Wat zijn Passkeys nou eigenlijk?
Een passkey is een moderne wachtwoordloze authenticatietechnologie waarmee gebruikers zich kunenn aanmelden bij accounts en apps via een cryptografische sleutel in plaats van een wachtwoord. Een passkey maakt gebruik van biometrische gegevens (vingerafdruk, gezichtsherkenning, etc.) om de gebruikersidentiteit te bevestigen.
Wat is het verschil tussen een passkey en een wachtwoord?
Passkeys en wachtwoorden verschillen behoorlijk van elkaar.
Wat is een wachtwoord?
Een wachtwoord is een tekenreeks die gebruikers moeten verstrekken wanneer ze zich aanmelden bij een website of een app, vaak samen met een gebruikersnaam. Om gegevenslekken en overnames van accounts te voorkomen, adviseert NIST om wachtwoorden het volgende te laten bevatten:
- Een minimum van acht tekens
- De mogelijkheid om alle speciale tekens te gebruiken, maar geen speciale vereisten om ze te gebruiken
- Beperking van opeenvolgende en zich herhalende tekens (bijv. 12345 of aaaaaaa)
- Beperking van contextspecifieke wachtwoorden (bijvoorbeeld de naam van de site)
- Beperking van vaak gebruikte wachtwoorden (bijvoorbeeld qwerty, password123) en woorden uit het woordenboek
Wat is een passkey?
Een passkey is een nieuwe authenticatietechnologie die gebruikmaakt van openbare sleutel-cryptografie om gebruikers in staat te stellen om zich aan te melden bij websites en apps zonder dat ze een wachtwoord in hoeven te voeren.
In plaats daarvan authenticeren gebruikers zich op dezelfde manier als waarop ze hun telefoons en tablets ontgrendelen: met hun vingerafdruk, gezicht of andere biometrische gegevens; door een veegpatroon te gebruiken; of door een pincode in te vullen. Omwille van het gemak zullen de meeste mensen kiezen voor biometrische authenticatie.
In plaats van een wachtwoord samen te stellen om zich aan te melden bij een account, genereren gebruikers een passkey – wat in feite een paar is dat bestaat uit één privé en één openbare sleutel – via een ‘authenticator’. Deze ‘authenticator’ kan een apparaat zijn, zoals een smartphone of een tablet, een browser of een Passwordmanager (zoals LastPass) die passkey-technologie ondersteunt. Voordat een passkey wordt gegenereerd, moet de gebruiker zich identificeren via een pincode, veegpatroon of biometrische gegevens. De authenticator stuurt vervolgende de openbare sleutel (die ruwweg overeenkomt met een gebruikersnaam) naar de accountserver om op te slaan, en de authenticator slaat de privésleutel veilig lokaal op. Als de authenticator een smartphone of een ander apparaat is, wordt de privésleutel opgeslagen in de sleutelhanger van het apparaat. Als de authenticator een passwordmanager is, wordt de privésleutel opgeslagen in de versleutelde kluis van de wachtwoordbeheerder.
Hoe werkt een passkey?
Om een nieuwe passkey te maken, meldt de gebruiker zich op de normale manier aan bij het account en schakelt dan de passkey-optie in via de beveiligingsinstellingen van de website of app. De website of app vraagt de gebruiker dan om een passkey die gekoppeld is aan het apparaat op te slaan. De browser of het besturingssysteem vraagt vervolgens naar biometrische authenticatie om het verzoek goed te keuren, waarna de passkey lokaal wordt opgeslagen.
Bij volgende logins bij de website wordt de gebruiker gevraagd om een passkey te gebruiken van het apparaat voor aanmelding, in plaats van een wachtwoord.
Als de browser synchronisatie van passkeys tussen apparaten ondersteunt, is de passkey beschikbaar op die apparaten. Als de gebruiker een apparaat gebruikt dat geen passkey heeft voor de website of app, heeft deze mogelijk de optie om een ander apparaat te gebruiken. Als de browser authenticatie op meerdere apparaten ondersteunt, kan de browser de gebruiker een QR-code voorschotelen die door een mobiel apparaat kan worden gescand om de aanmelding te voltooien. Authenticatie op meerdere apparaten vereist ook het gebruik van Bluetooth om nabijheid te garanderen.
Dit ziet de eindgebruiker. Laten we kijken naar wat er achter de schermen gebeurt, op serverniveau. Wanneer een eindgebruiker zich probeert aan te melden bij een account met een passkey, stuurt de accountserver een ‘uitdaging’ naar de authenticator, bestaande uit een reeks gegevens. De authenticator gebruikt de privésleutel om de uitdaging op te lossen en stuurt een reactie terug, een proces dat het ‘ondertekenen’ van de gegevens wordt genoemd en het verifiëren van de identiteit van de gebruiker.
Let op: tijdens dit proces heeft de accountserver nooit toegang nodig tot de privésleutel van de gebruiker, wat ook betekent dat er nooit vertrouwelijke informatie wordt verstuurd. Dit is mogelijk omdat de openbare sleutel – die de server opslaat – mathematisch is gerelateerd aan de privésleutel. De server heeft alleen de openbare sleutel nodig en de ondertekende gegevens om te verifiëren dat de privésleutel bij de gebruiker hoort.
Zijn passkeys veiliger?
Ja, passkeys zijn veiliger dan wachtwoorden, om verschillende redenen:
- Om wachtwoorden te laten werken, moeten accountservers ze opslaan – of in ieder geval hun hashes – zodat ze de opgeslagen gegevens kunnen vergelijken met het wachtwoord dat de gebruiker invoert. Zoals eerder al genoemd, zijn er geen accountservers nodig voor passkey-technologie om de privésleutels van gebruikers op te slaan, alleen openbare sleutels. Als de accountserver wordt gecompromitteerd, hebben bedreigers alleen toegang tot openbare sleutels, die waardeloos zijn zonder de bijbehorende privésleutels.
- De meeste mensen houden er geen goede wachtwoordgebruiken op na. Ze gebruiken wachtwoorden die te kort zijn, of woorden uit het woordenboek bevatten, of biografische informatie die makkelijk is om te raden. Ze hergebruiken wachtwoorden op meerdere sites. En in plaats van een wachtwoordbeheerder te gebruiken, slaan ze hun wachtwoorden op plakbriefjes op of in onversleutelde tekstbestanden. Passkeys aan de andere kant worden gegenereerd door de authenticator van de gebruiker, zodat ze altijd zeer complex en uniek zijn voor elke gebruiker en elk account, telkens weer.
- De meeste mensen beveiligen hun account ook niet met twee-factor-authenticatie (2FA). Passkeys zijn per definitie afhankelijk van 2FA; om een passkey te gebruiken, moet een eindgebruiker een authenticator bij de hand hebben en voldoen aan de criteria van iets dat u bent (biometrisch) en iets dat u hebt (de authenticator).
- Anders dan wachtwoorden kunnen passkeys niet worden gecompromitteerd tijdens phishing-aanvallen, omdat het onmogelijk is om een gebruiker te verleiden om een passkey in te voeren op een valse nepsite.