3min

Tags in dit artikel

, , ,

In navolging van Apple en Microsoft kiest ook Google voor het invoeren van passkeys. Het bedrijf laat via de security-blog weten hoe gebruikers de nieuwe feature aan kunnen zetten. Lang niet alle websites ondersteunen de inlogmethode, maar door de ondersteuning van Google kan hier wellicht verandering in komen.

Google is zeker niet de eerste partij die komt met passkeys. Apple kondigde de functionaliteit eind 2022 aan en ook Microsoft is ermee bezig. Daarnaast heeft wachtwoordmanager 1Password sinds de overname van passkey-startup Passage ondersteuning voor de sterke beveiligingsmethode.

Werking

De beperkingen van wachtwoorden zijn bekend: ze kunnen voorspelbaar zijn, meerdere malen ingezet worden of lekken. MFA (multi-factor authentication) is veiliger, maar kent zo zijn beperkingen. In tegenstelling tot klassieke wachtwoorden en MFA is de inlogmethode afhankelijk van biometrische data, zoals een vingerafdruk of irisscan. Op die manier is de passkey dus afhankelijk van dezelfde technologie waarmee de toegang tot smartphones veilig en gepersonaliseerd is. Het onthouden van een wachtwoord is dan ook verleden tijd. Met andere woorden: je bent niet afhankelijk van wat je weet (wachtwoord) en hebt (de hardware waarmee je inlogt), maar van wat je hebt en wat je bent (biometrische data).

Halverwege oktober ging Google in bèta-vorm aan de slag met passkeys. Het begon met het vrijgeven van initiële passkey-ondersteuning voor ontwikkelaars. Het bedrijf kondigde de ondersteuning voor andere omgevingen, zoals Android-apps en Google Chrome in december vorig jaar aan.

Lees voor meer informatie: Wat zijn Passkeys? Authenticatie zonder menselijke tussenkomst

Positief

Passkeys zijn gebaseerd op een standaard die bepaald is door de FIDO Alliance en de World Wide Web Consortium. FIDO-directeur Andrew Shikiar is te spreken over het besluit van Google om mee te doen aan deze standaard. “We zijn verheugd met Google’s aankondiging vandaag omdat het een belangrijk keerpunt is op het gebied van passkey-ondersteuning. Dit zowel door de omvang van Google en de implementatie ervan: elke Google Account-bezitter kan passkeys gebruiken.”

Google zegt van plan te zijn om op langere termijn helemaal over te gaan op passkeys. Zo worden wachtwoorden op den duur verleden tijd, en daarmee ook de talloze security-gevaren die ze in de hand werken. Volgens NordVPN-initiatief NordPass zorgt onzorgvuldig gebruik van wachtwoorden voor meer dan 80 procent van de datalekken in 2022. Denk aan makkelijk te raden of herhaaldelijke wachtwoordkeuzes en het opslaan ervan in browser-cookies.

Beluister ook onze Techzine Talks-aflevering over dit onderwerp:

Anti-phishing

Google verwijst in de titel van de security-blog naar de extra beveiliging die passkeys bieden tegen phishing. Veel oplichters slagen erin hun slachtoffer te beroven door zich als iemand anders voor te doen, zoals een bank of een overheidsinstelling. Gebruikers die op de link van de phishing-mail klikken, worden veelal omgeleid naar een fopversie van een legitieme website. Het nietsvermoedende slachtoffer vult de inloggegevens in en overhandigt daarmee de informatie waar de scammer naar op zoek is. Door alleen uit te gaan van passkeys is dit in theorie onmogelijk, omdat een partij als Google diens passkey-ondersteuning alleen verleent aan geverifieerde platforms.

Wat is dan nog het belang van een wachtwoordmanager? Zoals eerder gezegd kan een partij als 1Password de functionaliteit in zijn services integreren, waardoor ook die diensten veiliger zijn. Zolang er nog websites zijn die passkey-ondersteuning missen, blijft een dergelijke service uitermate handig. Daarnaast is het vele malen veiliger dan het automatisch opslaan van wachtwoorden in de browser, omdat die via het stelen van cookie-gegevens of door de aanwezigheid van malware opgepikt kunnen worden door cybercriminelen.