Vaarwel wachtwoorden! Zijn passkey's de nieuwe holy grail voor security?

Wat zijn paskeys?

Een passkey (paswoordsleutel) is een digitaal wachtwoord dat gekoppeld is aan een gebruikersaccount en een website of applicatie. Met een passkey kunnen gebruikers zich authenticeren zonder dat ze een gebruikersnaam of wachtwoord hoeven in te voeren of een extra authenticatiefactor hoeven te gebruiken. Deze technologie is bedoeld om verificatiemechanismen zoals wachtwoorden te vervangen.

Wanneer een gebruiker zich wil aanmelden bij een service die gebruik maakt van wachtwoorden, zal zijn browser of besturingssysteem hem helpen bij het selecteren en gebruiken van de juiste sleutel. De ervaring is vergelijkbaar met hoe opgeslagen wachtwoorden vandaag de dag werken. Om er zeker van te zijn dat alleen de rechtmatige eigenaar een wachtwoord kan gebruiken, zal het systeem vragen om het apparaat te ontgrendelen. Dit kan worden gedaan met een biometrische sensor (zoals een vingerafdruk of gezichtsherkenning), PIN-code of patroon.

Passkeys zijn een nieuwe manier om je aan te melden bij apps en websites. Ze zijn gebruiksvriendelijker en veiliger dan wachtwoorden, dus gebruikers hoeven niet langer te vertrouwen op de namen van huisdieren, verjaardagen of het beruchte “wachtwoord123”. In plaats daarvan kunnen gebruikers zich met een passkey aanmelden bij apps en websites op dezelfde manier waarop ze hun apparaten ontgrendelen: met een vingerafdruk, een gezichtsscan of een PIN-code voor schermvergrendeling.

Waarom een passkey?

Ontwikkelaars en gebruikers hebben allebei een hekel aan wachtwoorden: ze zorgen voor een slechte gebruikerservaring, ze voegen frictie toe bij de conversie en ze creëren beveiligingsrisico’s voor zowel gebruikers als ontwikkelaars.

Een passkey kan in één stap voldoen aan de vereisten voor multifactor authenticatie en vervangt zowel een wachtwoord als een OTP (bijvoorbeeld een 6-cijferige sms-code) om robuuste bescherming te bieden tegen phishingaanvallen en vermijdt de UX-pijn van sms- of app-gebaseerde eenmalige wachtwoorden. Omdat wachtwoorden gestandaardiseerd zijn, maakt één enkele implementatie een wachtwoordloze ervaring mogelijk op alle apparaten van gebruikers, in verschillende browsers en besturingssystemen.

Naast datalekken kunnen paswoordsleutels ook niet worden gestolen bij phishingaanvallen. Cybercriminelen en hackers gebruiken vaak phishing of social engineering als een manier om toegang te krijgen tot iemands gebruikersnaam en wachtwoord om hun accounts te stelen. Met een wachtwoordsleutel heb je echter een private en publieke sleutel en terwijl de publieke sleutel op de servers van een bedrijf blijft staan, blijft de private sleutel op je apparaat staan en kan deze niet gemakkelijk worden gestolen.

Wie gebruikt passkeys?

Een aantal diensten gebruikt nu al passkeys in hun systemen.

DocuSign
Google
Kayak
Mercari
NTT Docomo
PayPal
Shopify
Yahoo! JAPAN

Google heeft zelfs aangekondigd dat passkeys voortaan de standaardmanier zullen zijn om in te loggen op persoonlijke Google-accounts. Bij de volgende inlogpoging op hun Google-account krijgen gebruikers een melding met de suggestie om passkeys te creëren en te gebruiken. Het doel van Google is om het traditionele wachtwoord overbodig te maken. Echter, gebruikers behouden de mogelijkheid om passkeys uit te zetten en in te loggen met een wachtwoord.

Critici van passkeys waarschuwen al lange tijd voor het risico van vendor lock-in, waarbij gebruikers zijn gebonden aan het platform waarop de passkey wordt gegenereerd.

Meer over passkeys, in bijzonder via Google, op https://developers.google.com/learn/pathways/passkeys_web

Tags: Cryptografie, Google, MFA