Passkeys in plaats van wachtwoordfrustratie?

Passkeys in plaats van wachtwoordfrustratie?

Redactie WINMAG Pro

Het wachtwoord "123456" was in 2022 het meest populair en met deze creativiteit zijn er geen hackvaardigheden of brute force-aanvallen nodig. Toch is het begrijpelijk dat mensen op zoek gaan naar makkelijk te onthouden combinaties. Veilige wachtwoorden leiden door hun complexiteit vaak tot frustraties. Nik Fuchs, CEO bij Swisscom Trust Services, laat een veilig alternatief zien waarbij "34FgHd!?#*AGkkDl2lv%HgJaKDKo" en soortgelijke combinaties niet nodig zijn.

Wachtwoorden zijn de grootste bron van frustratie bij het online inloggen. 65 procent van de consumenten vindt volgens een recent onderzoek in opdracht van Okta het beheren van talloze gebruikersnaam- en wachtwoordcombinaties vervelend. 75 procent wil meer controle en zelfbeheer over hun persoonlijke gegevens. Verzoeken om wachtwoorden te vernieuwen en hoge eisen aan de lengte en complexiteit zorgen voor frustratie. Volgens het onderzoek is het inloggen via sociale accounts voor veel gebruikers hiervoor de oplossing.

Met het inloggen via sociale accounts ontstaat het gevaar dat de grote providers bestaande quasi-monopolies op het net verder kunnen uitbreiden en zo'n account wordt een soort moedersleutel voor de meest uiteenlopende online toepassingen van een gebruiker. Als criminelen deze gegevens in handen krijgen, kunnen ze grote schade aanrichten. Een alternatieve optie is Passkeys. 

Wat zijn passkeys?

Passkeys zijn toegangssleutels, een methode voor authenticatie zonder wachtwoord. In plaats van een wachtwoord, wordt hier asymmetrische cryptografie gebruikt. De gebruiker bewaart een privésleutel op zijn of haar persoonlijke apparaat, zoals een vingerafdruk, en de serviceprovider ontvangt de overeenkomstige publieke sleutel als onderdeel van het registratieproces voor een nieuw account. De authenticatie verloopt nu zo dat de gebruiker gegevens van de provider ontvangt om te ondertekenen. Dit wordt dan automatisch ondertekend met de privésleutel van de gebruiker. Als de provider het kan ontgrendelen, betekent dit dat het sleutelpaar bij elkaar hoort en dat de gebruiker is geauthentiseerd.

Deze passkeys hebben veel voordelen.
De oplossing is veel eenvoudiger en handiger dan wachtwoorden. Alle processen lopen automatisch op de achtergrond mee. Gebruikers hoeven geen wachtwoorden en gebruikersnamen meer in te typen, te onthouden en te bedenken waardoor gebruikers minder snel afhaken bij de registratie van nieuwe accounts.  
Daarbij kunnen er bij een cyberaanval op de server van de provider geen waardevolle wachtwoorden gestolen worden. De verbinding tussen de openbare en privésleutel wordt namelijk tot stand gebracht via complexe, wiskundige vraagstellingen die moeilijk te kraken zijn of via biometrische verificatie gaan. Ook zijn passkeys de beste bescherming tegen phishing. De aanvallen van criminelen zijn er immers op gericht om een wachtwoord te bemachtigen, wat ontbreekt bij passkeys.

Praktische vragen

Met een gebruikersnaam en wachtwoord kun je overal ter wereld inloggen op je eigen account. Of dit vanuit veiligheidsoogpunt aan te raden is, valt nog te bezien - maar het kán zonder problemen. Dit is niet op dezelfde manier mogelijk met een apparaatgebonden procedure zoals passkeys. Om dit op te lossen kan je een smartphone gebruiken, mits deze is uitgerust met sterke beveiligingsmechanismen zoals een vingerafdruksensor of andere biometrische kenmerken. Authenticatie op elk apparaat werkt dan doordat de gebruiker bij het inloggen met zijn telefoon een QR-code scant van het scherm van het apparaat, waardoor het wordt ontgrendeld en het wachtwoordproces in gang wordt gezet.

Bij diefstal of verlies van mobiele telefoons kan er gebruik gemaakt worden van herstelprocedures of een account reset. Dit kan bijvoorbeeld via een ander account, vergelijkbaar met wanneer je je wachtwoord bent vergeten. Google en Apple hebben synchronisatiemechanismen op hun systemen ingesteld die de sleutels op alle smartphones en tablets synchroon houden, zonder dat Google of Apple deze in handen krijgen. De privésleutel blijft altijd op het apparaat staan.

De verbinding tussen echte en digitale identiteit

Bijna overal op het internet waar nieuwe accounts worden aangemaakt, wordt een nieuwe digitale identiteit gecreëerd die niet gekoppeld is aan de echte identiteit van de gebruiker. Technisch gezien is het natuurlijk mogelijk om conclusies te trekken over wie er achter een bepaalde gebruikersnaam zitten maar een eerste koppeling tussen de echte en digitale identiteit vindt op internet meestal niet plaats. In sommige gevallen is dit echter precies wat nodig is, bijvoorbeeld bij het openen van een online bankrekening of het gebruik van gekwalificeerde elektronische handtekeningen.

Kunnen passkeys hier ook worden gebruikt?

In principe wel, omdat de authenticatieprocedure bij deze koppeling op technisch niveau geen rol speelt. In deze gevallen moeten providers zoals banken of aanbieders van vertrouwensdiensten de identiteit van nieuwe gebruikers controleren volgens bepaalde wettelijk geregelde procedures en hier een veilige digitale registratie aan koppelen. Het is niet relevant welke methode (wachtwoord + multi-factor authenticatie of passkey) de gebruikers hanteert om in te loggen op de service of om een handtekening vrij te geven.

In deze sterk gereguleerde domeinen heeft de wetgever echter precieze richtlijnen die toelaatbare procedures definiëren. De mate waarin passkeys kunnen worden gebruikt in het kader van de eIDAS-verordening is nog niet in detail opgehelderd en het valt nog te bezien welke vernieuwingen de aanstaande wijziging (bekend als eIDAS 2.0) zal brengen. Swisscom Trust Services heeft deze procedure al goedgekeurd voor het gebruik van haar handtekeningen en gebruikt deze al met haar eerste partner. Om de passkey te activeren is dan alleen nog een vingerafdruk, gezichtsherkenning of een pincode nodig.

Het gebruik van passkeys zou interessant zijn om handtekeningen te activeren in omgevingen waar mobiele telefoons verboden zijn om redenen van gegevensbeveiliging of waar sms niet kan worden afgeleverd. In de gangbare methoden wordt de mobiele telefoon gebruikt als tweede factor om de handtekening te activeren. Deze methode is problematisch in kritieke omgevingen zoals hoogbeveiligde datacenters, afgeschermde productiefaciliteiten of vergelijkbare omgevingen. Met passkeys die direct op apparaten of op aparte gegevensdragers (bijv. USB-stick) staan, zouden gebruikers ook daar op een gekwalificeerde manier kunnen ondertekenen.

Kortom, passkeys zijn goed inzetbaar en leiden tot minder frustraties dan wachtwoorden.

Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie