De introductie van Passkeys is de eerste grote stap naar een wereld zonder wachtwoorden. Maar wat zijn Passkeys nu juist en is het systeem wel zoveel veiliger als de techreuzen beloven?
Microsoft, Google, Apple en nog vele anderen verklaren het wachtwoord al enkele jaren voor dood. Jarenlang bleef die bewering bij sterke uitspraken en veel inlogsystemen die het wachtwoord zouden gaan vervangen, beten vroegtijdig in het stof. Passkeys is de nieuwste poging om het wachtwoord eindelijk op pensioen te laten gaan.
Dit nieuwe inlogsysteem maakt gebruik van inlogsleutels gebaseerd op biometrische identificatie om je identiteit te verifiëren. Recent kregen macOS, iOS, Android en de browser Chrome allemaal ondersteuning voor Passkeys, Windows zal zeer spoedig volgen. Is wachtwoordloos inloggen dan toch de toekomst?
Wachtwoorden: onveilig en onpraktisch
We maken al sinds het world wide web bestaat gebruik van wachtwoorden om onze online accounts te beschermen. Waarom kunnen we er plots niet snel genoeg vanaf zijn? In de praktijk is al vaak genoeg gebleken dat wachtwoorden niet feilloos zijn. Dat is grotendeels wel onze eigen schuld omdat we ze op een onveilige manier gebruiken.
Een eerste veelgemaakte fout is het gebruiken van zwakke wachtwoorden. Uit gegevens van Dashlane blijkt dat zelfs in 2022 Password en 123456 nog steeds de meest gebruikte wachtwoorden zijn. Het vereist geen kunstig hackwerk om dit te kraken. Hoofdzonde nummer twee is het hergebruiken van wachtwoorden. Zo hoeven hackers maar één wachtwoord te achterhalen om in meerdere accounts van deze persoon binnen te breken.
Maar ook wie de regels van de kunst opvolgt, loopt met wachtwoorden tegen problemen aan. We hebben onszelf ingepeperd dat we complexe wachtwoorden moeten verzinnen die we zelf niet kunnen onthouden. Met die foute veronderstelling doen we onszelf de das om.
Zolang je wachtwoord minstens twaalf tekens en een combinatie van hoofdletter, kleine letters, cijfers en speciale tekens bevat, heb je speling om een wachtwoord te bedenken dat niet moeilijk te onthouden is. H0pelijkOn#baar is bijvoorbeeld een beter wachtwoord dan R8@bl#. Lees zeker onze uitgebreide handleiding voor het vinden van het perfecte wachtwoord.
FIDO
Het systeem van wachtwoorden heeft onmiskenbare tekortkomingen. Vanuit die redenering zag de FIDO Alliantie (languit Fast Identity Online) in 2013 het levenslicht met een duidelijke missie: een nieuwe authenticatiestandaard ontwikkelen om de ‘afhankelijkheid van wachtwoorden te verminderen.’
Dat doet FIDO door een unieke inlogsleutel te koppelen aan je biometrische gegevens zoals een vingerafdruk of gezichtsherkenning. Het achterliggende principe is niet nieuw: veel online diensten maken vandaag de dag al gebruik van multifactorauthenticatie om een extra beveiligingslaag bovenop het wachtwoord toe te voegen.
De meerwaarde van het FIDO-project zit hem dan ook in de ontwikkeling van een universele standaard die over verschillende besturingssystemen heen kan worden gebruikt. Op termijn zou dus elke webdienst gebruik maken van hetzelfde authentificatieplatform, ongeacht het apparaat of besturingssysteem dat je gebruikt. Voor de beveiliging en privacy staat je inlogsleutel bewaard op het apparaat dat je gebruikt.
Ook FIDO heeft enkele pogingen nodig gehad om het juiste recept te vinden, maar meent met Passkeys eindelijk de oplossing te hebben gevonden voor wachtwoordproblemen. Apple introduceerde Passkeys in iOS 16, iPadOS 16 en macOS Ventura; Google brengt het systeem in bèta naar Android en Chrome. Dit moet de adoptie van Passkeys als inlogstandaard in een stroomversnelling brengen. Microsoft zal officieel volgen in 2023, al is wachtwoordloos inloggen al langer ingeburgerd in Windows.
Hoe werken Passkeys?
Een Passkey bestaat in feite uit twee inlogsleutels: een private sleutel en een publieke sleutel. De private sleutel bevat de pincode, je vingerafdruk of gezichtsscan en staat lokaal op het apparaat bewaard. Meld je jezelf aan bij een website, dan speelt je apparaat de publieke sleutel met versleutelde gegevens door. Op die manier zijn je biometrische gegevens goed afgeschermd van webbeheerders.
Net zoals je met elke sleutel maar één deur kan openen, maakt Passkeys voor elke website een unieke sleutel aan. Dat moet het systeem resistent maken tegen phishing. Op een nagebootste website zal je unieke sleutel immers nooit werken, hoe goed die ook is nagemaakt. Ook beschermt Passkeys je accounts tegen fysieke diefstal van apparaten. Zonder je biometrische gegevens zal de dief zich nergens kunnen aanmelden.
Gebruik je meerdere apparaten, dan is het ook mogelijk om je inlogcodes over te zetten. Dat heeft als voordeel dat je Passkeys slechts op één apparaat bewaard hoeven te staan. Gebruik je bijvoorbeeld Chrome op een iPhone en een Windows-laptop, dan kan je via een QR-code je Passkey doorspelen van het ene apparaat naar het andere. De QR-codes leggen een versleutelde bluetoothverbinding tussen beide toestellen.
Is wachtwoordloos inloggen de toekomst?
Het systeem van Passkeys lijkt te voldoen aan de normen op gebied van zowel veiligheid als gebruiksvriendelijkheid. De unieke inlogcodes bieden een betere bescherming tegen phishing en credential stuffing dan klassieke wachtwoorden, en het proces vereist minder stappen dan multifactorauthenticatie.
Maar om je wachtwoorden nu al in de prullenmand te gooien, is het nog veel te vroeg. De adoptie van Passkeys staat nog in de kinderschoenen en tot heden zijn er dan ook nauwelijks webdiensten die er al gebruik van maken. Daar kan spoedig wel verandering in komen, want onder andere PayPal toont interesse om het aan te bieden. De interoperabiliteit tussen verschillende besturingssystemen staat overigens ook nog lang niet op punt.
Passkeys heeft het potentieel om wachtwoorden voorgoed te doen vergeten, maar het systeem moet zich nog op grote schaal bewijzen. Of wachtwoordloos inloggen inderdaad de toekomst is zoals de techreuzen beweren, zal in de komende jaren moeten blijken.