18 oktober 2023

Passkeys: Neem afscheid van je wachtwoord!

In dit blogartikel lees je hoe Passkeys werken en hoe ze ons gaan verlossen van de ongebruiksvriendelijkheid van wachtwoorden en multi-factor authenticatie.

Er wordt al jaren aan gewerkt, maar de opvolger van ons geliefde en gehate wachtwoord is weer een grote stap dichterbij. Het wordt tijd om afscheid te nemen.

In een eerder blog schreven we over inloggen met MFA en FIDO keys, maar beide technieken hebben duidelijke nadelen. MFA (Multi Factor Authentication) is veiliger dan alleen wachtwoorden maar eigenlijk niet veilig genoeg. Bovendien vergt het extra handelingen van de gebruiker en is daarom niet zo gebruiksvriendelijk. FIDO keys zijn veiliger maar omdat je er een fysieke key voor nodig hebt is het niet gebruiksvriendelijk genoeg om massaal te gaan gebruiken

Daarom heeft de FIDO Alliance (een samenwerkingsverband van alle grote tech-bedrijven) een nieuwe technologie ontwikkeld: passkeys. Hierin wordt de veiligheid van FIDO keys gecombineerd met ultiem gebruiksgemak, zonder dat er grote concessies aan de veiligheid gedaan worden.

Benieuwd hoe Passkeys werken en ze ons gaan verlossen van wachtwoorden en multi-factor authenticatie? Je leest het in dit blogartikel.

Hoe werken passkeys?

Passkeys werken net als FIDO keys op basis van “asymmetrische encryptie” – een combinatie van een privé en publieke sleutel. Hiermee kan een gebruiker zich identificeren, zonder dat er een wachtwoord op de server is opgeslagen. Als een server dan gehackt wordt valt er dus niets te halen, want er zijn immers geen gebruikerswachtwoorden aanwezig.

Het mooie van passkeys is dat de technologie ook andersom werkt. De server die om de identificatie van de gebruiker vraagt moet zich namelijk ook identificeren richting de gebruiker. Hiervoor wordt het tweede sleutelpaar gebuikt. Dit is de ultieme beveiliging tegen phishing, omdat authenticatie van de gebruiker alleen kan plaatsvinden wanneer de legitieme server erom vraagt.

Wat is het verschil tussen Passkeys en FIDO keys?

Het grote verschil tussen een passkey en een FIDO key is dat een FIDO key aan hardware gebonden is, en een passkey niet. Dit maakt het mogelijk om een passkey op meerdere apparaten op te slaan. Wanneer je passkeys synchroniseert via de cloud kun je deze op meerdere apparaten gebruiken en heb je ook een back-up als je een keer je telefoon of laptop verliest. In het dagelijks gebruik is dit een groot voordeel.

Bij FIDO keys is dit niet mogelijk, de private sleutel staat alleen op de fysieke sleutel opgeslagen en kan niet worden gedeeld over meerdere apparaten. Als back-up heb je dus eigenlijk altijd een tweede FIDO key nodig, en dat is in de praktijk lastig. Het gebruik van passkeys is daardoor iets minder veilig dan fysieke FIDO keys, maar voor doorsnee gebruikers is het veilig genoeg en het extra gebruiksgemak zeker waard.

Wat is er nodig voor een Passkey?

Om passkeys in de praktijk te laten werken, zijn er twee zaken nodig:

  1. De gebruiker moet zijn passkeys ergens veilig kunnen opslaan
  2. De servers moeten het gebruik van passkeys ondersteunen

Het eerste is vrij gemakkelijk: de ingebouwde password managers van Android (vanaf versie 9) en IoS (vanaf versie 16) ondersteunen passkeys. Hierdoor kunnen de meeste smartphones direct gebruikt worden voor het beheren van passkeys.

Gebruik je liever een onafhankelijke passkey manager? Dat kan ook. Diverse leveranciers van passwordmanagers zoals 1Password en LastPass ondersteunen het gebruik van passkeys al via de browser, en binnenkort wordt het gebruik van zulke onafhankelijke passkey managers ook op mobiele telefoons ondersteund.

Het tweede onderdeel is de server waar je op inlogt, deze moet uiteraard het gebruik van passkeys ondersteunen. De lijst met passkey websites is helaas nog niet zo lang, maar groeit snel. Op https://passkeys.directory vind je een overzicht van websites die passkeys ondersteunen. Grote partijen zoals Apple, Google en Microsoft staan al in de lijst, maar om volledig afscheid te nemen van het wachtwoord moet de lijst nog behoorlijk groeien.

Conclusie

Passkeys zijn de toekomst: geen complexe reeks van tekens meer verzinnen en onthouden, geen wachtwoord dat gestolen kan worden via phishing en nooit meer een MFA code overtypen. En wat zal de IT-beheerder opgelucht zijn als deze nooit meer een wachtwoord reset hoeft uit te voeren. Dus, laat die passkeys maar komen!


Advies nodig bij het vinden van de beste oplossing voor uw bedrijf?
Wij helpen u graag verder!