Zijn wachtwoorden binnenkort verleden tijd? Die kans is groot. Als het om veilig inloggen gaat, lijkt er met zogenaamde passkeys namelijk een nieuwe standaard gevestigd te worden.
Veilig inloggen is al lang geen kwestie meer van gewoon je e-mailadres en wachtwoord invullen. Je kan het wel nog op die manier doen, maar je loopt er onnodig risico’s mee. Hoewel we in se nog steeds met wachtwoorden werken, is er al veel veranderd om de veiligheid op te krikken. Denk maar aan tweestapsverificatie, authenticator-apps, hardwaresleutels, wachtwoordmanagers en meer, al zijn er nog steeds heel wat mensen die deze extra veiligheidsopties niet gebruiken.
Wachtwoorden lijken wel een verroeste schroef die hardnekkig vast blijft zitten. Met passkeys echter lijkt een kantelpunt bereikt te zijn waarbij traditionele wachtwoorden meer dan ooit op het punt staan om te verdwijnen. Dat komt vooral omdat de gebruikservaring nu eindelijk goed genoeg is, zodat iedereen er makkelijk mee aan de slag kan gaan.
Een passkey is geen geheim woord of zinnetje dat je moet onthouden, maar een digitale sleutel die je toestel voor jou bewaart. Bij het aanmaken van een account genereert je telefoon, laptop of andere hardware een uniek sleutelpaar waarvan beide sleutels nodig zijn om te kunnen inloggen. De publieke sleutel gaat naar de service waar je net een account hebt gemaakt, de privésleutel blijft bij jou.
Als je later wil inloggen, vraagt de service om te tekenen met je privésleutel. Dat kan bijvoorbeeld met je vingerafdruk, gezichtsherkenning of pincode, zaken die je sowieso al gebruikt. Geen wachtwoord meer dus om te onthouden en geen geheime vraag over je eerste huisdier.
En omdat je geen wachtwoord meer ingeeft, kunnen cybercriminelen het ook niet meer stelen. Bovendien wordt een passkey gekoppeld aan een exact domein, dus het hele systeem weigert automatisch dienst wanneer het op een nepsite terechtkomt.
Het grote voordeel van passkeys is dat ze niet voor frictie zorgen. Codes via sms komen soms laat of niet aan, authenticator-apps zijn soms nogal een gedoe, zeker wanneer je van smartphone wisselt, en hardwaresleutels worden in een schuif achtergelaten en vergeten. Passkeys zijn een stuk gebruiksvriendelijker en draaien het om: jouw primaire toestel ís de sleutel.
Op iPhone en Android worden passkeys versleuteld gesynchroniseerd met je cloudaccount, waardoor een nieuw toestel na verificatie je sleutels kan overnemen. Ook op Windows en macOS zit de ondersteuning in het systeem ingebakken. Daarmee verdwijnt meteen een grote barrière, want er moeten geen nieuwe, aparte beveiligingshandelingen meer aangeleerd worden. Je smartphone ontgrendelen met je vingerafdruk kan je al, dus dan kan je elders ook inloggen met een passkey.
Dat het allemaal zo vlot en simpel werkt, is de reden waarom passkeys op weg zijn om de dominante manier van inloggen te worden. Je hebt geen nood aan een aparte sms of app, gewoon je duim scannen en klaar. Het beveiligingsconcept van passkeys bestond al lang, maar nu staat de gebruikservaring ook zodanig op punt dat iedereen ermee aan de slag kan. Toch zijn er enkele zaken om zeker in het achterhoofd te houden ook.
Passkeys hebben duidelijke voordelen om makkelijk én veilig te kunnen inloggen, simpelweg door zonder veel gedoe je smartphone te gebruiken. Maar wat als je telefoon gestolen wordt of je laptop stuk gaat? Daarvoor wordt een goed herstelproces belangrijker dan ooit en er zijn meerdere routes die gekozen kunnen worden.
Zo zou het mogelijk kunnen zijn om je passkeys te synchroniseren met een online account die versleuteld is met iets wat alleen jij kent. Verlies je je toestel, dan kan je met een ander inloggen op dat account en je passkeys recupereren, zij het vaak pas na een extra controle om te verifiëren dat je bent wie je zegt dat je bent.
