Passkeys, het veiligere en gebruiksvriendelijkere alternatief voor wachtwoorden

“Ik ben mijn wachtwoord vergeten. Ik heb hulp nodig. Ik weet mijn wachtwoord niet meer. Reset het wachtwoord.” We hebben allemaal wel eens meegemaakt dat we toegang probeerden te krijgen tot onze e-mail, sociale media of onze bankgegevens. Hoewel de algemene aanbeveling is om een ​​wachtwoordbeheerder te gebruiken (die sleutels genereert en deze veilig opslaat), leeft de gemiddelde gebruiker in een lus van het aanmaken van onveilige wachtwoorden en het bijna regelmatig opnieuw instellen ervan. Voor dit alles bestaat er een betere oplossing: “ passkeys ” of toegangssleutels.

Een wachtwoord is een digitale identificatie waarmee u zich kunt authenticeren bij een website of applicatie, zonder dat u een wachtwoord hoeft te gebruiken . In plaats van het onthouden van complexe wachtwoorden, gebruikt de gebruiker simpelweg een biometrische methode (zoals vingerafdruk of gezichtsherkenning) of een lokale pincode op het apparaat.

Als een gebruiker bijvoorbeeld via een browser wil inloggen op zijn Google-account, kan hij zijn vingerafdruk op zijn telefoon gebruiken om zijn identiteit te verifiëren, zonder dat hij een wachtwoord hoeft in te voeren. Dit is niet alleen handiger, maar verkleint ook het risico op hacking door sleuteldiefstal.

Eerder deze maand kondigde Microsoft aan dat alle nieuwe accounts die gebruikers aanmaken (voor Outlook, Office of een andere service waarvoor aanmelden vereist is) standaard gebruikmaken van wachtwoorden . Het is een stap die andere spelers als Google en Apple al doorvoeren.

Hieronder leest u wat ze zijn, hoe ze werken , waarom ze nuttig zijn en hoe u ze in een service kunt activeren.

Authenticatie is het proces waarbij wordt geverifieerd dat een gebruiker is wie hij of zij zegt te zijn. Wanneer wij bijvoorbeeld onze gebruikersnaam en wachtwoord invoeren in een e-mail, dan beschouwt het systeem deze informatie als een bevestiging dat onze identiteit is geverifieerd en krijgt ons toegang om de e-mails te lezen.

Dat idee klinkt misschien eenvoudig, maar in de praktijk is het een stuk complexer, omdat accountdiefstal een veelvoorkomend probleem is. Volgens gegevens van FortiGuard Labs (Fortinet) circuleerden er in 2024 1,7 miljard gestolen gebruikersnamen en wachtwoorden op darkwebfora. Uit een ander onderzoek bleek bovendien dat 59% van de geanalyseerde wachtwoorden binnen een uur gekraakt kon worden. Dit alles brengt voor de gebruiker een permanent risico met zich mee van wat ook wel accountovername wordt genoemd .

"In de praktijk zijn fysieke sleutels of wachtwoorden veiliger en praktischer dan een wachtwoord. De bewering 'veiliger' is discutabel, omdat het altijd afhangt van de context van de gebruiker, maar als we het generaliseren, is het bewezen correct", vertelde Iván Barrera Oro van "HacKan", een softwareontwikkelaar gespecialiseerd in cybersecurity, aan Clarín.

Om al deze redenen heeft Microsoft deze wijziging in de toegangssleutels doorgevoerd, waarmee de toon is gezet voor de sector. "Deze verandering staat niet op zichzelf: Microsoft en andere organisaties hebben de ' Passkey Pledge ' ondertekend, een wereldwijde toezegging om de acceptatie van passkeys het komende jaar te stimuleren. Het idee is om te evolueren naar een veiligere, eenvoudigere en soepelere authenticatie-ervaring, afgestemd op industriestandaarden en standaardbeveiligingsprincipes", vertelde Marcelo Felman, directeur Cybersecurity voor Latijns-Amerika bij Microsoft, aan Clarín.

Het probleem is vaak dat de diensten die we gebruiken ons geen keuze geven als het gaat om hoe we inloggen. Maar de grote spelers, Microsoft, Apple, Google, Amazon en Meta, doen dit al.

Een wachtwoord is een veiligere en eenvoudigere manier om te verifiëren dat jij het bent wanneer je inlogt op een app of website. Voorheen moest je een wachtwoord onthouden en invoeren om toegang te krijgen tot een account, iets wat alleen jij zogenaamd wist. Het probleem is dat als iemand anders die informatie in handen krijgt, hij of zij zich voor jou kan voordoen. Wachtwoorden veranderen dat: ze zijn nog steeds een "geheim", maar je hoeft het niet te onthouden. Ze worden beschermd door de beveiliging van je apparaat en gekoppeld aan iets dat alleen jij hebt, zoals je vingerafdruk, je gezicht of de pincode die je gebruikt om je telefoon te ontgrendelen," vervolgt Felman.

"In plaats van bijvoorbeeld je wachtwoord in te voeren in een bank-app, gebruik je gewoon je gezicht om in te loggen, net zoals je je telefoon ontgrendelt. Zo kan niemand je wachtwoord stelen, omdat er geen geschreven wachtwoord is dat ze kunnen raden of lekken. Het is een moderne, veiligere en gemakkelijkere manier om in te loggen", legt hij uit.

