Wat is er eigenlijk mis met wachtwoorden? Zolang je voor elk account een uniek, sterk wachtwoord gebruikt, scherp bent op phishingmails en 2fa gebruikt, is de kans dat je gehackt wordt klein. Toch? Dat klopt, maar heel veel mensen hebben die sterkwachtwoorddiscipline niet. Steeds vaker blijkt uit onderzoeken dat veel gebruikers van onlinediensten, maar ook werknemers binnen bedrijfsnetwerken, ervoor kiezen om hetzelfde wachtwoord voor verschillende diensten te gebruiken. Bovendien voeren klassiek zwakke wachtwoorden als '123456' en 'qwerty' nog steeds de lijsten van meest voorkomende wachtwoorden aan. Moeilijke én unieke wachtwoorden zijn namelijk lastig en mensen volgen vaak de weg van de minste weerstand.
:strip_exif()/i/2005930508.jpeg?f=imagegallery)
Met passkeys willen de aangesloten bedrijven het daarom gemakkelijker maken om inloggegevens te beheren zonder daarbij iets in te leveren aan veiligheid. Het conceptuele verschil is dat mensen hun credentials niet meer zelf hoeven te bedenken en onthouden. Passkeys werken op basis van publickeycryptografie. Hierbij worden per account waarop je moet kunnen inloggen, een public key en een private key gegenereerd. Alleen de public key wordt gedeeld met de instantie waarbij je inlogt.
Het keypaar wordt veelal gekoppeld aan een fysiek apparaat. Dit kan een smartphone zijn, maar ook een laptop of YubiKey. De verificatie vindt plaats op dit device en in de praktijk kun je het ook nog eens met biometrische verificatie beveiligen. Zo kun je je vingerafdrukscanner op je telefoon gebruiken om bij een app of website in te loggen, of Face ID op een iPhone. Ook Windows Hello kan ingezet worden als authenticatie.
Bij elke inlogpoging vindt een cryptografische handshake plaats waarbij de private key gebruikt wordt om te verifiëren dat de twee sleutels onderdeel zijn van hetzelfde paar. Mocht een website gehackt worden en alle public keys op straat komen te liggen, dan is er geen man overboord. In tegenstelling tot bij een gebruikersnaam-wachtwoordcombinatie heeft een aanvaller aan enkel een public key helemaal niets. Door gebruik te maken van een tweede factor, zoals een sms of gegenereerde totp-code, valt het risico van uitgelekte wachtwoorden natuurlijk te beperken, maar dit werpt een extra drempel op voor de eindgebruiker.
De passkeysleutels worden natuurlijk niet bedacht door een mens, maar gegenereerd op basis van cryptografische algoritmen. Door de menselijke factor hiertussenuit te halen, zijn alle gegenereerde credentials even sterk. Het concept van sterke en zwakke wachtwoorden gaat hier dus niet meer op. Een ander groot voordeel van passkeys is dat phishing er vrijwel onmogelijk door wordt. Als onderdeel van de handshake wordt gecheckt bij welke app of website de gebruiker zich probeert aan te melden en of dit de juiste is. Waar kwaadwillenden bijvoorbeeld een website van een bank kunnen nabouwen om gebruikersnamen en wachtwoorden te onderscheppen, is zo’n constructie met een nepsite niet mogelijk als passkeys gebruikt worden.
:fill(white):strip_exif()/i/2005930506.jpeg?f=imagemedium)
De specifieke implementatie van publickeycryptografie bij passkeys werkt op basis van de FIDO2-standaard. FIDO2 is een verzamelnaam van twee protocollen: WebAuthn en CTAP2. Websitebouwers gebruiken WebAuthn om de sleutelverificatie uit te voeren. CTAP2, wat staat voor Client to Authenticator Protocol 2, ligt aan de basis van de communicatie tussen fysieke hardware, zoals een telefoon, securitykey of laptop, en de software die gebruikt wordt om in te loggen. Als je van al die afkortingen in de war raakt: geen zorg. We hebben de verschillen en hoe ze werken vorig jaar al in dit achtergrondartikel beschreven.
Brede ondersteuning (?)
Die koppeling met fysieke hardware waar vrijwel iedereen over beschikt, is wat het passkeysplaatje compleet maakt. Voorheen moest je voor die FIDO2-implementatie nog een fysieke beveiligingssleutel of smartcard hebben, zoals een YubiKey. Dat had weer allemaal eigen problemen. Ze zijn duur, je moet ze overal mee naartoe nemen en als je er een kwijtraakt, heb je een probleem.
Apple, Google en Microsoft hebben zich allemaal gecommiteerd aan het inbouwen van passkeysondersteuning in hun ecosystemen. Zoals eerder genoemd is het daardoor mogelijk om Windows Hello in te zetten voor verificatie, of bijvoorbeeld Face ID of een vingerafdrukscanner op een Android-telefoon. Daarnaast bieden deze bedrijven de optie om de passkeys te bewaren en synchroniseren via hun cloud.
Koppeling aan biometrie of een specifiek apparaat is overigens niet verplicht. Verschillende wachtwoordmanagers werken aan ondersteuning voor passkeys en sommige hebben de functionaliteit al in (bèta)test. Op elk apparaat waarop je de wachtwoordmanager hebt draaien, kun je dan bij je passkeys, ook als je de wachtwoordmanager gewoon met een complex masterpassword ontgrendelt. Ondere andere Dashlane, Nordpass, Lastpass en 1Password ondersteunen passkeys of werken er actief aan.
:strip_exif()/i/2004677808.jpeg?f=fpa)
/i/2004611194.png?f=fpa)
/i/2004761386.png?f=fpa)
:strip_exif()/i/2004606170.jpeg?f=fpa)
/i/2005685526.png?f=fpa)
:strip_exif()/i/2005670088.jpeg?f=fpa)
/i/2005816030.png?f=fpa)
:strip_exif()/i/2005500190.jpeg?f=fpa)
/i/2004646818.png?f=fpa)
/i/2005017354.png?f=fpa)
:strip_exif()/i/2005393580.jpeg?f=fpa)