Passkeys hebben een marketingprobleem, waardoor ze worden voorgesteld als een heilige graal die alle vormen van phishing uit de wereld helpen. In werkelijkheid is dat verhaal veel genuanceerder en pakken ze slechts één specifieke vorm van phishing aan. Ondanks dat passkeys de beloftes van de marketingverhalen niet kunnen inlossen, zijn securityspecialisten wel overtuigd van het gebruik van passkeys en het nut ervan. Door het gebruiksgemak pakt het de adoptieproblemen waar bijvoorbeeld MFA mee te kampen aan, vindt KnowBe4.
“Vergelijk het met een auto waarin alleen in het stuur een airbag zit”, stelt Jelle Wieringa, Security Advocate van KnowBe4. “Het zal zeker bescherming bieden voor je lichaam. Maar de autoverkoper kan niet stellen dat deze airbag de hele auto veilig maakt. Daar zijn meer maatregelen voor nodig.” Dat idee trekt hij door naar het gebruik van passkeys. De perfecte wachtwoordhygiëne staat op dit moment niet gelijk aan het gebruiken van passkeys. Het moet een geheel vormen waarin een sterk wachtwoord wordt gebruikt, een wachtwoordkluis dit sterk wachtwoord voor de gebruiker onthoudt, MFA aan te pas komt waar mogelijk en ook passkeys aan te pas komen waar mogelijk.
Weinig ondersteuning bij zakelijke oplossingen
Voorlopig is het zelf onmogelijk om een wachtwoordbeleid volledig af te stemmen op passkeys. “In de zakelijke markt zijn er nog te veel platformen die passkeys zelfs helemaal niet ondersteunen”, weet Wieringa. Wachten tot deze platformen daar verandering in brengen, is je eigen cybersecurity in gevaar brengen. “Laat je als bedrijf niet tegenhouden om andere technologieën nu te installeren en laat MFA zeker niet aan de kant liggen.”
Want ook als passkeys eenmaal door het merendeel van de aanbieders van zakelijke oplossingen wordt aangeboden, blijven andere security-tools relevant. “Passkeys heersen met een marketingprobleem. Aanbieders durven te stellen dat passkeys phishing de wereld uithelpt en dat is een beetje kort door de bocht”, stelt Wieringa. Hij heeft als cybersecurity-specialist bij KnowBe4, een aanbieder van security-oplossingen en –trainingen voor phishingaanvallen een goed beeld op de phishing-technieken van hackers. Passkeys blijken alleen een oplossing te vormen voor authenticatie-phishing. Een belangrijke nuance want deze vorm van phishing is ook nog eens technisch moeilijk en tijdsintensief, waardoor authenticatie-phishing eigenlijk maar een klein aantal phishing-aanvallen betreft.
Geen bescherming voor populairste phishing-techniek
“Phishing verloopt in de meeste gevallen via social engineering-technieken. Deze technieken zijn immuun voor passkeys en zullen dus gewoon mogelijk blijven “, vertelt Wieringa. Bij social engineering-technieken proberen aanvallers in te spelen op het menselijke van een slachtoffer. Zij bellen bijvoorbeeld een slachtoffer op en geven zich uit als een behulpzame bankbediende die een probleem in de bankomgeving wel voor de klant wil oplossen. De bankbediende heeft hier alleen nog het wachtwoord van het slachtoffer voor nodig. Bij een passkey kan de oplichter nog steeds vragen naar bijvoorbeeld de PIN-code of het ontgrendelpatroon waarmee de passkey wordt beveiligd. Als het slachtoffer al zo ver is mee te werken met de hacker die zich uitgeeft als bankbediende, zal deze extra authenticatie geen moeilijkheid meer vormen.
De passkey nu dan omarmen als een extra beveiliging kan zeker een goede zaak zijn. “Passkeys zijn de volgende evolutie in cybersecurity en zijn enorm gebruiksvriendelijk.” Dit geeft de technologie zeker het potentieel om uit te groeien tot iets groot. In het gebruiken van passkeys ziet Wieringa dan ook geen enkel probleem, hij moedigt het zelf aan
Alleen zitten er op dit moment nog veel ogen en haken aan het verhaal. Voor bedrijven is het daarom bekijken wat de prioriteit verdient. Nu de technologie nog niet zo breed omarmt wordt en zeker bij veel zakelijke oplossingen nog niet op poten staat, kan het verstandiger zijn om eerst grotere problemen aan te pakken. “Ik hoorde laatst nog iemand zeggen dat passkeys dichten wel zeker een gat, maar dat gat is veel kleiner dan wat een goed patchingbeleid kan oplossen. Ik kan die persoon moeilijk ongelijk geven en het is dus nog een kwestie van prioriteitstelling voor bedrijven.”
Aanvulling op een goede basis
Dan blijft er ook nog het stuk over hoe de implementatie precies moet verlopen. “Bij veel bedrijven is de wachtwoordhygiëne nog niet eens op orde. Om dan nu de passkey erdoor te drukken als de nieuwe standaard, is een heel slecht idee. Het is belangrijk om eerst de basis op orde te krijgen en van daaruit verder te werken”, stelt Wieringa. Hij ziet het zo dat de structuur eerst afhangt van het wachtwoord, er dan een wachtwoordkluis bovenop komt en dat MFA en passkeys dan zeker gebruikt moeten worden waar het mogelijk is. MFA en passkeys zijn dus alleen de extra lagen die boven op de basis worden gelegd.
Het is belangrijk dat die boodschap bij de bedrijven goed zit en de misvattingen over de passkeys als heilige graal tegen phishing de wereld uit worden geholpen. “Het is belangrijk om te beseffen wat passkeys precies oplossen. Dat lijstje is niet bijster lang en die details worden door de marketingcampagnes vaak net even vergeten.”
Lees ook: Hoe ziet een doeltreffende security awareness-training eruit?
18 uur geleden
