Veel bedrijven schakelen over op passkeys, een veelbesproken alternatief voor wachtwoorden, maar ze lijken nog niet echt ingeburgerd. Hoe komt dat?
Passkeys zouden perfect moeten zijn om veilig en betrouwbaar te kunnen inloggen op accounts. Wachtwoorden zouden in geen tijd overbodig worden. Na bijna twee jaar brede beschikbaarheid blijkt de praktijk toch complexer dan verwacht.
De belofte van passkeys
Passkeys bieden een veilig alternatief voor traditionele wachtwoorden door gebruik te maken van unieke cryptografische sleutels. Deze sleutels worden lokaal op een apparaat opgeslagen en zijn gekoppeld aan biometrische gegevens zoals een vingerafdruk of gezichtsherkenning. In theorie bieden passkeys een ongeëvenaarde beveiliging tegen phishing en andere hacks.
De voordelen zijn duidelijk: geen wachtwoorden meer onthouden, niet overal hetzelfde wachtwoord kunnen gebruiken, geen risico dat wachtwoorden worden gestolen, en eenvoudig inloggen met biometrie of een pincode. Toch zijn passkeys in de praktijk minder gebruiksvriendelijk dan verwacht.
Nog te complex
Passkeys worden ondertussen op honderden websites en platformen ondersteund, waaronder je Google- en Microsoft-account, maar het implementeren ervan blijft verwarrend. Het proces verschilt per besturingssysteem, browser en zelfs apparaat. Zo werkt inloggen op PayPal met een passkey op Windows anders dan op iOS, en wordt Firefox helemaal niet ondersteund door PayPal. Dit gebrek aan uniformiteit belemmert een naadloze gebruikerservaring.
Een ander voorbeeld is het gebruik van passkeys op LinkedIn. Als je een passkey aanmaakt via Firefox op macOS, geeft LinkedIn aan dat deze specifiek aan dat platform gekoppeld is. In werkelijkheid werkt de passkey, wanneer beheerd via een wachtwoordmanager, ook op andere apparaten en browsers. Dit maakt het onnodig ingewikkeld en verwarrend voor gebruikers.
Daarnaast proberen grote techbedrijven zoals Apple, Google en Microsoft gebruikers vaak richting hun eigen ecosysteem te duwen. Dit betekent dat passkeys standaard worden gesynchroniseerd via iCloud, Google Password Manager of Windows Hello, terwijl alternatieve oplossingen, zoals fysieke beveiligingssleutels, vaak verstopt zitten achter meerdere klikken.
Veiligheid versus gebruiksgemak
Zoals eerder vermeld zouden passkeys beloven om wachtwoorden te vervangen, al blijft die belofte onvolledig. De meeste websites bieden nog steeds wachtwoorden aan als tweede optie. Sommige platformen, zoals PayPal en Amazon, vertrouwen nog steeds op sms-gebaseerde verificatie, een van de minst veilige vormen van multi-factor authenticatie (MFA). Ze kunnen onderschept worden en je bent afhankelijk van een mobiel netwerk.
Een ander nadeel is de afhankelijkheid van wachtwoordmanagers voor cross-platform gebruik. Hoewel wachtwoordmanagers het synchroniseren van passkeys vereenvoudigen, dragen ze vrijwel niets bij aan een eenvoudiger authenticatiesysteem zonder extra apps. Voor veel gebruikers blijft een wachtwoordmanager een drempel, vaak omdat ze denken dat het extra werk vraagt of dat ze niet veilig genoeg zijn. Dat helpt het standaardiseren van passkeys ook niet.
Wat te doen?
Voor sommige gebruikers, zoals iemand die alleen een iPhone en Mac gebruikt en maar een paar accounts heeft, kunnen passkeys al een goede oplossing zijn. Ze bieden eenvoudige beveiliging tegen phishing en MFA. Maar voor iedereen met een divers apparaat-ecosysteem of zonder toegang tot een goede wachtwoordmanager, blijven traditionele wachtwoorden in combinatie met MFA, zoals een authenticator-app of beveiligingssleutel, de beste optie.
Internetgebruikers zouden in principe steeds vaker moeten overstappen op een wachtwoordmanager, want die genereert automatisch unieke, lange wachtwoorden en slaat die normaal gezien veilig en geëncrypteerd op. Dat is een eerste stap in betere online veiligheid, de volgende logische stap zijn passkeys.
De toekomst van passkeys
Hoewel passkeys de potentie hebben om wachtwoorden te vervangen, zijn ze momenteel nog niet klaar voor de grote massa. De complexiteit van implementaties, het gebrek aan uniformiteit en de afhankelijkheid van traditionele wachtwoorden zorgen ervoor dat ze voorlopig vooral een aanvulling zijn op bestaande beveiligingsmethoden.
Met verdere ontwikkeling en bredere adoptie kunnen passkeys snel de nieuwe standaard in online beveiliging worden. Tot die tijd blijven sterke wachtwoorden en MFA de beste opties.