Cybercriminelen worden elke dag geavanceerder. Ondertussen beschermen nog te veel mensen hun accounts met "Password123".
Een belangrijk aandachtsgebied van cybercriminaliteit is de beveiliging van gebruikersaccounts, die meestal wordt geregeld met een combinatie van gebruikersnaam en wachtwoord. Tel daar slecht geïnformeerde gebruikers bij op, en kwaadwillenden hebben het een stuk makkelijker.
Eenvoudige wachtwoorden.
Herbruikte wachtwoorden.
Geen multifactorauthenticatie.
Elk van de bovenstaande punten draagt bij aan het probleem.
Gelukkig is er een nieuwe beveiligingstool die aan populariteit wint: passkeys. Passkeys zijn een vervanging voor wachtwoorden en gebruiken biometrische authenticatie, zoals een vingerafdrukscan of gezichtsherkenning, om gevoelige gegevens beter te beveiligen met een veiliger proces voor gebruikersverificatie.
Wat zijn passkeys?
Passkeys zijn een veilige, cryptografische methode om gebruikers zonder wachtwoorden te authenticeren, met betere online beveiliging, veiligheid en gebruiksgemak. Eenmaal ingesteld zijn passkeys makkelijker te gebruiken dan wachtwoorden en exponentieel veiliger, omdat hun sterkte niet afhangt van de gebruiker.
Steeds meer websites omarmen deze wachtwoordloze technologie, waaronder veel grote techbedrijven zoals Google, Amazon, Apple en Microsoft.
Lees meer over passkeys in deze uitgebreide blog:
Passkeys zijn een vorm van wachtwoordloze authenticatie die traditionele wachtwoorden vervangt. Ze kunnen op de meeste besturingssystemen worden gebruikt binnen een wachtwoordbeheerder en maken gebruik van public-key-cryptografie, een technologie die al meer dan 10 jaar in ontwikkeling is. De FIDO Alliance werd in 2013 opgericht om de technologie te begeleiden en te stimuleren, universele, open standaarden te waarborgen, en wordt ondersteund door een lange lijst leden en sponsors, waaronder Bitwarden. Passkeys maken gebruik van de WebAuthn-cryptografische protocollen die door de alliantie zijn ontwikkeld en worden beschouwd als de gouden standaard voor veilige authenticatie.
Hoe werken passkeys?
In de kern zijn passkeys ontworpen om wachtwoorden te vervangen en zijn ze vrij eenvoudig dankzij public-key-cryptografie.
Wanneer een gebruiker zich registreert voor een nieuw account op een website of in een app (die passkeys ondersteunt), wordt gevraagd een passkey aan te maken. Scan wanneer daarom wordt gevraagd simpelweg de aangeboden QR-code met een telefoon om de passkey automatisch aan te maken.
Die passkey bestaat uit twee sleutels: een openbare sleutel en een privésleutel. De openbare sleutel wordt op de server opgeslagen en de privésleutel op het apparaat van de gebruiker. Zodra een gebruiker de passkey heeft aangemaakt, wordt gevraagd deze te gebruiken om toegang te krijgen tot die site. Het enige wat nog rest, is vingerafdruk- of gezichtsbiometrie op een telefoon gebruiken om in te loggen.
Om in te loggen op een website met passkey-ondersteuning stuurt de site een login-uitdaging — een heel groot willekeurig getal — en gebruikt de geheime sleutel van de gebruiker cryptografie om de uitdaging te ‘ondertekenen’ met een antwoord erop. De website controleert de handtekening aan de hand van de openbare sleutel om de authenticiteit te verifiëren. Na bevestiging kan de website toegang tot het account verlenen.
Omdat elke passkey bestaat uit een paar van twee gerelateerde asymmetrische cryptografische sleutels, zeer lange, willekeurige tekenreeksen, is het authenticatieproces aanzienlijk veiliger. Hoewel die twee sleutels van elkaar verschillen, hebben ze wel een speciale relatie: de ene kan berichten ontsleutelen (de privésleutel op het apparaat van een gebruiker, ondersteund door de meeste besturingssystemen) die door de andere zijn versleuteld (de openbare sleutel op de server). Dat sleutelpaar wordt gebruikt om de gebruiker te verifiëren en te authenticeren.
In tegenstelling tot wachtwoorden bestaat het sleutelpaar uit een privésleutel, die veilig wordt bewaard op het apparaat of in een wachtwoordbeheerder die passkeys ondersteunt (ook wel een passkeyprovider genoemd), en een openbare sleutel, die wordt opgeslagen op de website waarop een gebruiker inlogt. Een van de belangrijkste dingen aan deze sleutelparen is dat de privésleutel veilig is en de besturingssystemen waarop deze is opgeslagen nooit verlaat, en dat de wachtwoordbeheerder deze vergrendeld houdt met biometrie, een pincode of een wachtwoord. De openbare sleutel daarentegen zou met de hele wereld kunnen worden gedeeld, bijvoorbeeld bij een datalek van een website, zonder dat de beveiliging in gevaar komt zolang de privésleutel veilig blijft.
Hier is een bekende analogie om asymmetrische sleutelparen te helpen begrijpen. De onderstaande infographic legt de stappen uit voor het gebruik van een passkey en het bijbehorende sleutelpaar om de authenticiteit van een gebruiker te verifiëren bij het inloggen op een website.
Dankzij het openbare-private sleutelpaar zijn passkeys veel beter in staat phishingaanvallen te voorkomen en de privacy van gebruikers beter te waarborgen.
Passkeys in Bitwarden
Bitwarden Wachtwoordbeheerder ondersteunt het maken en opslaan van passkeys, waardoor ze eenvoudig te beheren zijn.
Ga vandaag nog aan de slag met een gratis account of deel het met je team door een gratis proefperiode voor bedrijven te starten.
Voor ontwikkelaars biedt Bitwarden Passwordless.dev API-frameworks om je te helpen vindbare FIDO-inloggegevens zoals passkeys te bouwen.