Google omarmt passkeys. Voortaan kan je inloggen op je Google-account zonder wachtwoord, al erkent Google dat het nog even zal duren voor het wachtwoord helemaal verdwijnt.
Google rolt passkeys uit. Passkeys zijn een technologie om gebruikers te verifiëren zonder dat daar een wachtwoord voor nodig is. Authenticatie gebeurt in de plaats daarvan exclusief via een alternatief zoals een vingerafdruk. Inloggen met een passkey is daarom veiliger, al bevat de login-standaard nog beperkingen.
Wat-key?
Passkeys bouwen verder op een evolutie die vandaag al aan de gang is. Gebruik je veilige wachtwoorden via een wachtwoordmanager, dan vul je bij het inloggen op een account doorgaans niet meer zelf je wachtwoord in. De wachtwoordmanager neemt dat voor zijn rekening, op voorwaarde dat je jezelf eerst hebt geauthentiseerd bij de manager.
Passkeys gaan nog een stap verder. Bij het inloggen wordt er niet meer naar een wachtwoord gevraagd, enkel naar een bevestiging van je authenticatie. Dat gebeurt vandaag niet via een wachtwoordmanager, maar via je besturingssysteem. De inlogpagina vraagt aan het OS een bevestiging van je identiteit en die geef jij via bijvoorbeeld een vingerafdruk of Windows Hello.
Niet perfect
Google ondersteunt voortaan die manier van inloggen. Je kan naar de instellingen van je Google-account gaan om ze te activeren. Helaas zijn er nog heel wat nadelen verbonden aan de implementatie van passkeys op dit moment. De voornaamste is het gebrek aan synchronisatie. Een passkey is gekoppeld aan een besturingssysteem en vaak zelfs een toestel. Passykeys op je Android-telefoon synchroniseren niet automatisch met je Windows-computer: je moet ze telkens manueel aanmaken. Zo gaat er heel wat meer instellingenwerk gepaard met passkeys wanneer je die over verschillende toestellen wil gebruiken, vergeleken met de relatieve eenvoud van een wachtwoordmanager.
Schakel je nu bij Google passkeys in, dan wordt de passkey in eerste instantie geactiveerd op je Android-smartphone waar al een Google-account opstaat. Wil je vervolgens op een Windows-computer inloggen op je Google-account via een passkey, dan verschijnt er een QR-code die je moet scannen met je smartphone. Je telefoon probeert vervolgens een link tot stand te brengen, om zo de passkey-authenticatie uit te voeren. Tijdens onze test weigerde de Android-telefoon echter om te verbinden met de Windowscomputer.
Precies daarom zijn passkeys voor Google een optie en niet meer dan dat. Op dit moment blijft ook je wachtwoord gekoppeld aan je Google-account. Moet je toch eens ergens onverwachts inloggen, dan blijft dat dus mogelijk met je wachtwoord. Tijdens bovenstaande test konden we wel gewoon met wachtwoord en 2FA inloggen. Op termijn hoopt Google wel dat wachtwoorden zullen verdwijnen. In afwachting blijft het wel belangrijk om een veilig en lang wachtwoord te hanteren.
Belangrijke stap
Dat Google passkeys omarmt, is een belangrijke stap naar een wachtwoordvrije toekomst. Google is echter niet de enige. Het bedrijf werkt samen met onder andere Apple en Microsoft in de FIDO-alliantie om op een gestandaardiseerde manier alternatieven voor wachtwoorden naar de massa te brengen. Microsoft laat je al sinds 2021 toe om niet alleen in te loggen met een passkey, maar ook echt om je wachtwoord te verwijderen van je account. Dat laatste is een grote maar belangrijke stap: pas wanneer het wachtwoord helemaal is verdwenen, kan een cybercrimineel het niet meer misbruiken om op je account in te loggen.
Google rolt passkeys in eerste instantie uit naar persoonlijke accounts. Beheerders van Google Workspace-accounts krijgen binnenkort ook de mogelijkheid om eindgebruikers toegang te geven tot passkeys, maar Google specifieert niet wanneer precies.