Wachtwoord 
Als het gaat om wachtwoordmanagers, zijn er een paar veelvoorkomende misvattingen, zoals dat ze te riskant zijn om te vertrouwen, leveranciers die storingen niet kunnen aanpakken,
Gepubliceerd op maart 18, 2024
While both magic links and passkeys are methods of passwordless authentication, they’re not exactly the same. Some of the key differences between magic links and passkeys are how they work, their security, where a website server stores them and whether or not they expire after being used to log in to an account.
Lees verder voor meer informatie over de verschillen en gelijkenissen van magic links en passkeys.
Wat zijn magic links?
Met magic links kunt u inloggen zonder wachtwoord. De gebruiker ontvangt een link via e-mail of sms nadat hij zijn gebruikersnaam of e-mailadres heeft ingevoerd in een inlogportaal. Een magic link is de link die naar de gebruiker wordt gestuurd. Wanneer de gebruiker op deze magic link klikt, wordt hij automatisch aangemeld bij zijn account zonder een wachtwoord in te voeren. Magic links worden vaak gebruikt als een methode voor multifactorauthenticatie (MFA).
Om in te loggen bij een account via een magic link, moet de website of applicatie het gebruik ervan ondersteunen.
Wat zijn passkeys?
Passkeys zijn een nieuwere methode om in te loggen zonder wachtwoord. Gebruikers kunnen hiermee hun identiteit verifiëren op dezelfde manier waarop ze hun apparaten ontgrendelen, zoals met hun vingerafdruk, gezichtsherkenning of het invoeren van een pincode. Passkeys bestaan uit een openbare sleutel en een privésleutel. Beide zijn nodig om de identiteit van een gebruiker te verifiëren voordat hij toegang krijgt tot zijn account. De openbare sleutel wordt opgeslagen op de servers van het bedrijf, terwijl de privésleutel lokaal wordt opgeslagen op de servers van de gebruiker. Wanneer een gebruiker met een passkey inlogt bij zijn account, wordt hij gevraagd om zijn biometrische gegevens te gebruiken of de pincode van zijn apparaat in te voeren, zonder dat hij ooit handmatig een wachtwoord hoeft in te voeren.
Om paskeys te gebruiken, moet de website of applicatie het gebruik ervan ondersteunen.
Belangrijkste verschillen tussen magic links en passkeys
Hieronder beschrijven we een aantal belangrijke verschillen tussen magic links en passkeys.
Zo werken ze
Magic links en passkeys werken heel anders. Wanneer een magic link wordt gebruikt om bij een account in te loggen, ontvangt de gebruiker een link via e-mail of sms. Nadat de gebruiker op deze link heeft geklikt, wordt hij aangemeld bij zijn account. Om zich aan te melden met een magic link moet de gebruiker vaak even wisselen van tabblad, app of apparaat. Bij passkeys ontvangen gebruikers niets via e-mail of sms. In plaats daarvan gebruiken ze biometrische gegevens of de pincode van hun apparaat om zich onmiddellijk bij hun account aan te melden.
Beveiliging
Passkeys zijn standaard sterk op het gebied van beveiliging. Passkeys worden niet zo gemakkelijk gecompromitteerd als magic links, omdat ze gebaseerd zijn op de WebAuthn-standaard die cryptografie met publieke sleutels gebruikt om de identiteit van een gebruiker te verifiëren. Om toegang te krijgen tot een account waarvoor passkeys zijn ingeschakeld, moet de gebruiker altijd de ‘authenticator’ bij zich hebben om zich aan te melden. De authenticator is wat de persoon gebruikt om zijn/haar passkey aan te maken. Dit kan een telefoon, tablet, computer of wachtwoordmanager zijn.
Magic links kunnen daarentegen onveilig zijn. Als een e-mailaccount niet is beveiligd met een sterk wachtwoord en MFA, kan een cybercrimineel het account eenvoudig compromitteren en toegang krijgen tot een magic link om vervolgens in te loggen bij het andere account van de gebruiker. Magic links die via sms worden verzonden, kunnen bovendien worden gecompromitteerd door sim-swapping-aanvallen. Sim-swapping gebeurt wanneer een cybercrimineel uw mobiele provider overhaalt om een nieuwe simkaart te activeren. Als een cybercrimineel uw mobiele provider kan overtuigen om een nieuwe simkaart te activeren, kan hij al uw inkomende sms-berichten en telefoontjes ontvangen. De cybercrimineel kan dus inloggen bij uw accounts via magic links en wachtwoordresets die naar uw telefoonnummer worden verzonden.
