Cyberveiligheid is constant in ontwikkeling en traditionele wachtwoorden zijn niet langer goed genoeg.
Door de kracht van public key versleuteling te combineren met biometrische authenticatie, bieden passkeys een oplossing waarbij je nooit je wachtwoord hoeft te onthouden of bang hoeft te zijn voor problemen met online veiligheid.
Met meer dan 6 miljard unieke log-ins, gebruikersnamen en wachtwoorden die beschikbaar zijn op het dark web, en met het feit dat de meeste mensen hun wachtwoord gebruiken op meerdere online platforms, zijn passkeys een revolutionaire oplossing die niet alleen veiliger maar ook makkelijker zijn als manier van authenticatie.
De passkey-technologie biedt tal van voordelen waarmee dit de beste optie is.
Maar wat zijn passkeys nou precies en wat is het grote verschil met wachtwoorden?
Welke grote bedrijven zijn hiermee bezig en implementeren passkey-ondersteuning voor hun digitale omgeving?
In dit artikel duiken we in de wereld van de passkey, hoe passkeys werken en waarom zij de toekomst zijn van online veiligheid.
Ben je klaar voor de toekomst? Laten we dan direct beginnen.
Passkeys, ook wel toegangssleutels genoemd in het Nederlands, zijn cryptografische sleutels die ontwikkeld zijn om wachtwoorden te vervangen.
Waar traditionele wachtwoorden makkelijk gestolen, gehackt of zelfs geraden kunnen worden, werken passkeys op een compleet nieuw niveau, waarbij de combinatie tussen publieke en privé sleutels nodig zijn voor authenticatie.
In tegenstelling tot een wachtwoord, kan een passkey niet gedeeld, onthouden of opgeschreven worden. Dit maakt een passkey minder gevoelig voor de gevaren die op de loer liggen bij systemen en platformen die een wachtwoord gebruiken.
Passkeys zijn gebaseerd op asymmetrische cryptografie en bieden sterke en makkelijk te gebruiken authenticatie. Passkeys gebruiken publieke en privé sleutels om gebruikers te authentiseren zonder dat er gevoelige informatie bij komt kijken.
Wanneer een passkey gemaakt wordt, worden er twee cryptografische sleutels gegenereerd:
1. Publieke Sleutel: De publieke sleutel blijft op de server van de aanbieder van de dienst. Deze sleutel kan niet gebruikt worden om toegang te krijgen tot je account zonder de tweede sleutel.
2. Privé Sleutel: Deze sleutel blijft op het apparaat van de gebruiker, zoals een smartphone. Deze sleutel verlaat het apparaat nooit en is altijd beschermd door een sterke manier van gebruikersverificatie.
Nu dat duidelijk is wat passkeys zijn, is het tijd voor de magie van deze technologie:
Wanneer je een account aanmaakt met passkeys, maakt jouw apparaat een publieke-privé-sleutel set aan.
De publieke sleutel wordt opgeslagen op de server van de dienstaanbieder en de privé sleutel wordt veilig opgeslagen op je apparaat, binnen speciale componenten die ontworpen zijn om gevoelige gegevens veilig te bewaren. Dit zijn onder andere Secure Enclave op Apple-apparaten, Trusted Platform Module (TPM) op Windows en Android, en Samsung Knox voor Galaxy-apparaten. Deze onderdelen zijn geïsoleerd van de belangrijkste processor en werken als een kluis, zodat gevoelige gegevens zelfs bij een malware-aanval of lek veilig zijn.
Passkeys werken ook op verschillende apparaten; dankzij veilige ecosystemen zijn de privé sleutels gesynchroniseerd op alle apparaten van de gebruiker, wat naadloze authenticatie mogelijk maakt op elk apparaat met een cloud-account zoals Google of iCloud actief is.
Tijdens de inlogprocedure vraagt de aanbieder niet om een wachtwoord, maar wordt de gebruiker verzocht het apparaat te gebruiken om in te loggen.
Het apparaat gebruikt de privé sleutel en stuurt deze naar de dienstaanbieder (waar je in wilt loggen) zodat deze aan de hand van de publieke sleutel geverifieerd kan worden. De privé sleutel wordt per domein aangemaakt.
Het apparaat creëert een handtekening met tijdslimiet voor elke loginpoging en deze vervalt kort nadat deze is aangemaakt, zodat deze niet opnieuw gebruikt kan worden, zelfs niet wanneer deze onderschept wordt.
