Wachtwoorden zijn de zwakste schakel in je beveiliging. Bijna elke dag is er in het nieuws een verhaal te lezen over hoe wachtwoorden gehackt, gelekt, gephisht of gestolen zijn. In deze blog duiken we diep in de wereld van wachtwoorden en passkeys, en onthullen we hoe die laatste de toekomst van digitale beveiliging kan veranderen en traditionele wachtwoorden zelfs overbodig maakt.
In dit artikel:
- Wat is een Passkey?
- Hoe werkt een Passkey?
- Zijn Passkeys veiliger dan wachtwoorden?
- Wat is het verschil tussen passkeys en 2FA (Two Factor Authentication)?
- Zullen Passkeys Wachtwoorden en Wachtwoordbeheerders Vervangen?
- Welke bedrijven ondersteunen Passkeys
Wat is een Passkey?
Een passkey maakt het mogelijk om in te loggen op apps en sites zonder traditioneel wachtwoord. Er wordt daarom gesproken van een 'wachtwoordloze' authenticatie. Een inlogsysteem dat dus niet afhankelijk is van je geheugen. Passkeys werken met een cryptografische sleutel. Hierbij log je in zoals je je smartphone ontgrendelt: met je vingerafdruk, gezicht of andere biometrische gegevens.
In plaats van een wachtwoord samen te stellen om zich aan te melden bij een account, genereren gebruikers een passkey - wat in feite een paar is dat bestaat uit één privé en één openbare sleutel - via een 'authenticator'. Deze 'authenticator' kan een apparaat zijn, zoals een smartphone of een tablet, een browser of een wachtwoordbeheerder die passkey-technologie ondersteunt.
Ondanks de complexiteit zijn passkeys gelukkig wel makkelijk in te stellen door gebruikers.
Hoe werkt een Passkey?
1. Inleiding tot de Passkey-methode
Voordat je de passkey-methode activeert, dien je eerst traditioneel in te loggen op de desbetreffende website of app. Na een succesvolle inlogpoging kun je er via de beveiligingsinstellingen voor kiezen om de passkey-optie te activeren, die specifiek is voor het apparaat dat je op dat moment gebruikt.
2. Koppelen van het apparaat
Zodra de optie is ingeschakeld, zal de service je vragen om het betreffende apparaat te koppelen. Hierbij zal mogelijk biometrische authenticatie vereist zijn, zoals een vingerafdruk of gezichtsherkenning, om te waarborgen dat jij de werkelijke eigenaar van het account bent. De gegenereerde passkey wordt vervolgens lokaal op dat apparaat opgeslagen.
3. Gemakkelijke en veilige toegang
Bij toekomstige inlogpogingen op die website of app hoef je alleen de lokaal opgeslagen passkey van dat specifieke apparaat te gebruiken, wat het proces niet alleen veiliger maar ook gebruiksvriendelijker maakt dan het steeds opnieuw invoeren van wachtwoorden.
4. Synchronisatie over apparaten
Voor gebruikers die meerdere apparaten gebruiken, zoals een desktop en een smartphone, kan de passkey tussen deze apparaten gesynchroniseerd worden, als de webbrowser deze functie ondersteunt.
5. Oplossingen voor niet-gekoppelde apparaten
Als je probeert in te loggen vanaf een apparaat dat nog niet is gekoppeld, kun je mogelijk gebruik maken van cross-device authenticatie. Dit kan onder andere met behulp van een QR-code die gescand kan worden met een reeds gekoppeld apparaat, of via Bluetooth om de nabijheid van het nieuwe apparaat te bevestigen.
Achter de schermen:
Wat de gebruiker ziet, is slechts het topje van de ijsberg. Op de achtergrond, wanneer een inlogpoging met een passkey wordt gedaan, initieert de server een 'uitdaging' die naar de authenticator wordt gestuurd. Met behulp van de privésleutel van het apparaat wordt deze uitdaging 'opgelost' en vervolgens wordt een gesigneerde reactie teruggestuurd.
Het unieke aan dit systeem is dat de server nooit toegang heeft tot de privésleutel van de gebruiker. De beveiliging wordt gewaarborgd doordat de server alleen de publieke sleutel en de gesigneerde gegevens nodig heeft om te bevestigen dat de privésleutel van het apparaat authentiek is. Op deze manier blijft gevoelige informatie te allen tijde privé en beschermd.
Zijn Passkeys veiliger dan wachtwoorden?
Wachtwoorden worden nog alom gebruikt. Het NIST (National Institute of Standards and Technology) geeft enkele richtlijnen voor het gebruik van sterke wachtwoorden:
- Gebruik minstens acht tekens
- Gebruik speciale tekens, zonder dat je daartoe verplicht wordt
- Vermijd opeenvolgende en herhalende tekens, zoals '12345' of 'aaaaaa'
- Gebruik geen info zoals de site-naam
- Blijf weg van veelvoorkomende of populaire wachtwoorden zoals 'password123'
Ondanks die tips blijven wachtwoorden kwetsbaar en bieden Passkeys meer veiligheid:
- Wachtwoorden (of hun hashes)moeten worden opgeslagen zodat ze kunnen worden vergeleken. Passkeys hebben dat niet nodig.
