Bij het inloggen op websites kom je de laatste tijd een nieuwe term tegen: passkeys. Deze passkeys maken inloggen simpeler en veiliger. Toch zijn we nog niet massaal overgestapt. Wees geduldig, zeggen experts, want uiteindelijk zal het wachtwoord helemaal verdwijnen.
Met passkeys kun je op een alternatieve manier inloggen bij accounts. Dat moet even worden uitgelegd. Bij het aanmelden op een website of in een app wordt een zogenoemde passkey gemaakt. Die bestaat uit twee sleutels: een openbare sleutel die op de website wordt bewaard en een privésleutel die aan jouw apparaat is gekoppeld. Dat is bijvoorbeeld je telefoon of een laptop.
Op die manier staat jouw apparaat garant voor je identiteit. Dat betekent dat je niet op de website binnenkomt vanaf een toestel waarop de benodigde passkey niet is aangemaakt. En als je wel gebruikmaakt van passkeys, dan moet je daarvoor even je telefoon of andere apparaat ontgrendelen zoals je gewend bent, bijvoorbeeld met een vingerafdruk of gezichtsherkenning.
Passkeys zijn op alle fronten veiliger dan wachtwoorden, zegt cybersecurityexpert Daan Keuper van Computest. "Er zijn te veel problemen met wachtwoorden. Passkeys lossen het hergebruik van wachtwoorden op en maken phishing onmogelijk."
Nog steeds gebruiken veel mensen op verschillende plekken dezelfde wachtwoorden. Dat is hartstikke onveilig, want als een crimineel één wachtwoord achterhaalt, kan die vervolgens overal in. Verder blijkt uit onderzoek van NordPass dat duizenden Nederlanders nog steeds doodsimpele wachtwoorden gebruiken, zoals 123456, welkom01 en qwerty123.
Zelfs met veilige wachtwoorden ben je niet van alle problemen af. Met nepsites en andere trucs kunnen criminelen proberen om alsnog inloggegevens te ontfutselen. Ze hebben zelfs manieren om codes voor tweestapsverificatie te kopiëren. Dit soort phishing wordt door passkeys opgelost. Want als je geen inloggegevens meer hebt, kunnen ze ook niet worden gestolen.
Een aantal apps en websites heeft al ondersteuning voor passkeys. Maar het kan nog lang niet overal. "Het is een nieuwe technologie die voor veel mensen lastig te doorgronden is", zegt Keuper. "We zitten nu in een overgangsfase. Veel sites hebben nu passkeys, maar óók wachtwoorden. Dan blijven accounts met die wachtwoorden alsnog zwak. Het idee van passkeys wordt pas feilloos als we volledig overgestapt zijn."
Grote techbedrijven zoals Apple, Google en Microsoft sturen aan op een wachtwoordloze toekomst. De bedrijven zijn allemaal aangesloten bij de FIDO Alliance, de branchevereniging die zich inzet voor een passkeystandaard. Die moet zorgen dat de nieuwe manier van inloggen straks overal en voor iedereen hetzelfde werkt.
Volgens FIDO-topman Andrew Shikiar is het niet gek dat de overgangsperiode nu al een paar jaar duurt. "Zeker niet gezien we al zestig jaar lang wachtwoorden gebruiken", zegt hij. "Wachtwoorden zijn diep in ons internetgebruik genesteld. Dat vervang je niet zomaar. Mensen zijn gewend aan wachtwoorden. Ze zullen waarschijnlijk aarzelen om over te stappen op iets wat ze nog niet kennen."
Shikiar zegt dat bedrijven zelf kunnen bepalen hoe ze overstappen op passkeys. "Bedrijven als Sony PlayStation stoppen met wachtwoorden, terwijl Amazon wachtwoorden aanhoudt tijdens deze overgangsfase. Het doel is om helemaal af te stappen van wachtwoorden, maar de manier waarop het gebeurt en op welke termijn, is aan bedrijven zelf."
Het is overigens niet zo dat een criminelen toegang tot accounts krijgen als ze een telefoon stelen. Daarvoor moeten ze hem namelijk eerst kunnen ontgrendelen. Ook worden mensen die hun telefoon verliezen niet meteen buitengesloten bij hun accounts, zegt Keuper. Dat kan bijvoorbeeld via een QR-code op een ander apparaat.
"Of je slaat je passkeys op in bijvoorbeeld iCloud van Apple, zodat je de passkey zelf kunt herstellen als je een nieuwe telefoon hebt", zegt hij. Back-ups maken is wat dat betreft wel belangrijk. Dat kan bijvoorbeeld bij iCloud, want Apple kan zelf ook niet bij de data, of bij back-upsystemen van andere grote techbedrijven. Ook wachtwoordmanagers kunnen passkeys vaak opslaan.
Keuper verwacht dat criminelen zich de komende tijd richten op de bedrijven die geen passkeys verplichten. "Op een gegeven moment hebben ze minder succes en gaan ze wat anders verzinnen om ergens binnen te komen", zegt hij. "Maar dan gaan wij daar weer oplossingen voor bedenken."
Source: Nu.nl Tech