Opslag
Wanneer een passkey wordt aangemaakt voor een website of app, wordt de openbare sleutel van de passkey altijd opgeslagen op de server van het bedrijf. U moet wel begrijpen dat de openbare sleutel die op de server is opgeslagen nutteloos is zonder de bijbehorende privésleutel die lokaal op het apparaat van de gebruiker wordt opgeslagen. Het token van magic links daarentegen staat slechts kort op de servers van het bedrijf. Nadat de tijd is verlopen, moet er een nieuw token worden gegenereerd voor een nieuwe inlogpoging.
Vervaltijd
Als u een passkey voor een account aanmaakt, verloopt die passkey pas wanneer u deze zelf verwijdert. Voor het inloggen bij uw account worden altijd dezelfde privé- en openbare sleutels gebruikt. Dit verschilt van magic links die slechts tijdelijk zijn en na een bepaalde tijd verlopen. Wanneer een gebruiker een magic link ontvangt, verloopt die magic link zodra deze wordt geopend. Sommige magic links verlopen zelfs na een bepaalde tijd. Als u te lang wacht om ze te openen, moet u dus een nieuwe aanvragen.
Gelijkenissen tussen magic links en passkeys
Hoewel magic links en passkeys van elkaar verschillen, hebben ze ook enkele gelijkenissen.
Beide zijn een soort van wachtwoordloze authenticatie
Wachtwoordloze authenticatie is een methode om iemands identiteit te verifiëren zonder dat een wachtwoord hoeft te worden ingevoerd om in te loggen bij een account. Zowel magic links als passkeys zijn vormen van wachtwoordloze authenticatie waarmee gebruikers zich kunnen aanmelden bij hun online accounts en applicaties zonder ooit handmatig een wachtwoord te hoeven invoeren.
Beide kunnen worden gebruikt als MFA-methoden
Magic links en passkeys kunnen niet alleen worden gebruikt als aanmeldmethoden, maar ook methoden voor multifactorauthenticatie. Dit hangt er echter sterk vanaf of de website of app het gebruik van magic links en passkeys ondersteunt. Zo ondersteunen sommige websites alleen het gebruik van passkeys als MFA-methode, terwijl andere websites het gebruik van passkeys ondersteunen als zowel een aanmeld- als MFA-methode.
Beide verbeteren de inlogervaring van de gebruiker
Aangezien zowel magic links als passkeys ervoor zorgen dat gebruikers geen wachtwoorden meer hoeven aan te maken en te onthouden, maken ze het inloggen een stuk eenvoudiger. Ze zorgen er ook voor dat gebruikers hun wachtwoorden niet opnieuw hoeven in te stellen wanneer ze die zijn vergeten. Zo is het risico kleiner dat gebruikers zwakke wachtwoorden aanmaken die ze gemakkelijker kunnen onthouden.
Wachtwoordloze authenticatie met magic links en passkeys
U kunt zowel magic links als passkeys gebruiken om u aan te melden bij uw accounts zonder een wachtwoord in te voeren. Het is echter belangrijk om te weten dat magic links soms onveilig kunnen zijn, dus als u passkeys als aanmeldmethode kunt inschakelen, is uw inlogervaring niet alleen naadloos, maar ook een stuk veiliger. Raadpleeg onze Passkeys Directory om te kijken welke websites en applicaties momenteel het gebruik van passkeys als aanmeldmethode ondersteunen.
Nog niet alle websites en apps ondersteunen het gebruik van passkeys, dus u moet nog steeds sterke wachtwoorden aanmaken voor bepaalde online accounts. Met een wachtwoordmanager zoals Keeper® kunt u sterke wachtwoorden aanmaken en zowel uw wachtwoorden als passkeys beheren.
