Passkeys: wat ze zijn en hoe ze werken
We gebruiken allemaal dagelijks wachtwoorden om in te loggen op onze apparaten en online accounts. Maar dat betekent niet dat ze een perfecte oplossing zijn.
Als je geen wachtwoordmanager hebt, kan het uitdagend zijn om honderden sterke wachtwoorden te creëren en te onthouden. Veel mensen geven het op en gebruiken hetzelfde wachtwoord, of een paar voorspelbare wachtwoorden, wat het voor cybercriminelen makkelijker maakt om hun accounts te kapen.
Daar komen passkeys in beeld. Je hebt misschien van ze gehoord in het nieuws, en met goede reden. Veel bedrijven (waaronder 1Password) zijn enthousiast over het potentieel van deze technologie als een eenvoudige, snelle en veilige inlogoplossing voor iedereen. Hier gaan we in op wat passkeys zijn, hoe ze werken, en enkele voordelen die ze bieden ten opzichte van traditionele wachtwoorden.
Wat zijn passkeys?
Passkeys stellen je in staat om online accounts te creëren en erop in te loggen zonder een wachtwoord in te voeren.
Wanneer passkeys correct geïmplementeerd zijn, hoef je niets uit te typen. Je hoeft geen tweefactorauthenticatiecode in te voeren. En je hoeft je geen zorgen te maken over of iemand je probeert te misleiden met een nepwebsite.
In plaats daarvan heb je alleen je gekozen authenticator nodig. In die context van passkeys, zou dit je telefoon, tablet of PC kunnen zijn. Je apparaat zal je vragen om te verifiëren met je gezicht of vingerafdruk als beveiligingsmaatregel, maar dat is het.
Je vraagt je nu waarschijnlijk af: "Oké, dat klinkt geweldig. Maar hoe is dit mogelijk?" Laten we die vraag als volgende behandelen.
Hoe passkeys werken
Passkeys maken gebruik van een API genaamd WebAuthn, of Web Authentication. De API is gezamenlijk ontwikkeld door de FIDO Alliance, een open industrieassociatie die de wereld minder afhankelijk wil maken van wachtwoorden, en het World Wide Web Consortium (W3C), een gemeenschap die samenwerkt om nieuwe normen en richtlijnen voor het web te ontwikkelen.
In plaats van een traditioneel wachtwoord gebruikt WebAuthn openbare en private sleutels - ook bekend als public-key cryptografie - om te controleren of jij bent wie je zegt dat je bent. Openbare en private sleutels zijn wiskundig aan elkaar gekoppeld. Je kunt ze zien als puzzelstukjes die in elkaar passen; ze zijn ontworpen om samen te gaan, en je hebt beide stukjes nodig om succesvol te authenticeren.
Zoals de naam al aangeeft, kan de openbare sleutel openbaar gedeeld worden. Dat betekent dat de website of app waarop je wilt inloggen je openbare sleutel kan zien en opslaan. De private sleutel, daarentegen, wordt geheim en veilig bewaard. Het wordt gebruikt om gegevens te decoderen die zijn versleuteld met je openbare sleutel.
In tegenstelling tot een traditioneel wachtwoord, wordt de private sleutel nooit gedeeld met de site waarop je wilt inloggen, of op hun servers opgeslagen.
Hoe passkeys verschillen van wat eerder is gekomen
WebAuthn is geen nieuw idee. Het project is in 2016 gestart en de WebAuthn Level 1-standaard werd drie jaar later gepubliceerd als een W3C-aanbeveling. Vandaag wordt de API ondersteund door veel browsers, waaronder Chrome, Safari en Edge.
Maar de standaard is nog niet volledig mainstream. Er zijn momenteel weinig websites die een wachtwoordloze login-ervaring aanbieden, dus de meeste mensen gebruiken nog steeds een traditionele gebruikersnaam en wachtwoord voor al hun online accounts.
Passkeys maken het voor iedereen makkelijker om wachtwoordloze authenticatie te gebruiken op al hun apparaten. Misschien nog belangrijker, ze worden gesteund door invloedrijke technologiebedrijven zoals Apple, Google, Microsoft, en... 1Password! Door samen passkeys te promoten, kan deze groep het bewustzijn en daarmee de algehele adoptie wereldwijd verhogen.
Wat gebeurt er als je een passkey creëert en gebruikt
Laten we in detail bekijken hoe passkeys in de praktijk werken.
