Ja, passkeys zijn bestand tegen phishing, omdat ze voldoen aan de WebAuthn-standaard. Deze authenticatiestandaard maakt gebruik van cryptografie met openbare sleutels om de identiteit van gebruikers te verifiëren voordat ze kunnen inloggen op hun account.
Lees verder om te ontdekken waarom passkeys bestand zijn tegen phishing en de extra voordelen wanneer u bij uw accounts aanmeldt met passkeys in plaats van wachtwoorden.
Wat is een passkey?
Een passkey is een cryptografische sleutel waarmee u op uw account kunt inloggen zonder een wachtwoord in te voeren. Passkeys moeten worden ondersteund door de website waar u een account bij hebt om ze te kunnen gebruiken. Als passkeys worden ondersteund, kunt u deze inschakelen in uw accountinstellingen. Er wordt dan een passkey gegenereerd en lokaal opgeslagen op uw apparaat.
Bij het aanmaken van passkeys kunt u ook een wachtwoordmanager gebruiken om de passkey op te slaan in een digitale kluis. Als u uw passkeys opslaat en beheert met een wachtwoordmanager, kunt u ze overal en op elk apparaat openen, delen en inloggen met uw passkeys.
Wat is phishing?
Phishing is een soort socialengineering-aanval waarbij het slachtoffer wordt overgehaald om gevoelige gegevens te onthullen. Vaak sturen cybercriminelen links naar gespoofte websites en sporen ze slachtoffers aan om op deze links te klikken. Een gespoofte website is een site die er legitiem uitziet, maar bedoeld is om gevoelige gegevens te stelen.
Een gespoofte website kan een slachtoffer bijvoorbeeld vragen om zijn inloggegevens in te voeren voor het bedrijf waarvan de website is gespooft. Als hij dit doet, geeft hij in feite zijn inloggegevens aan de cybercrimineel. De cybercrimineel kan deze inloggegevens vervolgens gebruiken om zich aan te melden bij de echte account van het slachtoffer.
Waarom zijn passkeys bestand tegen phishing?
Passkeys voldoen aan de WebAuthn-standaard waardoor ze bestand zijn tegen phishing-aanvallen. WebAuthn staat voor Web Authentication en is een browsergebaseerde API die gebruikersauthenticatie voor webapplicaties vereenvoudigt. Met WebAuthn kunnen gebruikers geregistreerde apparaten zoals telefoons en computers gebruiken als factoren om in te loggen op hun accounts aan de hand van cryptografie met openbare sleutels.
Wanneer een gebruiker een passkey voor zijn account genereert, wordt er een uniek cryptografisch sleutelpaar aangemaakt op zijn apparaat. Dit sleutelpaar bestaat uit een openbare sleutel en een privésleutel. De openbare sleutel wordt opgeslagen bij het bedrijf waar de gebruiker een account heeft. De privésleutel wordt lokaal opgeslagen op het apparaat dat is gebruikt om de account te genereren. Als de gebruiker op zijn account inlogt, stuurt de accountserver een ‘uitdaging’ naar de authenticator van de gebruiker. De authenticator is het apparaat, de browser of de wachtwoordmanager die wordt gebruikt om de passkey te genereren. De authenticator gebruikt vervolgens de privésleutel om de uitdaging op te lossen en een antwoord terug te sturen. Dit wordt ook wel het ‘ondertekenen’ van de gegevens genoemd. Zo wordt de identiteit van de gebruiker geverifieerd. De privésleutel wordt nooit onthuld bij het aanmelden.
In tegenstelling tot wachtwoorden zijn passkeys bestand tegen phishing, omdat ze voldoen aan de WebAuthn-standaard. U kunt uw passkey niet zomaar weggeven aan een cybercrimineel, wat u met een wachtwoord wel kunt. Hierdoor zijn passkeys de veiligste manier om in te loggen op uw online accounts en applicaties.
