Bedrijven en grote ondernemingen
Bescherm uw bedrijf tegen cybercriminelen.
Probeer het gratis uitEen passkey is een moderne wachtwoordloze authenticatietechnologie waarmee gebruikers zich kunenn aanmelden bij accounts en apps via een cryptografische sleutel in plaats van een wachtwoord. Een passkey maakt gebruik van biometrische gegevens (vingerafdruk, gezichtsherkenning, etc.) om de gebruikersidentiteit te bevestigen.
Passkeys en wachtwoorden verschillen erg van elkaar.
Een wachtwoord is een tekenreeks die gebruikers moeten verstrekken wanneer ze zich aanmelden bij een website of een app, vaak samen met een gebruikersnaam. Om gegevenslekken en overnames van accounts te voorkomen, adviseert NIST om wachtwoorden het volgende te laten bevatten:
Een passkey is een nieuwe authenticatietechnologie die gebruikmaakt van openbare sleutel-cryptografie om gebruikers in staat te stellen om zich aan te melden bij websites en apps zonder dat ze een wachtwoord in hoeven te voeren. In plaats daarvan authenticeren gebruikers zich op dezelfde manier als waarop ze hun telefoons en tablets ontgrendelen: met hun vingerafdruk, gezicht of andere biometrische gegevens; door een veegpatroon te gebruiken; of door een pincode in te vullen. Omwille van het gemak zullen de meeste mensen kiezen voor biometrische authenticatie.
In plaats van een wachtwoord samen te stellen om zich aan te melden bij een account, genereren gebruikers een passkey - wat in feite een paar is dat bestaat uit één privé en één openbare sleutel - via een 'authenticator'. Deze 'authenticator' kan een apparaat zijn, zoals een smartphone of een tablet, een browser of een wachtwoordbeheerder die passkey-technologie ondersteunt.
Voordat een passkey wordt gegenereerd, moet de gebruiker zich identificeren via een pincode, veegpatroon of biometrische gegevens. De authenticator stuurt vervolgende de openbare sleutel (die ruwweg overeenkomt met een gebruikersnaam) naar de accountserver om op te slaan, en de authenticator slaat de privésleutel veilig lokaal op. Als de authenticator een smartphone of een ander apparaat is, wordt de privésleutel opgeslagen in de sleutelhanger van het apparaat. Als de authenticator een wachtwoordbeheerder is, wordt de privésleutel opgeslagen in de versleutelde kluis van de wachtwoordbeheerder.
Om een nieuwe passkey te maken, meldt de gebruiker zich op de normale manier aan bij het account en schakelt dan de passkey-optie in via de beveiligingsinstellingen van de website of app. De website of app vraagt de gebruiker dan om een passkey die gekoppeld is aan het apparaat op te slaan. De browser of het besturingssysteem vraagt vervolgens naar biometrische authenticatie om het verzoek goed te keuren, waarna de passkey lokaal wordt opgeslagen.
Bij volgende logins bij de website wordt de gebruiker gevraagd om een passkey te gebruiken van het apparaat voor aanmelding, in plaats van een wachtwoord. Als de browser synchronisatie van passkeys tussen apparaten ondersteunt, is de passkey beschikbaar op die apparaten.
Als de gebruiker een apparaat gebruikt dat geen passkey heeft voor de website of app, heeft deze mogelijk de optie om een ander apparaat te gebruiken. Als de browser authenticatie op meerdere apparaten ondersteunt, kan de browser de gebruiker een QR-code voorschotelen die door een mobiel apparaat kan worden gescand om de aanmelding te voltooien. Authenticatie op meerdere apparaten vereist ook het gebruik van Bluetooth om nabijheid te garanderen.
Dit ziet de eindgebruiker. Laten we kijken naar wat er achter de schermen gebeurt, op serverniveau. Wanneer een eindgebruiker zich probeert aan te melden bij een account met een passkey, stuurt de accountserver een 'uitdaging' naar de authenticator, bestaande uit een reeks gegevens. De authenticator gebruikt de privésleutel om de uitdaging op te lossen en stuurt een reactie terug, een proces dat het 'ondertekenen' van de gegevens wordt genoemd en het verifiëren van de identiteit van de gebruiker.
Let op: tijdens dit proces heeft de accountserver nooit toegang nodig tot de privésleutel van de gebruiker, wat ook betekent dat er nooit vertrouwelijke informatie wordt verstuurd. Dit is mogelijk omdat de openbare sleutel - die de server opslaat - mathematisch is gerelateerd aan de privésleutel. De server heeft alleen de openbare sleutel nodig en de ondertekende gegevens om te verifiëren dat de privésleutel bij de gebruiker hoort.
Passkeys zijn veiliger dan wachtwoorden, om verschillende redenen:
Hoewel passkeys uiteindelijk mogelijk wachtwoorden gaan vervangen, gaan ze niet wachtwoordbeheerders vervangen. Integendeel, wachtwoordbeheerders worden nog belangrijker. Dat komt omdat passkeys verbonden zijn met een authenticator. Gebruikers hebben een keuze of ze een apparaat willen gebruiken – vaak een smartphone, maar een tablet, laptop of desktop kan werken – of een wachtwoordbeheerder die passkeys ondersteunt.
Op het eerste gezicht kan een smartphone als authenticator gebruiken de meest logische keuze lijken, aangezien de meeste mensen hun telefoons altijd bij zich hebben. Maar aangezien de meeste mensen meerdere apparaten gebruiken, wordt dit al snel onhandig. Als een gebruiker toegang wil krijgen tot een account of app op een ander apparaat, zoals een laptop of tablet, moet deze een QR-code op dat apparaat genereren, vervolgens scannen met de authenticator en tot slot biometrische gegevens gebruiken om zich aan te melden.
Een wachtwoordbeheerder zoals Keeper, waarbij de ondersteuning voor passkeys begin 2023 wordt uitgerold, zal dit proces aanzienlijk vereenvoudigen door de passkey te koppelen aan een app in plaats van aan een fysiek apparaat.
Ten tijde van dit schrijven, is het aantal websites en apps dat deze technologie ondersteunt nog klein. Apple, Microsoft, Best Buy, GoDaddy, PayPal, Kayak en eBay zijn een aantal van de grote namen die momenteel passkeys ondersteunen.
Maar omwille van hun gemak en beveiliging nemen passkeys snel in populariteit toe. Google heeft ondersteuning voor passkeys uitgerold voor Chrome stable M108 voor Windows, Android en macOS in december 2022, met in de toekomst ondersteuning voor iOS en Chrome OS, evenals een nieuwe API-set die ondersteuning voor passkeys voor Android-apps gaat bieden.