Zijn die passkeys wel zo handig?

Met de passkeys-functie bieden steeds meer techbedrijven een veiliger alternatief voor wachtwoorden. De Fraudehelpdesk stelt zelfs dat het de beste bescherming is tegen phishing. Maar zijn die passkeys wel zo handig? Twee expert quotes die volledig in tegenspraak met elkaar lijken: ‘Met de nieuwe passkeys is phishing vrijwel onmogelijk’ en ‘Inloggen met passkey werkt niet bij alle vormen van phishing’. Met passkeys-technologie wordt authenticatie veiliger: mensen kunnen inloggen door te klikken op een login-bevestigingsbericht, een veegpatroon of het controleren van een vingerafdruk via hun eigen smartphone of een ander apparaat. Alleen daarom is het al een veiliger alternatief voor wachtwoordgebruik en multi-factor authenticatie waarbij wordt gewerkt met gegenereerde keycodes of SMS-berichten. Wachtwoorden lopen op hun laatste benen. Al is het maar omdat mensen nog altijd hetzelfde, vaak eenvoudig te kraken wachtwoord gebruiken op meerdere websites en applicaties. Weliswaar bieden wachtwoordmanagers de mogelijkheid om ingewikkelde wachtwoorden samen te stellen, maar wil je die gebruiken op een nieuwe of andere computer dan en je hebt je wachtwoordmanager niet bij de hand, dan wordt het een lastig verhaal. Bovendien dwingen steeds meer bedrijven gebruikers om multi-factor authenticatie te gebruiken. Een crimineel krijgt de deur dan misschien wel open, maar kan zonder een code toch niet daar binnen. Voor het gebruik van deze authenticatie worden doorgaans authenticatieprogramma’s gebruikt, zoals die van Google of Microsoft, waarbij een tijdsgebonden code wordt getoond. Nadeel zijn allerlei extra handelingen die je moet ondernemen op toegang tot een site of dienst te krijgen. Is een passkey dan het Ei van Columbus? Een passkey bestaat uit één privé en één openbare sleutel – via een ‘authenticator’. Deze authenticator kan een apparaat zijn, zoals een smartphone of een tablet, een browser of een wachtwoordbeheerder die passkey-technologie ondersteunt. De openbare sleutel komt op de accountserver te staan en de authenticator slaat de privésleutel veilig lokaal op. De publieke sleutel kan nog steeds gestolen worden, maar de privésleutel niet. Daarvoor heb je echt het apparaat zelf nodig. Nog maar weinig gebruikers zullen in aanraking zijn gekomen met passkeys, al worden ze al enige tijd ondersteund door de belangrijkste platforms, die van Apple, Google (Android) en Microsoft (Windows). Er is nog maar een handvol sites die passkeys ondersteunen. PayPal bijvoorbeeld, maar alleen in de VS. Passkeys werken ook met reissite Kayak, eBay, Amazon, WordPress en Google. Maar veel zijn het er niet en sinds vorig jaar zijn er opvallend nieuwe sites bijgekomen. Je hoeft niet altijd een apparaat te hebben dat biometrie ondersteunt. MacBooks kunnen vingerafdrukken herkennen, maar een MacMini en iMac niet, tenzij je een speciaal toetsenbord aanschaft. Apple heeft nog geen FaceID op zijn Macs, waarbij gezichtsherkenning wordt gebruikt. Bij Windows is gezichtsherkenning mogelijk via Hello, maar een simpele viercijferige pincode voldoet ook. Voordeel van Apple en Google is dat passkeys kunnen worden gedeeld op meerdere apparaten waarbij je hetzelfde account gebruikt, dus ook op Macs zonder biometrie. Je kunt ook een passkey aanmaken door deze op te slaan op een extern apparaat, zoals een mobiele telefoon, waarmee je dan feitelijk inlogt. Of op een fysieke beveiligingssleutel, die je uiteraard niet kwijt mag raken. Ook kun je op een computer van een vriend inloggen, maar dat zal dan gaan met behulp van een QR code die door de smartphone wordt herkend. Voordeel van Apple en Google is dat de passkeys worden bewaard (in de sleutelhanger bij Apple) en bij het gebruik van een nieuw toestel automatisch meeverhuizen. Die mogelijkheid biedt Microsoft nog niet. Als je een passkey voor Windows aanmaakt en je krijgt een nieuwe pc ben je hem kwijt. Niet handig als je alleen via Windows toegang hebt tot een site. De praktijk zal voor veel mensen zijn dat ze binnen een bestaand account een passkey aanmaken. Je hebt dan bijvoorbeeld al een Google account. Je wachtwoord wissen zou dan logisch zijn, maar helemaal zonder risico is dat niet, en ik vrees dat veel gebruikers dat ook niet aandurven. Waarmee hun accounts even zwak beveiligd zijn als voorheen. Jelle Wieringa, Security Awareness Advocate van KnowBe4, waarschuwt dat passkeys sowieso niet bestand zijn tegen alle vormen van phishing.Cybercriminelen passen phishing toe op verschillende manieren. Bij Business Email Compromise (BEC)-aanvallen doet een cybercrimineel zich in een e-mail voor als de CEO of een HR-manager van een bedrijf die zogenaamd een urgent verzoek heeft. Bijvoorbeeld voor het delen van belangrijke informatie of het storten van een geldbedrag op een rekeningnummer. Er zitten dus nogal wat haken en ogen aan het gebruik van passkeys. Het viel al mee om op alle vragen antwoorden te vinden en koudwatervrees zal velen ervan weerhouden om er meteen mee aan de slag te gaan. Het grootste voordeel dat ik zie is dat passkeys inloggen wat gebruikersvriendelijker maken, zeker ten opzicht van 2FA authenticatie. Als je ermee aan de slag wilt kun je het beste aparte passkeys aanmaken op elk apparaat dat je gebruikt. Maak het niet te ingewikkeld voor het geval je smartphone defect raakt en wordt gestolen. Je kunt een herstelcontact aanwijzen mocht dat het geval zijn. Er zal ongetwijfeld een tijd komen dat sites het gebruik van wachtwoorden afschaffen en je passkeys wel zult moeten gebruiken. Maar het is ook denkbaar dat passkeys niet aanslaan en een niche oplossing blijven. Om video's van Youtube te kunnen tonen, dienen analytische cookies en tracking cookies geaccepteerd te worden. Cookie instellingen