- Veel mensen zijn, zacht gezegd, slordig met wachtwoorden. Passkeys? Altijd uniek en complex.
- Veel mensen negeren tweefactorauthenticatie (2FA). Passkeys daarentegen vereist 2FA. Je hebt zowel je biometrie nodig als je authenticator
- Phishing? Met passkeys bijna onmogelijk. Het is onmogelijk om een gebruiker te verleiden om een passkey in te voeren op een nepsite, waardoor passkeys bestand zijn tegen phishing.
Wat is het verschil tussen passkeys en 2FA (Two Factor Authentication)?
Passkeys en 2FA hebben één ding gemeen: beide verbeteren de traditionele accountbeveiliging (met alleen een wachtwoord). Passwordless authenticatie met een passkey is technisch gezien ook een two-factor authenticatie. Maar er zijn twee belangrijke verschillen tussen passkeys en traditionele vormen van 2FA.
Het eerste verschil is het al dan niet aanwezig zijn van een wachtwoord. Passkeys zijn ontworpen om je wachtwoorden te vervangen. 2FA is een heel ander concept. In plaats van iets te vervangen, voegt 2FA een stap (factor) toe om de beveiliging van een met een wachtwoord beveiligde account te versterken. Maar je traditionele wachtwoord blijft de eerste factor of stap in de meeste 2FA stromen.
2FA of MFA (Multi-factor authenticatie) resulteert zo in een stroeve gebruikerservaring. Gebruikers moeten er meestal een tweede apparaat bij nemen. Op dat apparaat moeten ze een code halen uit een SMS-bericht, een e-mail of een authenticatie-app die slechts 10 seconden lang een code toont. Die code moeten ze vervolgens invoeren voordat die verloopt. Dit is een pijnpunt voor gebruikers. En als er sprake is van grote gebruikersaantallen verliezen organisaties hierdoor waardevolle tijd.
Passkeys zijn eenvoudiger en zijn vandaag de meest veilige optie. Aanmelden met een passkey gaat relatief automatisch - wat betekent dat je niets hoeft in te typen of in te voeren - en is inherent veiliger omdat er geen extra stappen en codes nodig zijn die kwetsbaar zijn voor diefstal, phishing en onderschepping als je niet oppast.
Zullen passkeys wachtwoorden en wachtwoordbeheerders vervangen?
De meerwaarde van passkeys ten opzichte van traditionele wachtwoorden is onmiskenbaar. Ze bieden een gelaagde beveiligingsaanpak die efficiënter en veiliger is. Maar gaat dit nieuwe systeem wachtwoorden en de tools die we gebruiken om ze te beheren volledig overbodig maken?
Hoewel passkeys uiteindelijk wachtwoorden kunnen vervangen, zullen ze geen wachtwoordbeheerders vervangen. In plaats daarvan zullen wachtwoordbeheerders nog belangrijker worden. Dit komt omdat passkeys zijn gekoppeld aan een authenticator. Gebruikers hebben de keuze of ze een apparaat willen gebruiken - meestal een smartphone, maar een tablet, laptop of desktop kan ook werken - of een wachtwoordbeheerder die passkeys ondersteunt.
In eerste instantie lijkt het gebruik van een smartphone als authenticator de logische optie, aangezien de meeste mensen hun telefoon altijd bij zich hebben. Maar aangezien we vaak meerdere apparaten gebruiken, wordt dit al snel onhandig. Als een gebruiker toegang wil tot een account of app op een ander apparaat, zoals een laptop of tablet, zou hij een QR-code op dat apparaat moeten genereren, deze scannen met de authenticator, en vervolgens de biometrische gegevens gebruiken om uiteindelijk in te loggen.
Een wachtwoordbeheerder zoals Keeper, die begin 2023 ondersteuning voor passkeys uitrolde, zal dit proces enorm vereenvoudigen. Door passkeys op te slaan in de Keeperkluis, kan je ze in verschillende browsers en besturingssystemen gebruiken. Zolang je toegang hebt tot de Keeper-kluis, heb je toegang tot je passkeys, ongeacht het platform vanwaar je aanmeldt.
Welke bedrijven ondersteunen passkeys?
Grote namen zoals Apple, Microsoft, Best Buy, GoDaddy, PayPal, Kayak en eBay gebruiken al passkeys. De lijst is nog beperkt maar vanwege hun gemak en beveiliging winnen passkeys snel aan populariteit. Google heeft ondersteuning voor passkeys uitgerold voor Chrome stable M108 voor Windows, Android en macOS in december 2022, met in de toekomst ondersteuning voor iOS en Chrome OS, evenals een nieuwe API-set die ondersteuning voor passkeys voor Android-apps gaat bieden.
Wil je ook dat je medewerkers veilig kunnen inloggen en werken? We vertellen je alles over de beveiliging die jij nodig hebt. Klik hier om een vrijblijvend afspraak te maken.