App-wachtwoord aanmaken: Gmail, Microsoft 365 en hosting
Een app-wachtwoord is een automatisch gegenereerd 16-tekenwachtwoord waarmee een externe applicatie toegang krijgt tot je mailbox, ook als tweefactorauthenticatie (2FA of MFA) aanstaat. Je hebt het nodig bij Gmail en Microsoft 365 zodra je die accounts via IMAP wilt migreren, omdat beide providers gewone wachtwoorden blokkeren voor externe clients zodra MFA is ingeschakeld. Nederlandse hostingproviders zoals Strato, TransIP en Mijndomein gebruiken standaard gewone IMAP-wachtwoorden en vragen geen apart app-wachtwoord.
# Wat is een app-wachtwoord en wanneer heb je het nodig?
Een app-wachtwoord geeft een specifieke applicatie toegang tot je mailbox zonder dat je hoofdwachtwoord of tweede factor wordt blootgesteld. IMAP, het protocol dat mailclients en migratieprogramma's gebruiken om berichten op te halen, ondersteunt geen moderne OAuth-handshakes en heeft een direct wachtwoord nodig. Zodra MFA aanstaat, accepteert de mailserver geen gewone wachtwoorden meer: een app-wachtwoord vult die rol in.
Gmail en Microsoft 365 blokkeren gewone wachtwoorden bij actieve MFA juist als beveiligingsmaatregel: een onderschept wachtwoord is anders voldoende om in te loggen. Je genereert een unieke tijdelijke code, geeft die aan de migratieprogrammatuur, en trekt de code na afloop in. Je echte wachtwoord en tweede factor blijven volledig buiten beeld.
Bij de meeste Nederlandse hostingproviders staat MFA niet standaard aan op mailniveau. Daar gebruik je het gewone IMAP-wachtwoord uit het hostingpanel. Controleer dit altijd even voordat je een migratie start, zodat je weet welke gegevens je nodig hebt.
# App-wachtwoord aanmaken in Gmail: stap voor stap
Tweestapsverificatie (2FA) moet volledig actief zijn voordat Gmail de optie app-wachtwoorden toont: zonder 2FA zie je de sectie simpelweg niet in het menu. Activeer 2FA via myaccount.google.com > Beveiliging > Tweestapsverificatie en doorloop de wizard tot het groene vinkje verschijnt.
Na activatie navigeer je naar myaccount.google.com en klik je in het linkerkolom op "Beveiliging". Scroll naar het blok "Hoe je je aanmeldt bij Google" en klik op "App-wachtwoorden". Zie je die optie niet, dan is 2FA nog niet volledig ingesteld of heeft de Google Workspace-beheerder app-wachtwoorden uitgeschakeld via het beheerderscentrum.
Kies in het dropdownmenu bij "App selecteren" de optie "E-mail" en bij "Apparaat selecteren" kies je "Windows-computer", "Mac" of "Overig (aangepaste naam)". Geef het een herkenbare naam zoals 'mailmigratie' en klik op "Genereren". Gmail toont nu een geel vak met een 16-tekenwachtwoord zonder spaties. Kopieer dit wachtwoord direct: na het sluiten van het venster is het nooit meer zichtbaar. De officiële Google-handleiding voor app-wachtwoorden bevestigt dit expliciet.
- Vereiste: tweestapsverificatie actief via myaccount.google.com > Beveiliging
- Navigeer naar: Beveiliging > App-wachtwoorden (onderaan het blok 'Hoe je je aanmeldt bij Google')
- Kies 'E-mail' als type en geef het een herkenbare naam
- Klik op 'Genereren' en kopieer de 16 tekens direct uit het gele vak
- Plak het wachtwoord in mailmigreren.nl bij de inlogvelden voor het Gmail-bronaccount
- Na de migratie: ga terug naar App-wachtwoorden en klik de prullenbak naast de naam
# App-wachtwoord aanmaken in Microsoft 365
Microsoft 365-app-wachtwoorden zijn alleen beschikbaar als meervoudige verificatie (MFA) is ingeschakeld op jouw account. Is MFA niet actief, dan gebruik je gewoon je normale Microsoft-wachtwoord voor IMAP en is een app-wachtwoord niet nodig. Controleer dit via de Microsoft 365-beheerdersconsole of vraag je IT-beheerder.