Dit gebeurt allemaal in real time en dit biedt een zeer veilige en gebruiksvriendelijke login.
Het is alsof je een superveilige digitale uitsmijter hebt voor al je accounts.
Hoewel biometrie al gebruikt werd in het Babylonische Rijk in 500 voor Christus, waar vingerafdrukken op kleitabletten een identificatiemiddel waren, werd het eerste officiële biometrische systeem pas in de 19de eeuw ontwikkeld door Alphonse Bertillon. Het gebruikte de afmetingen van lichaamsdelen om criminelen te identificeren.
Waar de vroege biometrische authenticatie de basis vormde voor de verificatie van identiteit, begon de evolutie naar passkeys in 2012, toen de FIDO Alliance gevormd werd door bedrijven als PayPal en Lenovo. De missie was het elimineren van wachtwoorden.
De 5S van Apple introduceerde in 2013 Touch ID en dit betekende meer aandacht voor biometrie én zorgde ervoor dat meer bedrijven biometrische authenticatie zouden integreren.
De passkey-revolutie begon in 2021, toen grote tech-bedrijven FIDO2 en WebAuthn gingen gebruiken, om authenticatie zonder wachtwoorden mogelijk te maken, waarmee passkeys beschikbaar werden voor miljoenen gebruikers vandaag.
Een belangrijke mijlpaal in de evolutie van passkeys kwam met NIST’s (National Institute of Standards and Technology) aanbeveling van gesynchroniseerde passkeys in de SP 800-63B richtlijnen.
Deze erkenning laat zien hoe phishing-resistent passkeys zijn en hun potentieel om traditionele wachtwoorden te vervangen met veilige oplossingen op een manier die ook nog eens makkelijker te gebruiken zijn.
Met de aanbeveling van de NIST zijn de passkeys klaar voor gebruik op grote schaal, vooral in gereguleerde sectoren zoals banken en de zorg, waarbij een nieuwe fase aanbreekt op het gebied van digitale identiteitsverificatie.
De adaptie van passkeys krijgt steeds meer momentum, met groter browser/OS leveranciers de weg tonen.
Apple, Google en Microsoft hebben al geïntegreerde ondersteuning voor de technologie op hun systemen, wat betekent dat gebruikers gemakkelijk in kunnen loggen.
Hiernaast zijn tal van serviceaanbieders die de passkey revolutie omarmd hebben.
Belangrijke adapters zijn onder andere:
• Apple: iPhone en iPad-gebruikers met iOS 16 (of later) kunnen al passkeys gebruiken. Mac-gebruikers met macOS Ventura 13 en nieuwere systemen kunnen dit ook.
• Android: Android-apparaten met Android 9 (Pie) of nieuwer, ondersteunen passkeys, met Google Password Manager voor synchronisatie op verschillende apparaten.
• Windows: Windows 10 en 11-gebruikers kunnen passkeys gebruiken, met behulp van Windows Hello.
Verschillende populaire browsers hebben passkey-ondersteuning geïntegreerd, waaronder:
• Google Chrome (versie 109 of nieuwer)
• Apple Safari (versie 16 of nieuwer)
• Microsoft Edge (versie 109 of nieuwer)
• Mozilla Firefox (op dit moment met beperkte ondersteuning)
Grote namen zoals GitHub, Dropbox en Paypal integreren passkeys voor verhoogde veiligheid op hun websites.
Een groeiende lijst van grote bedrijven hebben passkeys omarmd, zoals:
• E-commerce: Amazon, Walmart, Best Buy, Target, Shopify, Kayak
• Social media: X (voorheen Twitter), LinkedIn, TikTok
• Aanbieders van financiële diensten: Coinbase, Robinhood, Stripe, PayPal, Affirm
• Platformen voor Ontwikkelaars: GitHub, Bitbucket
Er zijn twee verschillende soorten passkeys, met verschillende toepassingen en, nog belangrijker, verschillende veiligheidseisen. Gaat het om digitale beveiliging, dan heb je passkeys met verschillende apparaten en passkeys die gebonden zijn aan één apparaat.
Multi-device passkeys, oftewel passkeys voor verschillende apparaten of gesynchroniseerde passkeys, zijn de beste keuze voor persoonlijk gebruik. Dit werkt namelijk naadloos op meerdere apparaten, zoals je telefoon, tablet of laptop, zolang zij gelinkt zijn aan je Apple-, Google- of Microsoft-account. Deze flexibiliteit betekent dat je altijd toegang hebt tot je accounts op elk apparaat dat je wilt gebruiken.
