Het was niet bepaald een fotofinish, in de jaarlijkse meting van de populairste wachtwoorden: ‘123456’ staat bovenaan. De combinatie wordt meer dan 4,5 miljoen keer gebruikt, volgens onderzoek van wachtwoordmanager NordPass. Veilig is dit wachtwoord niet: ‘124356’ is binnen een seconde te kraken. Om het hackers lastiger te maken kan men complexe wachtwoorden gebruiken, het liefst voor elke website een andere.
Het onthouden van al die wachtwoorden vereist een sterk geheugen of een uitgebreid arsenaal post-its – beide niet bepaald onfeilbaar. Een andere oplossing is de wachtwoordmanager, een digitale lijst met wachtwoorden, opgeslagen in de cloud. Maar ook die lijst is vaak weer beveiligd met een eigen wachtwoord.
Beter/Leven
In de rubriek Beter/Leven beantwoorden we, samen met experts, praktische vragen op het terrein van o.a. gezondheid, geld en duurzaamheid.
Het kan anders. Google, Microsoft en Apple hebben de handen ineengeslagen om in één klap alle wachtwoord-frustratie de wereld uit te helpen. Hun wondermiddel, ‘passkey’, vervangt wachtwoorden met een verificatie op de smartphone. Dit kan met een vingerafdruk, gezichtsherkenning, een pincode of het scannen van een QR-code: alsof je inlogt op de computer door je smartphone te ontgrendelen.
Passkeys zijn beveiligingssleutels, uniek voor elke website en elk account. Deze sleutels zijn opgesplitst in twee delen, waarvan de ene bij de website in kwestie ligt en de andere bij Google, Microsoft of Apple. De verificatie die gebruikers uitvoeren op hun smartphone brengt die twee halve sleutels samen – voilà, een login zonder wachtwoord.
Dit heeft een aantal voordelen, met als de meest voor de hand liggende dat men geen wachtwoorden meer hoeft te onthouden of hoeft in te vullen om in te loggen. Daarnaast is het gebruik van passkey veiliger: kwaadwillenden kunnen een wachtwoord stelen, maar hetzelfde valt niet te zeggen voor de opgesplitste sleutel achter een passkey. ‘Zelfs wanneer een cybercrimineel de wachtwoordkluis van Google of Apple weet te kraken, ligt daar maar de helft van de passkey’, zegt Dave Maasland, directeur van computerbeveiligingsbedrijf Eset Nederland. ‘De andere helft staat op je computer of mobiel, vergrendeld achter bijvoorbeeld je vingerafdruk. Om een passkey te stelen moeten cybercriminelen echt in een telefoon of computer inbreken, wat complexer is dan gebruikelijke aanvallen.’
Over de auteur
Frank Rensen is wetenschapsjournalist en schrijft voor de Volkskrant over tech. Hij studeerde sterrenkunde in Leiden.
Zo is de gebruiker van passkey beschermd tegen phishing. Dit is een aanval waarbij cybercriminelen zich voordoen als een vertrouwde partij, zoals een bank: de klant ontvangt een mail die hem naar een valse website van die bank leidt. Daar wordt de ontvanger gevraagd in te loggen, wat de criminelen de informatie geeft om een bankrekening te openen. ‘Een passkey kun je niet op die manier stelen, omdat die is opgedeeld in twee delen, waarvan één uitsluitend bekend is bij de echte bank’, zegt Maasland. ‘Als je op een phishing-site komt, zul je daar niet kunnen inloggen: het stukje passkey bestaat daar niet.’
Passkeys zijn niet geheel zonder risico: recentelijk hebben onderzoekers een manier gevonden om de verificatie met vingerafdruk te omzeilen op een aantal pc’s van Microsoft. Ook wisten ethische hackers in 2021 de gezichtsherkenning van dit bedrijf te kraken met infraroodfoto’s van gezichten.
Het instellen van passkey is met een klein uurtje gedaan, maar het moet apart voor accounts op Google, Apple en Microsoft. Buiten deze drie techgiganten maakt vooralsnog een beperkt aantal partijen gebruik van passkey: de grootste platforms die het ondersteunen zijn Amazon, PayPal, WhatsApp, TikTok en Nintendo.
Dat zijn nog niet veel websites, dus wie nog niet overtuigd is van een overstap, kan overwegen een wachtwoordmanager in gebruik te nemen. Deze programma’s, zoals Bitwarden en 1Password, zetten een lijst wachtwoorden achter slot en grendel en kunnen tegen betaling zelfs een seintje geven als een wachtwoord is gelekt.
Om u deze content te kunnen laten zien, hebben wij uw toestemming nodig om cookies te plaatsen. Open uw cookie-instellingen om te kiezen welke cookies u wilt accepteren. Voor een optimale gebruikservaring van onze site selecteert u "Accepteer alles". U kunt ook alleen de sociale content aanzetten: vink hiervoor "Cookies accepteren van sociale media" aan.
Voor snelle wijzigingen en bezorging
U bent niet ingelogd
Op alle verhalen van de Volkskrant rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2024 DPG Media B.V. - alle rechten voorbehouden