Navigeer naar mysignins.microsoft.com/security-info en log in met je Microsoft-account. Klik op '+ Methode toevoegen', kies 'App-wachtwoord' als methode en geef het een duidelijke naam zoals 'mailmigratie'. Klik op 'Volgende'. Microsoft toont eenmalig een wachtwoord van 16 tekens: kopieer dit direct voordat je het venster sluit.
Sommige Microsoft 365-tenants hebben app-wachtwoorden uitgeschakeld via organisatiebeleid. In dat geval moet een globale beheerder app-wachtwoorden toestaan via het Azure AD-portaal onder Gebruikersinstellingen. Daarnaast heeft Microsoft Basic Authentication voor Exchange Online in veel configuraties per oktober 2022 uitgeschakeld. De Microsoft-documentatie over app-wachtwoorden voor tweestapsverificatie legt beide scenario's stap voor stap uit.
- Vereiste: MFA staat aan voor het Microsoft 365-account
- Navigeer naar: mysignins.microsoft.com/security-info
- Klik '+ Methode toevoegen' en selecteer 'App-wachtwoord'
- Geef het een herkenbare naam en klik 'Volgende'
- Kopieer de 16-tekens code direct uit het venster
- Plak het wachtwoord in mailmigreren.nl bij de Microsoft 365-velden
- Na de migratie: verwijder het app-wachtwoord via hetzelfde security-info portaal
# IMAP-wachtwoord bij Nederlandse hostingproviders
Nederlandse hostingproviders zoals Strato, TransIP, Mijndomein, Hostnet en Vimexx vereisen geen app-wachtwoord: hier werkt het gewone IMAP-wachtwoord dat je instelt via het hostingpanel. Dit is hetzelfde wachtwoord dat je gebruikt om de mailbox te koppelen in Outlook of Apple Mail.
Bij Strato stel je het wachtwoord in via de Strato-klantenomgeving onder E-mail > Postbus beheren. Bij TransIP ga je naar het control panel onder E-mail > Mailboxen, selecteer je de mailbox en kies je 'Wachtwoord wijzigen'. Hetzelfde patroon geldt voor Vimexx (DirectAdmin > E-mail accounts), Antagonist, Argeweb, Byte, YourHosting en Webhostpartner: mailbox selecteren in het panel en het wachtwoord instellen of resetten.
Let op: sommige providers genereren automatisch een wachtwoord bij het aanmaken van een mailbox. Weet je het niet meer, reset het dan in het panel voordat je de migratie start. Mailmigreren.nl slaat wachtwoorden nooit op schijf op: ze worden uitsluitend in het werkgeheugen bewaard tijdens de overdracht en direct verwijderd zodra de migratie klaar is.
# Overzicht: welke provider vraagt een app-wachtwoord?
De tabel hieronder toont per provider of je een app-wachtwoord nodig hebt, of MFA een vereiste is, en waar je het aanmaakt. Providers die basisverificatie (basic auth) ondersteunen, accepteren je gewone IMAP-wachtwoord. Providers die MFA afdwingen, vereisen een app-wachtwoord als vervangende authenticatiemethode voor IMAP-verbindingen.| Provider | App-wachtwoord nodig? | MFA vereist? | Waar aanmaken |
|---|---|---|---|
| Gmail (Google Workspace / privé) | Ja, als 2FA aanstaat | myaccount.google.com > Beveiliging > App-wachtwoorden | |
| Microsoft 365 (zakelijk) | Ja, als MFA aanstaat | Afhankelijk van tenant-beleid | mysignins.microsoft.com/security-info |
| Outlook.com (Microsoft privé) | Ja, als 2FA aanstaat | account.microsoft.com/security > App-wachtwoorden | |
| Strato | Strato-panel > E-mail > Postbus beheren | ||
| TransIP | TransIP-panel > E-mail > Mailboxen | ||
| Mijndomein | Mijndomein-panel > E-mail > Beheren | ||
| Hostnet | Hostnet-panel > E-mail | ||
| Vimexx | DirectAdmin > E-mail accounts | ||
| Antagonist | Antagonist-panel > Mailboxen | ||
| YourHosting | YourHosting-panel > E-mail |
# Beveiligingstips: zo ga je veilig om met app-wachtwoorden
Trek een app-wachtwoord direct in zodra de migratie klaar is. Een app-wachtwoord geeft volledige IMAP-toegang tot je mailbox: wie het onderschept, kan alle e-mail lezen en downloaden. Behandel het als een tijdelijk toegangsbewijs, niet als iets wat je ergens bewaart.