Apparaat-gebonden passkeys zijn het tegenovergestelde en zijn onneembare forten in het bedrijfsleven. Ze kunnen nooit gekopieerd worden omdat ze gebonden zijn aan één apparaat en bieden hiermee een extra laag van veiligheid die vitaal kan zijn voor bedrijven met een streng beleid rond gegevensbescherming.
Passkeys bieden een nieuw level van gemak en veiligheid voor zowel gebruikers als ontwikkelaars. Dit is hoe zij het verschil maken:
• Phishing Beveiliging: Passkeys zijn immuun voor phishing. Ze werken niet op neppe websites en bieden zo een effectieve bescherming tegen online dreigingen.
• Geen Gedoe meer met Wachtwoorden: Vergeet het onthouden of bijwerken van je wachtwoorden. Passkeys hebben alleen biometrie nodig, waarmee de gebruikerservaringen een stuk beter worden.
• Eenvoudige Toegang op Verschillende Apparaten: Hierdoor wordt het makkelijker om te schakelen tussen verschillende apparaten zonder onderbrekingen (zolang het op hetzelfde ecosysteem zit).
• Privé en Veilige Biometrische Data: Biometrische informatie verlaat het apparaat niet en wordt nooit gedeeld met dienstaanbieders, waardoor gevoelige gegevens veilig blijven.
• Ingebouwde Multi-Factor Authenticatie: Met passkeys is iets dat je bij je hebt (een apparaat) en iets dat je bent (biometrie) allemaal op één plek om in te kunnen loggen, wat het bijzonder veilig maakt.
• Betere Beveiliging voor Websites: Passkeys garanderen phishing-resistente crypografische beveiliging, wat het risico op inbraak verlaagt en de gehele beveiliging van de website verbetert.
• Hogere Conversiepercentages: Het naadloze, eenvoudige login-proces zorgt ervoor dat minder bezoekers weggaan, wat de conversiepercentages ten goede komt.
• Lage Onderhoudskosten: Ontwikkelaars kunnen besparen op beveiligingskosten door wachtwoordherstel en andere dure 2-factor-authenticatie overbodig te maken.
• Makkelijker Voldoen aan Beveiligingsrichtlijnen: Passkeys zorgen ervoor dat gevoelige gegevens niet opgeslagen hoeven te worden, wat het aanzienlijk makkelijker maakt om te voldoen aan de nieuwe richtlijnen en regels rond gegevensbescherming.
Passkeys hebben ook hun nadelen: Met de beperkte implementatie, worden passkeys nog niet overal geaccepteerd.
Wanneer het niet correct opgezet wordt, kan het lastig worden om toegang te krijgen wanneer alle gekoppelde apparaten niet langer beschikbaar zijn. Daarnaast wordt het gebruik beperkt omdat lang niet iedereen gebruikmaakt van diensten zoals iCloud en Google Password Manager, die nodig zijn voor het gebruik van passkeys.
Daarnaast is er altijd een leercurve voor mensen die niet bekend zijn met deze methode van authenticatie.
Deze nadelen zijn echter tijdelijk en hoe meer passkeys gebruikt en beschikbaar worden, hoe makkelijker en grootschaliger passkeys beschikbaar zullen worden.
Passkeys zijn authenticatie van de volgende generatie, en vormen een oplossing voor de beperkingen van wachtwoorden die ervoor zorgen dat gebruikers ze moeten hergebruiken of makkelijker maken om ze eenvoudig te kunnen onthouden.
Wachtwoorden hebben hun zwakheden en maken het leven van de criminelen aanzienlijk makkelijker.
Hier zijn een aantal belangrijke punten waarom passkeys beter zijn:
• Elke passkey is altijd sterk – Je hoeft je nooit af te vragen of een passkey sterk of ingewikkeld genoeg is.
• Een passkey kan nooit geraden worden – Niemand kan raden welke informatie gebruikt is, omdat de sleutels cryptografisch zijn.
• Passkeys worden niet op servers opgeslagen – in tegenstelling tot wachtwoorden, worden passkeys lokaal opgeslagen en niet gedeeld met de dienst waar je inlogt.
• Immuun voor phishing - WebAuthn zorgt ervoor dat de privé sleutel alleen gebruikt kan worden op het juiste, geregistreerde domein, dus phishing-websits hebben geen schijn van kans en krijgen nooit je gegevens.
