Ok, je wil een nieuwe account aanmaken, en dat is al meteen een gedoe: je moet zelf een nieuw wachtwoord verzinnen of je wachtwoordmanager er een laten genereren. Vervolgens moet je ook nog tweestapsverificatie inschakelen om je account een beetje fatsoenlijk te beveiligen. Niet te doen! Maar goed nieuws, wachtwoorden zullen binnenkort worden vervangen door Passkeys.
Inhoud
Wat zijn passkeys?
Passkeys zijn een vorm van authenticatie waarmee je snel accounts kunt aanmaken en inloggen, zonder dat je minder veilige wachtwoorden hoeft te gebruiken.
We weten dat wachtwoorden en TOTP 2FA-codes gemakkelijk kunnen worden onderschept door een aanvaller. Passkeys zijn fundamenteel anders: ze kunnen alleen worden gebruikt op dezelfde domeinnaam waarvoor ze oorspronkelijk zijn geregistreerd, en er is geen manier waarop iemand kan worden misleid om hun geheime sleutel te onthullen. Zelfs als je dat zou willen, is er geen manier om de geheime sleutel uit je apparaat te halen.
Hoe werkt Passkeys?
Het gebruik van passkeys is veel eenvoudiger dan je zou denken. Wanneer je je aanmeldt voor een nieuw account, hoef je in plaats van een traditionele gebruikersnaam en wachtwoord (en de extra handeling voor tweestapsverificatie) alleen maar een enkele passkey aan te maken. Deze passkey kan worden gekoppeld aan de veilige biometrie op je apparaat, zoals een vingerafdrukscanner of gezichtsherkening. Wanneer je probeert in te loggen op het account, hoef je alleen via biometrie te authenticeren om toegang te krijgen. En wees gerust, biometrische gegevens worden alleen lokaal op je apparaat gebruikt en worden nooit naar de website gestuurd.
Met passkeys zul je dus nooit meer een zwak wachtwoord maken dat makkelijk te raden is. Sterker nog; je gaat sowieso geen wachtwoord meer gebruiken.
Hoe werkt dit bij websites waar ik al een wachtwoord heb ingesteld?
Wanneer een website of app die eerder een traditionele gebruikersnaam/wachtwoord gebruikte, ondersteuning biedt voor passkeys, is het vaak voldoende om met een druk op de knop je eerste passkey aan te maken. Het proces is net zo eenvoudig als het ontgrendelen van je apparaat. Achter de schermen, wanneer je een passkey aanmaakt, wordt een paar cryptografische sleutels gegenereerd. De eerste is de openbare sleutel, die op de website wordt opgeslagen waarvoor je het account aanmaakt. De tweede is de privésleutel, die op je apparaat je wachtwoordmanager zoals Bitwarden wordt opgeslagen. Dit sleutelpaar wordt op je apparaat beschermd door je biometrische vingerafdruk of gezichtsscan.
Welke informatie is vereist bij het instellen van een passkey?
Bij het aanmaken van een passkey voor een site moet je eerst inloggen met je bestaande gebruikersnaam en wachtwoord (tenzij je een nieuwe account aanmaakt). De server zal dan een verzoek naar je browser sturen om specifieke versleutelingsinformatie te verstrekken. Je moet het verzoek goedkeuren met behulp van bijvoorbeeld biometrie (vingerafdrukscanner of gezichtsherkenning) of je apparaat PIN-code. Bij succesvolle verificatie genereert je apparaat het sleutelpaar en stuurt de openbare sleutel naar de site. En dat is alle informatie die je moet verstrekken bij het instellen van een passkey.
Wat gebeurt er als ik mijn telefoon kwijtraak?
Passkeys kunnen vaak worden gesynchroniseerd tussen je apparaten, maar nog niet alle platforms ondersteunen dit. Bitwarden stelt jebijvoorbeeld in staat om je passkeys in je kluis op te slaan, die wordt geback-upt en gesynchroniseerd tussen al je apparaten. Mocht je je passkeys op de een of andere manier verliezen, dan zouden de meeste sites herstelopties moeten hebben, zodat je een nieuwe passkey voor je account kunt aanmaken. Dit zal uiteraard per site verschillen.
Mijn toestel is gestolen, heeft de dief dan al mijn passkeys?
De enige manier waarop een dief succesvol je passkeys op je apparaat kan gebruiken, is als ze ook je apparaat kunnen ontgrendelen en zo volledige toegang krijgen tot je gegevens. Verder is elke keer dat je een passkey gebruikt, vaak gebruikersverificatie nodig, zoals biometrie of het opnieuw invoeren van je apparaat pincode, dus het stelen van je ontgrendelde apparaat zou niet genoeg zijn.
Is een wachtwoord met 2fa niet veiliger dan passkeys?