Maak voor elke toepassing een apart app-wachtwoord aan en gebruik nooit hetzelfde wachtwoord voor meerdere tools of sessies. Zo zie je achteraf exact welke applicatie toegang had en trek je met één klik alleen dat specifieke wachtwoord in, zonder andere koppelingen te verstoren.
Wijzig je Google- of Microsoft-hoofdwachtwoord om alle app-wachtwoorden in één keer ongeldig te maken. Dit is een snelle noodmaatregel als je vermoedt dat een wachtwoord is gelekt. Mailmigreren.nl verwijdert het app-wachtwoord automatisch uit het werkgeheugen na afronding van de migratie, maar de intrekking bij de provider is altijd jouw verantwoordelijkheid.
- Trek app-wachtwoorden direct in na de migratie via de beveiligingsinstellingen van de provider
- Maak per tool een apart app-wachtwoord aan voor maximale controle
- Bewaar app-wachtwoorden nooit in een tekstbestand, notitie-app of chat
- Wijzig je hoofdwachtwoord om alle actieve app-wachtwoorden in één keer te blokkeren
# Veelgemaakte fouten bij app-wachtwoorden en hoe je ze voorkomt
De meest voorkomende fout is het invullen van het gewone accountwachtwoord terwijl MFA aanstaat. Gmail en Microsoft 365 weigeren dan de verbinding met de melding 'Authentication failed' of 'Inloggegevens onjuist', ook als het wachtwoord zelf klopt. De oplossing is altijd het specifiek gegenereerde app-wachtwoord gebruiken in het IMAP-wachtwoordveld.
Een tweede veelgemaakte fout is het meekopiëren of weglaten van spaties. Gmail toont het app-wachtwoord in blokken van vier tekens (bijv. 'abcd efgh ijkl mnop') voor leesbaarheid, maar de spaties horen niet bij het wachtwoord zelf. Kopieer de volledige string: de meeste formulieren, inclusief die van mailmigreren.nl, strippen spaties automatisch. Typ je handmatig over, laat de spaties dan weg en typ de 16 letters en cijfers aaneengesloten.
Een derde fout is wachten met het aanmaken van het app-wachtwoord totdat de migratieprogrammatuur al verbinding probeert te maken. Genereer het wachtwoord altijd eerst, plak het direct in het migratieformulier en start dan de migratie. Sluit je het venster zonder te kopiëren, dan moet je een volledig nieuw app-wachtwoord genereren: het oude is niet meer zichtbaar of opvraagbaar.
- Gebruik altijd het app-wachtwoord, nooit je gewone wachtwoord, als MFA aanstaat
- Kopieer de volledige string inclusief spaties: de meeste formulieren strippen ze automatisch weg
- Genereer het wachtwoord vlak voor de migratie, niet van tevoren bewaren
- Zie je 'Authentication failed'? Controleer of je het juiste Google- of Microsoft-account hebt geselecteerd bij het aanmaken
Stappenplan
- Controleer of MFA aanstaat: Log in bij je mailprovider en ga naar de beveiligingsinstellingen. Gmail: myaccount.google.com > Beveiliging > Tweestapsverificatie. Microsoft 365: mysignins.microsoft.com/security-info. Bij Nederlandse hostingproviders is MFA doorgaans niet actief op mailniveau: gebruik dan het gewone IMAP-wachtwoord uit het hostingpanel.
- Schakel 2FA in als dat nog niet het geval is (Gmail): Ga naar myaccount.google.com > Beveiliging > Tweestapsverificatie en doorloop de wizard volledig. Zonder actieve 2FA toont Gmail de optie 'App-wachtwoorden' niet in het beveiligingsmenu.
- Navigeer naar de app-wachtwoordenpagina: Gmail: myaccount.google.com > Beveiliging > App-wachtwoorden. Microsoft 365: mysignins.microsoft.com/security-info > Methode toevoegen > App-wachtwoord. Outlook.com (privé): account.microsoft.com/security > App-wachtwoorden.
- Genereer het app-wachtwoord: Kies bij Gmail 'E-mail' als type applicatie en geef het een herkenbare naam zoals 'mailmigratie'. Klik op 'Genereren'. Bij Microsoft geef je alleen een naam op en klik je 'Volgende'. Je krijgt direct een 16-tekenwachtwoord te zien.
