4min

De technologische industrie is al heel lang bezig met het ontwikkelen van een toekomst met wachtwoordloze (passwordless) authenticatie. Die toekomst is nu, met passkeys. Maar wat zijn passkeys?

De FIDO Alliance is bijna tien jaar geleden opgericht met als doel de afhankelijkheid van wachtwoorden te verminderen. Er is nu met passkeys een innovatief concept waarin het afschaffen van wachtwoorden mogelijk wordt.

Passkeys kunnen de noodzaak voor gebruikers om wachtwoorden aan te maken, te onthouden en een goede wachtwoordhygiëne te handhaven, wegnemen. Er zijn enkele beperkingen, en passkeys staan nog in de kinderschoenen. De kans is echter groot dat dit snel zal veranderen, en dat ze uiteindelijk wachtwoorden volledig zullen vervangen. Mensen zullen vrijwel wachtwoordloos worden.

De opkomst van de passkey

Apple was het eerste bedrijf dat passkey-ondersteuning uitrolde en toegankelijk maakte. Het bedrijf baarde in september opzien door ondersteuning vrij te geven in zijn meest recente iOS-versie. Apple volgde vervolgens ook al met macOS Ventura. Met Apple passkeys kun je Face ID of Touch ID gebruiken om je aan te melden bij websites en applicaties.

Halverwege oktober stapte Google, als onderdeel van zijn bèta-initiatief, van de zijlijn. Het begon met het vrijgeven van initiële passkey-ondersteuning voor ontwikkelaars. Het bedrijf kondigde de ondersteuning voor andere omgevingen, zoals Android-apps en Google Chrome in december vorig jaar aan. Ondersteuning voor passkeys in wachtwoordmanagers van derden op Android moet nog volgen, Microsoft lanceert dit jaar ook ondersteuning voor passkeys in Windows 10 en Windows 11. Microsoft is overigens al jaren bezig om passwordless gemeengoed te maken. Nu hebben de drie grote techgiganten de handen ineen geslagen om passkeys in te markt te zetten.

Eindgebruikers hebben of zullen binnenkort de keuze krijgen om passkeys te gaan gebruiken, maar wanneer precies hangt ook af van de websites die ze ondersteunen. Wanneer ze deze optie bieden, zullen gebruikers via de cloud gesynchroniseerde passkeys kunnen gebruiken met Apple’s of Google’s Password Manager, door gebruik te maken van biometrische beveiliging of de beveiligingspincode op hun tweede apparaat. Veelal een smartphone.

Hoe werken passkeys?

Websites gebruiken een authenticator om toegang te geven tot een account in plaats van de traditionele manier van het invoeren van een gebruikersnaam en wachtwoord. Meestal is deze authenticator een ander apparaat dat gebruikers bezitten, zoals een smartphone. Gebruikers vullen gewoon hun e-mailadres in en hun favoriete wachtwoordmanager start het authenticatieproces en het tweede apparaat geeft een melding of je wilt inloggen.

De gebruiker logt vervolgens in op zijn apparaat met zijn gewone pincode of biometrische gegevens (vingerafdruk, irisscan), in plaats van de account op de website waartoe hij toegang probeert te krijgen. Als er is ingelogd op het apparaat, krijgen de authenticator en de website een signaal vanuit de cloud en ben je ingelogd op de website. In zekere zin is de account dan toegankelijk door het bezit van het authenticatiemiddel in plaats van een gegeven wachtwoord.

Veel van de nadelen van wachtwoorden zijn te wijten aan het menselijk element. Slechte wachtwoordhygiëne, zwakke letter-cijfer-symboolcombinaties, vergeetachtigheid en het gebruik van hetzelfde wachtwoord voor meerdere accounts. Dit is met passkeys allemaal niet meer relevant. Hackers kunnen nu alleen toegang krijgen tot deze accounts als zij ook in het bezit zijn van het authenticatietoestel.

Voor- en nadelen van paskeys

Passkeys hebben verschillende voordelen. In de praktijk lijken ze sterk op het gebruik van een wachtwoordmanager, het aanmaken van een sterk wachtwoord en het verifiëren van de identificatie met behulp van biometrie. Daardoor zullen gebruikers, zodra ze de voordelen inzien, het proces niet moeilijk of ingewikkeld vinden en deze technologie waarschijnlijk snel omarmen.

Lees ook: 1Password zegt vaarwel tegen wachtwoorden en hallo tegen passkeys

Passkeys zorgen ervoor dat gebruikers geen wachtwoorden hoeven te onthouden doordat er geen wachtwoorden meer nodig zijn. Daarbij hoeven gebruikers alleen hun inloggegevens voor hun Apple-, Google- of Microsoft-accounts te onthouden. Of een andere wachtwoordmanager van een derde partij. De gegevens om zich aan te melden op hun computers en de pincode voor hun smartphone de enige die ze nog hoeven te onthouden.

Wachtwoorden kunnen ook worden gesynchroniseerd en geback-upt, geëxporteerd en geïmporteerd, zijn ze niet beperkt tot gebruik op één apparaat.

Geen phishing meer

Qua beveiliging is phishing technisch onmogelijk met passkeys. Ook al lijken valse websites legitiem, zijn ze extreem goed nagebouwd, ze kunnen geen passkey verkrijgen of doorgeven aan de echte site, omdat websites zich identificeren via certificaten. Passkeys zijn gekoppeld aan de originele domeinnaam of applicatie, hierdoor werken valse phishing websites simpelweg niet.

Er zijn echter ook enkele nadelen. Voorlopig zullen websites nog beide opties aanbieden om in te loggen met een passkey of met een gebruikersnaam/wachtwoord combinatie. Als gebruikers voor het laatste kiezen, zijn hun accounts en informatie nog steeds kwetsbaar voor hacking of phishing.

Daarnaast kunnen gebruikers de toegang tot hun passkeys verliezen als ze de toegang tot hun Android-, Windows- of iCloud-accounts verliezen. Het lijkt echter cruciaal dat passkeys volledig overdraagbaar zijn en niet beperkt zijn tot aanbieders van besturingssystemen. Daarom bieden een aantal wachtwoordmanagers zoals 1Password, NordPass en Dashlane ondersteuning voor passkeys.

Tip: Passkeys-oplossing NordPass pakt wachtwoordprobleem aan

Last but not least, omdat passkeys volledig privé zijn, is het voor bedrijven lastiger te beheren. Zeker met betrekking tot het verlenen van toegang aan werknemers tot websites en diensten. Voor sommige bedrijven zal aanvullende technologie nodig zijn om dit type credential management te implementeren. Het IT-personeel van het bedrijf moet op een of andere manier de toegang kunnen regelen middels passkeys. Dat lijkt nu nog onmogelijk.