Wat zijn passkeys?

‘The beginning of the end of the password’

- Google -

Inloggen met passkeys is een nieuwe manier voor gebruikers zich te authenticeren bij het aanmelden voor accounts en apps. Passkeys maken gebruik van biometrische gegevens (bijvoorbeeld een vingerafdruk of gezichtsherkenning) om de gebruikersidentiteit te bevestigen, zónder dat een wachtwoord vereist is. Passkeys zijn hierdoor sneller, gemakkelijker en veiliger dan inloggen met een ‘ouderwets’ wachtwoord.

 

Geen wachtwoord meer nodig!

Iedereen is gewend geraakt aan inloggen door middel van een gebruikersnaam en wachtwoord. Een probleem hierbij is dat het lastig is om overal sterke, unieke wachtwoorden voor te gebruiken. Het gevolg hiervan is dat er in grote mate gebruik gemaakt wordt van zwakke, vaak hergebruikte, wachtwoorden. Passkeys zijn bedacht om veilig te kunnen inloggen zonder het gebruik van een wachtwoord.

Passkeys in het kort

  • Inloggen met passkeys is een nieuwe manier voor gebruikers om zich te authenticeren bij het aanmelden voor accounts en apps.
  • Passkeys zijn hierdoor sneller, gemakkelijker en veiliger dan inloggen met alleen een ‘ouderwets’ wachtwoord.
  • Omdat veel mensen geen unieke sterke wachtwoorden gebruiken en ook vaak nalaten om inloggen in 2 stappen in te schakelen, zijn veel accounts een gemakkelijk doelwit voor cybercriminelen.
  • Cybercriminelen die jouw wachtwoorden proberen te stelen, kunnen bij een passkey slechts een stukje van jouw sleutel te pakken krijgen.

Hoe werkt het?

Passkeys zijn een soort digitale sleutels die veilig op je apparaat worden bewaard. Toegang tot de sleutels krijg je op dezelfde manier als toegang tot je telefoon of tablet; met een vingerafdruk, je gezicht of een pincode. Inloggen bij apps en websites gaat dus op dezelfde manier als het ontgrendelen van je telefoon of tablet.

Bij het inloggen op een website of app wordt er een passkey (in plaats van een wachtwoord) gemaakt. Zo’n passkey bestaat uit één privé en één openbare sleutel. Dit principe noemen we 'asymmetrische cryptografie'. De publieke sleutel is, zoals de naam al doet vermoeden, publiek beschikbaar en wordt opgeslagen op de betreffende app of website. De privésleutel staat veilig op jouw eigen apparaat. Dit is vaak een smartphone, maar kan ook een laptop of een fysieke authenticatiesleutel zijn. Inloggen is alleen mogelijk met de juiste combinatie van openbare en privésleutel. Dit proces wordt ook wel een ‘handshake’ genoemd.

Mocht je via een passkey willen inloggen op een apparaat dat geen passkey heeft voor de website of app, dan kun je meestal jezelf verifiëren door met je telefoon een QR-code te scannen. Passkeys worden ook vaak gesynchroniseerd tussen je apparaten. Dus een kapotte of verloren smartphone betekent niet direct dat je geen toegang meer hebt tot jouw apps en websites.

Passkeys vergroten de veiligheid

Omdat veel mensen er geen unieke sterke wachtwoorden gebruiken en ook vaak nalaten om inloggen in 2 stappen in te schakelen, zijn veel accounts een gemakkelijk doelwit voor cybercriminelen.

Phishing is een veelgebruikte manier om toegang te krijgen tot iemands account(s). Passkeys maken het voor oplichters vrijwel onmogelijk om via phishing toegang te krijgen tot jouw gegevens. Criminele hackers die jouw wachtwoorden proberen te stelen, kunnen bij een passkey slechts een stukje van jouw sleutel te pakken krijgen. Omdat met één onderdeel de 'handshake' niet te maken is, krijgen kwaadwillenden geen toegang krijgen tot jouw account.

Hoe gebruik je passkeys?

Passkeys staan nog in de kinderschoenen, maar je kunt het gebruiken op apparaten met minimaal iOS 16 of Android 9. Mocht het op een website mogelijk zijn een passkey aan te maken, dan krijg je vanzelf een melding.

Krijg je geen verzoek tot het maken van een passkey? Zoek dan via instellingen naar de passkey-optie. Het koppelen is zo gedaan. Er zijn momenteel slechts een handjevol websites en apps die passkeys ondersteunen. Denk hierbij aan ‘grote’ organisaties als Apple, Google, Microsoft, Ebay en WhatsApp.  De verwachting is wel dat deze technologie in de nabije toekomst een snelle opmars zal maken.

Wat als mijn apparaat wordt gestolen?

Een kwaadwillende heeft in het geval van een gestolen apparaat alleen toegang tot jouw passkeys:

  • als het apparaat kan worden ontgrendeld, en
  • er volledige toegang verkregen kan worden tot je gegevens.

Bij het gebruik van een passkey is gebruikersverificatie nodig, biometrisch of via een pincode, het stelen van een ontgrendeld apparaat zou dus niet genoeg moeten zijn.

Back-up van je passkeys

Het is belangrijk een back-up te bewaren van jouw passkeys. Dit voorkomt dat je in het geval van een gestolen of kapot apparaat, al je passkeys kwijt raakt. Houd er tevens rekening mee dat opgeslagen passkeys in sommige gevallen moeilijk uit te wisselen zijn met apparaten van andere fabrikanten. In dit geval ligt ‘vendor lock-in’ op de loer. Een vendor-lock in maakt een klant afhankelijk van een leverancier voor producten of diensten. Je passkeys opslaan via een onafhankelijke wachtwoordmanager kan hier uitkomst bieden.