- Kopieer het wachtwoord direct: Kopieer de volledige 16 tekens direct na het aanmaken. Sluit het venster niet zonder te kopiëren: na sluiten is het wachtwoord bij Gmail en Microsoft nooit meer zichtbaar en moet je een nieuw wachtwoord genereren.
- Plak het wachtwoord in de migratiewizard: Open de migratiewizard op mailmigreren.nl en voer het e-mailadres plus het app-wachtwoord in als IMAP-inloggegevens voor het bronaccount. Heb je ook een app-wachtwoord nodig voor het doelaccount, herhaal dan stap 3 tot en met 5 voor dat account.
- Trek het app-wachtwoord in na afloop: Ga na een succesvolle migratie terug naar de beveiligingsinstellingen van de provider en verwijder het app-wachtwoord. Gmail: klik de prullenbak naast de naam onder App-wachtwoorden. Microsoft: selecteer het wachtwoord onder security-info en klik 'Verwijderen'. Zo sluit je de tijdelijke toegang volledig af.
Veelgestelde vragen
Waarom zie ik de optie 'App-wachtwoorden' niet in mijn Google-account?
De optie verschijnt alleen als tweestapsverificatie volledig is geactiveerd. Ga naar myaccount.google.com > Beveiliging > Tweestapsverificatie en controleer of de instelling aan staat en de wizard volledig is afgerond. Een tweede mogelijke oorzaak is een Google Workspace-account waarbij de organisatiebeheerder app-wachtwoorden heeft uitgeschakeld via het Workspace-beheerderscentrum. In dat geval moet de beheerder ze inschakelen onder Beveiliging > Basisinstellingen.
Hoe lang is een app-wachtwoord geldig?
Een app-wachtwoord heeft geen ingebouwde vervaldatum en blijft geldig totdat je het zelf intrekt. Er zijn twee automatische uitzonderingen: als je het hoofdwachtwoord van je Google- of Microsoft-account wijzigt, worden alle bestaande app-wachtwoorden direct ongeldig. Hetzelfde geldt als een beheerder MFA volledig uitschakelt voor het account.
Kan ik hetzelfde app-wachtwoord voor zowel bron- als doelmailbox gebruiken?
Nee. Je hebt voor elk afzonderlijk account een apart app-wachtwoord nodig. Migreer je van Gmail naar Microsoft 365, dan maak je een app-wachtwoord aan bij Gmail voor de bronmailbox en een apart app-wachtwoord bij Microsoft 365 voor de doelmailbox, als MFA daar aanstaat. Beide vul je afzonderlijk in tijdens de migratieprocedure van mailmigreren.nl.
Moet ik het app-wachtwoord bewaren na de migratie?
Nee. Trek het app-wachtwoord direct in na afloop van de migratie. Mailmigreren.nl verwijdert het automatisch uit het werkgeheugen zodra de migratie is voltooid. Bewaar het wachtwoord nergens: voor een eventuele toekomstige migratie genereer je simpelweg een nieuw app-wachtwoord in minder dan 2 minuten.
Werkt een app-wachtwoord nog als Microsoft Basic Authentication heeft uitgeschakeld?
Nee. Microsoft heeft Basic Authentication voor Exchange Online per oktober 2022 uitgeschakeld voor de meeste protocollen, inclusief IMAP in veel tenantconfiguraties. In tenants waar IMAP met basisverificatie is geblokkeerd, werkt een app-wachtwoord niet. Vraag je IT-beheerder of IMAP met basisverificatie is toegestaan in het Exchange Admin Center. Is het uitgeschakeld, dan zijn aanvullende configuratiestappen vereist die buiten de standaardfunctionaliteit van mailmigreren.nl vallen.
Wat is het verschil tussen een app-wachtwoord en OAuth?
OAuth is een moderne autorisatiemethode waarbij een applicatie toestemming vraagt via een browservenster, zonder dat je wachtwoord wordt gedeeld. App-wachtwoorden zijn een brede maar oudere methode waarbij een speciaal gegenereerd wachtwoord de rol van OAuth overneemt voor applicaties die geen OAuth-flow ondersteunen, zoals IMAP-migratieprogramma's. Mailmigreren.nl gebruikt app-wachtwoorden voor Gmail en Microsoft 365 omdat de IMAP-migratiemethode geen OAuth-handshake ondersteunt. Volledige OAuth-ondersteuning voor Google en Microsoft staat op de roadmap voor versie 2.
Klaar om je mailbox te verhuizen?
Begin met een gratis preview. Je betaalt pas als je zeker bent.
Start migratie