De cybersecurity-industrie komt er langzaamaan achter dat gebruiksvriendelijkheid van beveiligingsoplossingen omhoog moet en dus anders geregeld moet worden. Jaren geleden was de keuze voor de consument eenvoudig: Of je koos voor strenge beveiliging, of voor gebruiksvriendelijkheid. Dat impliceert dat goede beveiliging niet gebruiksvriendelijk was en gebruiksvriendelijke beveiliging was niet optimaal veilig. Anno 2024 is het daarom hoog tijd voor een nieuwe route, of ‘gulden middenweg’. En dat kan ook omdat technologische ontwikkeling niet heeft stilgestaan. De introductie van passkeys is daarvan een mooi voorbeeld.
Al decennialang gebruiken we wachtwoorden en andere technieken voor onze online beveiliging. Bij wachtwoorden gaat het echter niet alleen om de techniek, maar ook om de gebruiker. Onveiligheid in online omgevingen op basis van slechts wachtwoorden worden namelijk vooral veroorzaakt door gebruikers zelf en niet zozeer door de gebruikte techniek. De gebruiker bepaalt immers zelf zijn of haar wachtwoord, hoe uniek deze is en hoe hij/zij ermee omgaat. Door de jaren heen zijn daar aanvullende oplossingen voor bedacht die in technisch opzicht prima werken, zoals tokens of multi-factor authenticatie (MFA). Ondanks dat je vaak meerdere apparaten tegelijkertijd moest gebruiken voor het authenticatieproces, nam de gebruiksvriendelijkheid toe. Toch waren de gebruiksvriendelijkheid en veiligheid nog steeds niet op het gewenste niveau.
Zie daar: de passkeys
FIDO Alliance kwam in 2015 met een antwoord in de vorm van de FIDO2 authentication key. Deze standaard is eigenlijk niets anders dan een passkey. Met zo’n passkey is een onveilig wachtwoord verleden tijd. Een passkey werkt met public-key cryptography: tijdens een autenticatieprocedure – waarin jij inlogt middels biometrie, een veegpatroon of een pincode – worden op de achtergrond twee authenticatiesleutels – één op je apparaat en één op de site of app – met elkaar gematcht. Door deze moeilijk te hacken vorm van cryptografie is de passkey onthaald als een heilige graal binnen de security-wereld.
Toch hebben passkeys vooralsnog een grote uitdaging. Dat is niet het gebruiksgemak of de techniek, maar de adoptie ervan. Passkeys worden nog niet door genoeg organisaties en online omgevingen omarmd om de massa te overtuigen en het volledige potentieel ervan te ontsluiten. Dat is in eerste instantie vreemd: biometrie gebruiken we namelijk al een tijdje. Denk aan gezichtsherkenning op telefoons of het scannen van je vingerafdruk. Hoe kan het dan dat de adoptie van passkeys nog niet op het gewenste niveau is? Dit komt onder andere doordat mensen zo gewend zijn aan de traditionele manier van werken met wachtwoorden. Dat is ook niet gek, er zijn immers honderdduizenden sites die wachtwoorden gebruiken.
Daar komt bij dat mensen de grote techreuzen die de passkey al geïntroduceerd hebben – denk dan bijvoorbeeld aan Google en Facebook – niet meer zomaar vertrouwen na al het negatieve (nep)nieuws en schandalen. Die kunnen nieuwe technieken introduceren, maar veel mensen staan daar vaak wantrouwend tegenover omdat ze hun privégegevens niet willen delen met dergelijke organisaties.
George Clooney, what else?
Onbegrepen maakt onbemind: de enige manier waarmee passkeys op relatief korte termijn door de massa worden omarmd is door goede communicatie. Denk dan aan communicatie van populaire influencers (bijvoorbeeld via een paar goede passkey advocates), de overheid, goede promotiecampagnes. Als de industrie de passkey omarmt, dan volgt de massa vanzelf. De passkey heeft dus een soort van – what else – George Clooney nodig om de passkey net zo succesvol en algemeen te maken als die populaire koffieapparatuur.
Massa-adoptie gebeurt niet zonder besef
Met de techniek achter passkeys is de balans tussen veiligheid en gebruiksvriendelijkheid behoorlijk bereikt. Helaas zijn er weinig mensen die zich dat realiseren. Soms simpelweg omdat ze niet weten dat passkeys bestaan. Veel van hen maken nog altijd gebruik van de traditionele methodes met simpele wachtwoorden. Anderen kiezen er bewust voor om een viercijferige code te gebruiken. Dit geldt met name voor de wat oudere generaties, maar ook jongeren mogen hierin niet onderschat worden. Het vertrouwen onderling is bij hen heel hoog, en dat maakt ze vaak laconiek met betrekking tot security. Het zit in de aard van de mens om de weg van de minste weerstand te kiezen. Wachtwoorden kan je tenminste opschrijven in een boekje dat je bij de computer kunt bewaren.
Als passkeys willen slagen als dé authenticatiemethode en niet zwijgzaam ten onder gaan door een gebrek aan urgentie, is het belangrijk dat de techniek breed geadopteerd wordt door de industrie. Met of zonder George. Voor zo’n scenario is het noodzakelijk dat mensen de techniek en de voordelen ervan kennen. Bovendien moet het gebruik van passkeys overal op dezelfde manier werken en worden toegepast. De basis begint bij bewustzijn. Als je daar niks aan doet, dan wordt het ook niks.
Dit is een ingezonden bijdrage van KnowBe4. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
22 uur geleden