Extra voordelen van het gebruik van passkeys
Passkeys zijn niet alleen bestand tegen phishing, maar zijn ook handig, altijd sterk, niet vatbaar voor wachtwoordgerelateerde aanvallen en gemakkelijk te gebruiken.
Passkeys zijn eenvoudig te gebruiken wanneer ze zijn opgeslagen in een wachtwoordmanager
Om met een passkey in te loggen op het apparaat waar u deze hebt gemaakt, hoeft u alleen maar biometrische gegevens, zoals FaceID, te gebruiken om uw identiteit te bevestigen. Als u uw wachtwoorden in een wachtwoordmanager opslaat, klikt u gewoon op een knop om in te loggen. U kunt zich aanmelden vanaf elk apparaat, ongeacht het gebruikte besturingssysteem. Als u passkeys op uw account hebt ingeschakeld, hoeft u geen wachtwoorden handmatig in te voeren. Daarom zijn ze erg handig een eenvoudig te gebruiken.
Passkeys zijn altijd sterk
Passkeys bestaan uit een openbare sleutel en een privésleutel die steeds uniek zijn wanneer ze worden gegenereerd voor een account. In tegenstelling tot wachtwoorden, worden passkeys nooit door de gebruiker gegenereerd. Ze worden automatisch gegenereerd door het apparaat, de browser of de wachtwoordmanager en zijn voor elke account veilig en uniek voor elke account, waardoor ze standaard altijd sterk zijn.
Passkeys zijn niet vatbaar voor wachtwoordgerelateerde cyberaanvallen
Bij wachtwoorden lopen veel gebruikers het risico op wachtwoordgerelateerde aanvallen, omdat ze hetzelfde wachtwoord hergebruiken voor meerdere accounts of zwakke wachtwoorden gebruiken die een cybercrimineel eenvoudig kan raden of kraken in enkele en soms zelfs seconden. Met passkeys hoeven gebruikers niet langer hun eigen wachtwoorden te maken die anders mogelijk vatbaar zijn voor verschillende soorten op wachtwoorden gebaseerde cyberaanvallen.
Word geen slachtoffer van phishing-aanvallen met passkeys
Phishing blijft een van de meest voorkomende cyberaanvallen die zowel bedrijven als particulieren treffen. Hoewel passkeys momenteel op maar enkele websites en applicaties worden ondersteund, blijven uw accounts bij het gebruik van passkeys waar mogelijk beschermd tegen phishing-aanvallen die kunnen leiden tot het compromitteren van accounts. Raadpleeg onze passkeys directory om te kijken welke websites en applicaties op dit moment passkeys ondersteunen.
Aangezien momenteel maar enkele websites passkeys ondersteunen, moet u de meeste van uw online accounts en apps nog steeds beveiligen met sterke, unieke wachtwoorden. Met wachtwoordmanagers zoals Keeper® kunt u eenvoudig sterke wachtwoorden genereren, deze veilig opslaan en zowel uw wachtwoorden als passkeys beheren in uw veilige digitale kluis.
Aranza Trevino is de Sr. SEO-contentspecialist bij Keeper Security. Ze is een ervaren trend- en gegevensanalist op het gebied van cybersecurity die kennis blijft vergaren over de sector om lezers te informeren via haar blog. De blogs van Aranza zijn bedoeld om het publiek en bedrijven te helpen het belang van wachtwoordbeheer, wachtwoordbeveiliging en bescherming tegen cyberbedreigingen beter te begrijpen. Aranza heeft een B.S. in digitale marketing van de DePaul University.
Haal het nieuwste cyberbeveiligingsnieuws en -updates die direct naar uw inbox worden gestuurd
Deel dit blog
Dit vindt u mogelijk ook leuk
Wachtwoordmanager voor IT-teams
Zonder een wachtwoordmanager is het voor IT-beheerders moeilijk om zichtbaarheid en controle te hebben over de wachtwoordgewoonten van werknemers. Deze kloof plaatst organisaties een groter risico op wachtwoordgerelateerde cyberaanvallen die kunnen leiden tot een verwoestende datalek....