Een andere route is een herstelproces buiten het ecosysteem, zoals een code die je ergens offline veilig bewaart en gebruikt wanneer het nodig is. Het is misschien een wat ouderwetse manier van werken, maar het biedt ook extra bescherming die heel wat problemen kan vermijden.
Voorts is het ook belangrijk dat services zélf een helder en veilig herstelpad aanbieden. Als een website passkeys ondersteunt, maar enkel herstel via e-mail aanbiedt, dan valt men terug op de zwaktste schakel die misbruikt kan worden. In de praktijk maken de beste implementaties van passkeys natuurlijk gebruik van verschillende herstelopties.
Naast het herstellen kan ook het delen van passkeys een heikel punt zijn. De realiteit van veel huishoudens is immers dat wachtwoorden voor bepaalde services gedeeld worden. Een heel goed idee is dat om te beginnen al niet, terwijl het met passkeys vooral onhandig kan worden.
De oplossing is niet om het dan toch maar bij één wachtwoord te houden, maar om fatsoenlijk uitgewerkte modellen te voorzien die meerdere gebruikers ondersteunen. Zo kunnen passkeys perfect werken bij diensten die verschillende profielen of gedeelde toegang mogelijk maken. Iedereen heeft dan een eigen sleutel voor het gezamenlijke abonnement.
Is deze optie er niet, dan zal er noodgedwongen teruggegrepen worden naar traditionele wachtwoorden. Wie het mogelijk wil maken om zonder wachtwoord in te loggen, kan dus maar best ook gedeelde toegang regelen. Anders moeten klanten zich in rare bochten wringen.
Voor zakelijk gebruik en zeker ook voor grotere bedrijven lijken passkeys een geschenk uit de hemel. Wat cybersecurity betreft, zit het grootste gevaar niet noodzakelijk bij een getalenteerde hacker, maar bij een medewerker die te makkelijk op een phishinglink klikt. Passkeys neutraliseren die dreiging, omdat er zoals eerder gezegd twee sleutels tegelijk nodig zijn om te kunnen inloggen. Jouw persoonlijke sleutel kan nooit een match vormen met een malafide website, waardoor cybercriminelen eraan zijn voor de moeite.
Voorts zorgen passkeys ook voor een sterke vereenvoudiging. Wachtwoordbeheer kan immers stevig teruggeschroefd worden. Geen ingewikkelde rotatieschema’s meer, geen resets, minder tickets.
Passkeys kunnen dus een echte meerwaarde zijn voor bedrijven, niet alleen omwille van de veiligheid maar ook omwille van efficiëntie en administratieve vereenvoudiging. Toch is enige nuance op zijn plaats. Niet alle scenario’s lenen zich immers voor passkeys die in de persoonlijke cloud van een medewerker zitten. Voor sommige toepassingen blijven andere, zwaardere beveiligingsmethodes, zoals een fysieke hardwaresleutel, aangewezen.
In de praktijk zullen bedrijven evolueren naar een hybride model waarbij passkeys slechts een van de inlogmethodes zijn. Het belangrijkste is alleszins dat we in die richting evolueren en dat er over heel de lijn consistentie ontstaat. Als één kritieke applicatie nog gewoon een wachtwoord en misschien een sms-bevestiging vraagt, dan blijft de hele keten kwetsbaar.
Waar je een traditioneel wachtwoord vaak gewoon in je hoofd bewaart, worden passkeys opgeslagen in het ecosysteem van je telefoon of laptop enerzijds, en het platform waarop je wil inloggen anderzijds. De synchronisatie verloopt versleuteld en veilig, maar het creëert ook afhankelijkheid en dus is het een terechte vraag hoe het zit met privacy en macht. Wie heeft de sleutelbos in handen? Voorlopig lijken er voldoende garanties ingebouwd te zijn om misbruik te voorkomen, maar het kan natuurlijk nooit kwaad om waakzaam te blijven.