Stel je voor dat je een website bezoekt die passkeys ondersteunt. Eerst maak je een account aan op de betreffende website en kies je de optie om het te beveiligen met een passkey, in plaats van een traditioneel wachtwoord.
De server van de website deelt wat informatie over de website en vraagt je om je authenticator te bevestigen. Dit kan je telefoon, tablet, PC zijn... of in de niet zo verre toekomst, een wachtwoordmanager zoals 1Password.
Een passkey - die je openbare en private sleutelpaar bevat - wordt dan gegenereerd voor die specifieke website. Dit gebeurt lokaal, op je apparaat. De openbare sleutel wordt naar de server van de website gestuurd voor opslag, terwijl de private sleutel veilig bewaard blijft in je authenticator.
De volgende keer dat je inlogt, maakt de website een "uitdaging" aan, wat een beetje lijkt op een puzzel. Je authenticator zal de uitdaging "ondertekenen" met je private sleutel, en dan de voltooide "handtekening" naar de website sturen. Ten slotte gebruikt de website hun kopie van je openbare sleutel om de authenticiteit van de handtekening te verifiëren.
En dat is het! Je hebt ingelogd met je unieke passkey.
De voordelen van passkeys
Hier zijn slechts een paar redenen waarom passkeys een eenvoudige en veilige inlogoplossing zijn:
Elke passkey is standaard sterk. Je hoeft niets handmatig te creëren, of je zorgen te maken of je private key lang of willekeurig genoeg is. Je maakt gewoon een account aan en laat je authenticator een veilig publiek en privé sleutelpaar voor jou genereren.
Je hoeft je passkeys niet te onthouden of uit te typen. Je private key wordt opgeslagen op je apparaat en automatisch opgehaald wanneer je wilt inloggen op je account. Een kopie van je publieke sleutel wordt opgeslagen bij de accountaanbieder, dus je hoeft het nooit uit te typen of zelfs maar automatisch in te vullen.
Je private key wordt nooit gedeeld met de website waarop je wilt inloggen. Dat betekent dat je je geen zorgen hoeft te maken over hoe de website je inloggegevens opslaat, want de publieke sleutel kan op zichzelf geen toegang geven tot je account, zelfs niet als deze gestolen zou worden.
Je publieke sleutel kan niet worden gebruikt om je private key te achterhalen. Als een crimineel de servers van een website binnendringt, is het beste wat ze kunnen hopen te vinden je publieke sleutel, die niet kan worden gebruikt om in te loggen op je account en niet kan worden reverse-engineered om je private key te onthullen.
Passkeys zijn een sterke verdediging tegen phishing en social engineering aanvallen. Criminelen creëren vaak nep maar schijnbaar authentieke websites om je te proberen te verleiden je inloggegevens te delen. WebAuthn beschermt je door ervoor te zorgen dat je je inloggegevens nooit deelt met onbetrouwbare websites.
1Password en passkeys
Hier bij MyDigitals zijn we enthousiast over het potentieel van passkeys. We zijn ook enthousiast dat de wachtwoordenmanager waar wij mee werken (1Password) zich heeft aangesloten bij de FIDO Alliance, waaronder ook andere ondersteuners van passkeys zoals Apple, Google en Microsoft. Dit creëert de kans om veilige, eenvoudige en snelle inlogoplossingen te bouwen voor iedereen.
1Password werkt momenteel al aan de integratie van passkeys in haar password manager, zodat je alles wat belangrijk is in je digitale leven kunt blijven beheren en beschermen. Dat omvat passkeys, wachtwoorden, credit- en debitcards, adressen, medische dossiers, software licentiesleutels, documenten, veilige notities en meer.
In onderstaande video vertelt Nick Steele, Staff Technical Product Manager van 1Password, hoe de veilige authenticatie met passkeys werkt.
De eindconclusie
Passkeys zijn een veelbelovende stap voorwaarts voor passwordless authenticatie. Ze maken het eenvoudig om je bestaande apparaten te gebruiken om in te loggen, in plaats van een hardware security key. Simpel en veilig!
Ben je benieuwd of het gebruiken van passkeys door middel van 1Password geschikt is jouw organsatie? Plan dan direct een vrijblijvende online demonstratie.
Plan een demonstratieMeer weten?
Joost van Wijk helpt je graag verder. Je kunt hem bereiken op: joost+website@mydigitals.nl