• Zeer gebruiksvriendelijk - Passkeys bieden een prettig en makkelijk login-proces, en bieden een veel betere gebruikerservaring.
De toekomst van paskeys wordt zeer innovatief. Naast vingerafdrukken en gezichtsherkenning, de biometrische authenticatiemethoden die we nu al kennen, kunnen we hersengolven, hartslag of zelfs DNA verwachten.
En verder nog, met het gebruik van de blockchain-technologie, zou het zelf-soevereine individu kunnen ontstaan, met mensen die compleet in controle zijn over hun eigen gegevens, met passkeys als bewijs van identiteit op elk vlak.
Wanneer deze technologieën verder ontwikkeld worden, vragen steeds meer mensen zich af wat een passkey is en hoe het werkt. De groeiende interesse zorgt ervoor dat innovatieve ontwikkelaars groots investeren in het ontwikkeling en uitbreiden van de mogelijkheden op dit vlak.
Er is geen twijfel over mogelijk: passkeys veranderen beveiliging en digitale identiteit voor de komende generaties.
Na de uitleg van passkeys, wil je ze waarschijnlijk implementeren op je website of app.
Het goede nieuws is dat je niet vanaf 0 hoeft te beginnen om passkeys te implementeren. Er zijn al veel oplossingen die het proces aanzienlijk kunnen versnellen.
Identiteitsaanbieders ondersteunen passkeys voor eenvoudige integratie in jouw authenticatiestromen.
Wil je meer controle, dan bieden opties als SimpleWebAuthn of WebAuthn4J complexe cryptografie voor de servers.
Voor ontwikkelaars voor mobiele apps, is het net zo makkelijk om passkeys te implementeren, met de Apple's Authentication Services of Google's Identity Services API.
Platformen zoals OwnID bieden complete SDK’s en API’s die beschikbaar zijn voor web en mobile ontwikkelaars, met OwnID kun je aanpassen, heb je analytics en naleving van (specifieke) richtlijnen.
Met OwnID hebben ontwikkelaars gemakkelijk te gebruiken, veilige passkey oplossingen die naadloos geïntegreerd kunnen worden in jouw systeem met minimale code. Dit bespaart op ontwikkelingstijd en verzekerd sterke veiligheid, en meer tijd voor de ontwikkelaars om te ontwikkelen, in plaats van het opbouwen van een infrastructuur.
Deze passkey oplossingen stelt teams in staat om hun projecten binnen korte tijd van de grond te krijgen zonder het wiel opnieuw uit te vinden, met een innovatieve manier voor authenticatie in het proces.
Passkeys bieden een innovatieve manier van authenticatie die wachtwoorden vervangt.
Public-key cryptografie stelt jouw apparaat in staat om een sleutel paar te maken, waarbij de privé sleutel op een veilige plek blijft en de publieke sleutel aan de dienstverlener verstrekt wordt.
Open een online dienst of applicatie die passkeys ondersteunt en klik op de optie om een passkey aan te maken. Volg de instructies, die biometrische authenticatie zullen vereisen.
Traditionele wachtwoorden worden gemaakt door de gebruiker in een reeks van karakters. Passkeys worden gemaakt door cryptografische sleutels die veilig op je apparaat opgeslagen worden. Passkeys zijn immuun voor phishing of datalekken, waar wachtwoorden dit niet zijn.
Passkeys zijn zo goed als niet te hacken. De privé sleutel verlaat je apparaat nooit en aangezien hier biometrische authenticatie voor vereist is, zijn datalekken of phishing onmogelijk met deze methode.
Sommige nadelen zijn de beperkte implementatie, de afhankelijkheid van een apparaat en lastige situaties bij herstel wanneer alle apparaten verloren of niet beschikbaar zijn.
Herstelopties zijn beschikbaar op de meeste platforms die deze methode aanbieden, waarmee een ander apparaat (met toegang tot het account) gebruikt kan worden. Het is belangrijk dat je een back-up-apparaat opzet of een alternatieve manier instelt om toegang te herstellen.
Dat kan, in de meeste gevallen kun je nog altijd wachtwoorden gebruiken na het opzetten van een passkey. De meeste dienstverleners die passkey ondersteunen, ondersteunen ook nog wachtwoorden zodat iedereen toegang kan krijgen en om een alternatieve vorm van authenticatie aan te bieden.