Hierbij aansluitend kan je je ook de vraag stellen of je dezelfde passkeys in meerdere ecosystemen kan gebruiken. Mocht dat niet kunnen, dan zouden passkeys immers meteen een stuk minder praktisch worden. Gelukkig zijn er wel degelijk opties om je niet afhankelijk te maken van het ene of het andere systeem. Een QR-code als tussenstap zou bijvoorbeeld kunnen, al is dat niet altijd even elegant. Een onafhankelijke wachtwoordmanager die passkeys ondersteunt, kan ook, al zit je dan weer met een extra app natuurlijk. Ook met passkeys is het allemaal dus niet zo rechtlijnig als je misschien zou hopen, maar de extra veiligheid en het relatieve gebruiksgemak maken het wel de moeite waard.
Wie wil, kan nu al beginnen overschakelen naar het gebruik van passkeys. Verschillende platformen en diensten bieden de optie al aan, en grote technologiereuzen hebben al aangegeven dat passkeys voor hen de toekomst zijn waar ze op willen inzetten.
Toch moet je nu niet meteen al je wachtwoorden gaan verwijderen. Als je nog niet vertrouwd bent met passkeys kan je best wat rustiger te werk gaan. Begin bij applicaties die je vaak gebruikt en die passkeys ondersteunen. Zorg dat je vertrouwd geraakt met de manier van werken en bedenk voor jezelf ook een goede herstelprocedure, bijvoorbeeld door ergens een herstelcode te bewaren. Het voelt misschien wat aan als extra administratie, maar eigenlijk gaat het gewoon om dezelfde discipline die je bij traditionele wachtwoorden ook al had moeten hebben. Deze keer echter voelt het alsof de technologie met je meewerkt in plaats van tegen.
Waar mogelijk, kan je ook nog je oude wachtwoord bijhouden als extra vangnet. Eens je passkeys onder de knie hebt, kan je overal naar het nieuwe systeem beginnen overschakelen.
Dus wat hebben we geleerd vandaag? Dat passkeys op drie vlakken een meerwaarde zijn tegenover traditionele wachtwoorden. Om te beginnen op vlak van veiligheid. Phishing wordt moeilijker en datalekken leveren geen loginsleutels meer op waar cybercriminelen iets mee zijn. Ten tweede op vlak van gemak. Met passkeys voelt inloggen als ontgrendelen, niet als een hindernissenparcours of quiz. En tot slot consistentie. Overal maak je dezelfde beweging, dezelfde actie om in te loggen, of het nu voor een app op je telefoon, computer of tv is. Gedaan met massa’s verschillende wachtwoorden, gewoon je vingerafdruk en klaar.
Natuurlijk zijn er wel enkele kanttekeningen. Oudere toestellen blijven achter en het herstellen van passkeys kan wat omslachtig zijn. Ook staat het delen binnen gezinnen nog niet helemaal op punt. Dit lijken echter vooral groeipijnen te zijn en geen fundamentele gaten in de standaard van passkeys zelf. Ongetwijfeld zullen die groeipijnen gaandeweg wel verdwijnen.
Stevenen we dan echt af op een toekomst van inloggen zonder wachtwoord? De kans is reëel van wel. Het is alleszins de richting die we aan het opgaan zijn en puur technisch is het ook de meest logische richting. Passkeys werken gewoon prettiger en ze zijn veiliger dan traditionele wachtwoorden.
Toch komt er bij een dergelijke omschakeling meer kijken dan alleen maar het technische. Er is ook een cultureel aspect en daar lijken de geesten nog wat te moeten rijpen. De mens is nu eenmaal een gewoontedier en we hangen nog stevig vast aan het gebruik van wachtwoorden. We moeten nog wennen aan het idee dat inloggen samenhangt met onze identiteit, die dan weer aan een toestel hangt en niet aan een reeks tekens die we in een invoerveld tikken.
Gaandeweg echter zullen de groeipijnen van passkeys verdwijnen en zullen ze meer en meer als de meest logische optie gekozen worden. Traditionele wachtwoorden verdwijnen automatisch, na een lange staat van dienst, naar de achtergrond. De verroeste schroef komt dan los, en we zullen ons afvragen waarom we er ooit zo lang aan hebben gedraaid.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
