maar dan is het vaak al te laat. Zodra een key gelekt is, moet je ervan uitgaan dat iemand hem al gevonden heeft.

De gevolgen? Een gecompromitteerde AWS-key kan binnen uren leiden tot duizenden euro's aan onverwachte cloudkosten. Een gelekte Stripe-key geeft aanvallers toegang tot betalingsgegevens. Een geëxposeerde database-connectiestring opent de deur naar alle klantdata. Dit is geen theorie — dit gebeurt dagelijks bij bedrijven van alle groottes.

De oplossing: een dedicated secrets manager

De standaard aanpak tegenwoordig is een dedicated secrets manager. Hierbij sla je secrets nooit op in je codebase, maar in een beveiligde kluis waar je applicatie ze dynamisch ophaalt. De meest gebruikte opties:

• HashiCorp Vault — de meest volledige open-source oplossing, geschikt voor complexe setups met dynamic secrets en fine-grained access control
• Infisical — een moderner, developer-friendly alternatief voor Vault, self-hostable én als SaaS beschikbaar
• AWS Secrets Manager / Azure Key Vault — prima als je al diep in het ecosysteem van die cloud zit, maar veroorzaakt vendor lock-in
• Doppler — eenvoudig te integreren SaaS-oplossing, ideaal voor kleinere teams die snel willen starten
• Kubernetes Secrets + External Secrets Operator — sync secrets vanuit Vault of AWS veilig naar je Kubernetes-omgeving

Voor de meeste bedrijven is Infisical of Doppler de praktische keuze: laagdrempelig, goed gedocumenteerd en snel op te zetten. Ben je groter of wil je volledige controle? Dan is Vault met Kubernetes de professionele standaard.

Praktische regels die je direct kunt toepassen

Goede secrets management hoeft niet ingewikkeld te zijn. Begin met een paar ijzeren regels:

• Nooit secrets in code — ook niet tijdelijk. Gebruik altijd environment variables of een secrets manager
• Voeg .env toe aan je .gitignore én commit een .env.example met placeholder-waarden voor je team
• Roteer secrets regelmatig — stel reminders in of automatiseer dit via je secrets manager
• Gebruik aparte secrets per omgeving — development, staging en productie krijgen elk hun eigen waarden
• Beperk toegang op basis van least-privilege — een applicatie heeft alleen toegang tot de secrets die hij echt nodig heeft
• Log secret-toegang — weet wie of wat wanneer een secret heeft opgehaald

Een extra laag die steeds populairder wordt: short-lived credentials. In plaats van een API-key die maanden geldig is, genereert je applicatie on-demand een tijdelijke token die na een uur vervalt. HashiCorp Vault ondersteunt dit native voor databases, AWS, en meer. Zelfs als een token uitlekt, is hij al verlopen voor een aanvaller er iets mee kan.

Tot slot: git history is gevaarlijk. Als je ooit per ongeluk een secret gecommit hebt, is het verwijderen van het bestand niet genoeg — de secret staat nog steeds in je commit history. Gebruik tools als git-filter-repo om history te herschrijven, en roteer de betreffende secret onmiddellijk.