Passkeys zijn veiliger dan de traditionele methode van gebruikersnaam & wachtwoordauthenticatie om verschillende redenen. Ten eerste kun je niet langer gemakkelijk te kraken wachtwoorden gebruiken, zoals “wachtwoord.” Ook is 2FA ingebouwd in de passkey en de enige manier waarop iemand toegang tot je account kan krijgen, is door zowel de privésleutel als je biometrische login of apparaat pincode te hebben.
Een van de cruciale aspecten van passkey-beveiliging is namelijk de bescherming van de privésleutel. Deze sleutel is opgeslagen op jouw apparaat en wordt beschermd door jouw biometrische gegevens, zoals een vingerafdruk of gezichtsherkenning, of door het invoeren van je apparaat PIN-code. Dit betekent dat zelfs als iemand fysieke toegang krijgt tot jouw apparaat, ze nog steeds deze extra verificatiestap moeten doorlopen om toegang te krijgen tot de privésleutel.
Dus met passkeys heb ik ook geen 2FA meer nodig?
Nee, wants 2FA is dus ingebouwd in passkeys.
Kunnen websites mij niet makkelijker tracken als ik passkeys gebruik?
Wanneer je je registreert voor een website, genereert je apparaat een gloednieuwe openbare en privésleutel specifiek voor die website. Wanneer je je registreert voor een andere site, krijgt die site zijn eigen openbare sleutel van jouw apparaat, volledig onafhankelijk van de eerste. Dus nee.
Vervangen passkeys dan ook fysieke Yubikeys?
Een Yubikey kan dienen als een vorm van passkey, specifiek als een Security Key of een “apparaatgebonden passkey”, waarbij de sleutel zelf op het kleine apparaat staat en nooit gesynchroniseerd of geback-upt wordt. Dit kan moeilijker zijn om te gebruiken dan een gesynchroniseerde passkey, maar kan nuttig zijn in bepaalde scenario’s. Maar voor de meeste gebruikers zal de mobiel de belangrijkste “sleutel” zijn.
Dus passkeys kan nooit gehackt worden?
Niets is 100% waterdicht. Maar het hacken van een passkey is wel heul erg moeilijk, niet alleen om toegang te krijgen tot het apparaat waarop de privésleutel is opgeslagen, maar ook om in je apparaat in te breken. Het is (bijna) onmogelijk om je biometrische login (vingerafdruk of gezicht) na te maken of je apparaat pincode te kraken. Daarom zijn passkeys veel veiliger dan traditionele methoden.
Zijn er dan geen nadelen?
Een potentiële zorg is ‘vendor lock-in’, waarbij je afhankelijk wordt van een specifieke serviceprovider of technologie. Als je bijvoorbeeld alleen passkeys gebruikt die zijn ingebouwd in een bepaald besturingssysteem of apparaat, loop je het risico vast te zitten aan dat ecosysteem. Google en Apple zullen proberen je te overtuigen om jouw passkeys op te slaan in hun eco-systeem.
Om dit te voorkomen, kun je overwegen om passkeys te gebruiken in combinatie met een betrouwbare wachtwoordmanager, zoals Bitwarden, die passkey-ondersteuning biedt. Hierdoor kun je jouw passkeys centraal beheren en overstappen naar andere diensten of apparaten zonder problemen.
Het is altijd verstandig om ervoor te zorgen dat je nieuwe beveiligingsmethoden kunt gebruiken met verschillende diensten en apparaten, zodat je niet afhankelijk wordt van één enkele aanbieder. Op die manier kun je optimaal profiteren van de voordelen van passkeys zonder vast te zitten aan één specifieke optie.
Zullen passkeys wachtwoorden helemaal vervangen?
Niemand kan met zekerheid zeggen of passkeys wachtwoorden volledig zullen vervangen. Wij zijn echter optimistisch over deze nieuwe vorm van authenticatie zonder wachtwoord en denken dat het de potentie heeft om echt mainstream te worden. De eenvoud van passkeys onderscheidt ze van twee-factor authenticatie en andere oplossingen die wrijving toevoegen aan het aanmeldproces.
We kunnen wel met zekerheid zeggen dat passkeys wachtwoorden niet van de ene op de andere dag zullen vervangen. Het is een overgang die enige tijd in beslag zal nemen. Mensen moeten begrijpen wat wachtwoorden zijn en zich op hun gemak voelen om ze te gebruiken in plaats van traditionele wachtwoorden. Het zal ook enige tijd duren voordat elke organisatie ondersteuning voor wachtwoorden toevoegt aan hun website en apps.
Wanneer kan ik echt overschakelen op Passkeys?
Het zal nog een tijdje duren voordat alle websites passkeys aanbieden.
Toch zie je dat bijna alle leveranciers van besturingssystemen en browsers, hard werken aan de implementatie van Passkey-ondersteuning. De verwachting is dat er snel een brede ondersteuning voor Passkeys zal zijn op alle belangrijke platformen.
Wij hebben al een overzicht gemaakt van populaire diensten die passkeys ondersteunen.
Een ding is zeker; passkeys zullen in de toekomst de nieuwe standaard worden voor veilige en gebruiksvriendelijke online authenticatie.