In die zin, en met het besef dat veiligheid een relatief en niet absoluut concept is, worden wachtwoorden als de veiligste in de sector beschouwd. Ze kunnen niet worden gestolen of geraden, zoals een wachtwoord. Als iemand je wachtwoord te pakken krijgt, kan hij of zij toegang krijgen tot je accounts alsof het jou is. Sleutels daarentegen worden beschermd door iets dat niet gemakkelijk kan worden gekopieerd of vervalst, zoals je vingerafdruk, je gezicht of de pincode waarmee je je apparaat ontgrendelt. Niemand kan zich als jou voordoen, tenzij ze fysieke toegang hebben tot je apparaat en jouw unieke manier om het te ontgrendelen. Met wachtwoorden kan iedereen die je 'geheim' kent, zich als jou voordoen. Met sleutelsleutels heb alleen jij er toegang toe, omdat ze gekoppeld zijn aan wie je bent en het apparaat dat je gebruikt," voegt hij eraan toe.

Tegenwoordig is het moeilijk te geloven dat wachtwoorden van de ene op de andere dag zullen verdwijnen . "Momenteel is de meest gebruikelijke aanpak gebruikersnaam en wachtwoord, met of zonder een tweede factor, gevolgd door social login [d.w.z. inloggen met bijvoorbeeld Google-referenties]. Sleutels winnen geleidelijk aan terrein. Sommige diensten bieden single-factor login aan, waarbij een unieke en exclusieve link via e-mail wordt verzonden, wat een goed alternatief is voor wachtwoorden. Andere diensten, zoals Uber, maken wachtwoordloos inloggen via sms mogelijk. We hebben het in beide gevallen over één factor, aangezien de sector op zoek is naar manieren om wachtwoorden te vervangen ", aldus HackAn.

Het is doorgaans een goed idee om deze methode te gebruiken en te beginnen met het afstappen van wachtwoorden. "Over het algemeen laten diensten je niet kiezen hoe je inlogt, maar als het kan, is het gebruik van een unieke en exclusieve link via e-mail + een fysieke sleutel of een andere tweede factor, anders dan een wachtwoord, erg praktisch en erg veilig. Wachtwoorden zijn kwetsbaar voor phishing. Recent is bewezen dat wachtwoordsleutels ook kwetsbaar zijn, maar in mindere mate. Er zijn zelfs kwetsbaarheden geweest die phishing van fysieke sleutels mogelijk maakten, maar gelukkig zijn dit zeldzame gevallen", voegt HackAn toe.

“ Fysieke sleutels ” worden vaak gebruikt als tweede authenticatiefactor bij het openen van een persoonlijk account en bieden een extra beveiligingslaag.

Er vindt dus een migratie plaats van de technologische industrie naar wachtwoorden. De overgang van wachtwoorden naar wachtwoordsleutels zal geleidelijk maar gestaag verlopen. Microsoft heeft al aangekondigd dat alle nieuwe accounts standaard wachtwoordloos zullen zijn en wachtwoordsleutels als standaardauthenticatiemethode zullen gebruiken. Dat wil zeggen dat mensen die een nieuw account aanmaken, geen wachtwoord meer hoeven in te stellen: ze kunnen inloggen met gezichtsherkenning, een vingerafdruk of een veilige pincode, afhankelijk van het apparaat. Voor gebruikers die al een account hebben, is de mogelijkheid om over te schakelen naar wachtwoordsleutels al beschikbaar. Het zal de aanbevolen authenticatiemethode zijn, maar gebruikers die liever wachtwoorden blijven gebruiken, kunnen dat voorlopig nog doen, aldus Felman.

HackAn heeft echter enkele bedenkingen: "Ik denk dat het een goed idee is, hoewel misschien een beetje overhaast. Sleutels zijn een goed idee als concept, en wachtwoorden zijn altijd lastig, dus deze aanpak zou wel eens een goede kunnen zijn. Het is echter onjuist dat sleutelsleutels onkwetsbaar zijn, en ze werken mogelijk niet eens op veel apparaten. Ik heb bijvoorbeeld moeite om ze op mijn laptop te laten werken, dus ik hoop dat ze een goede implementatie ontwikkelen die andere toegangsmethoden mogelijk maakt voor het geval de sleutel faalt of niet beschikbaar is op het betreffende apparaat. Het is positief om een ​​richting in te slaan die ons in staat stelt wachtwoorden naar de achtergrond te verwijzen", meent hij.

Felman is het op één punt met ons eens: er bestaat geen wondermiddel. Geen enkele technologische verandering is zonder uitdagingen. Daarom zijn cybersecuritycultuur en digitale veerkracht vandaag de dag meer dan ooit een strategische prioriteit geworden. In het dagelijks leven komt dit tot uiting in zaken die zo simpel zijn als het up-to-date houden van software, het kiezen van veilige authenticatiemethoden en – bovenal – training. Want het gaat niet alleen om het implementeren van nieuwe tools, maar ook om het ondersteunen ervan met educatie, bewustwording en veilige gewoonten. Alleen zo kunnen we een veiligere digitale omgeving voor iedereen creëren", besluit hij.

Hoewel elke service zijn eigen aanpak heeft, zijn de mechanismen over het algemeen vergelijkbaar. Deze kunt u vinden in de accountinstellingen, onder het tabblad 'Beveiliging'. Hier is een voorbeeld van Microsoft:

Nadat u de app hebt aangemaakt, is het raadzaam om te testen of deze goed werkt, om verrassingen te voorkomen.