Zet inzichten om in actie: Bitwarden Access Intelligence nu beschikbaar Meer informatie >

Bitwarden-bronnen

Waarom passkeys phishingbestendige multifactorauthenticatie zijn

Wanneer een passkey wordt gebruikt, is authenticatie gekoppeld aan de legitieme website en gebaseerd op cryptografisch bewijs. Lees vandaag nog meer over passkeybeveiliging!

Passkeys zijn een phishingbestendige methode voor multifactorauthenticatie (MFA) die kan worden gebruikt als zelfstandige authenticatiefactor of naast wachtwoorden in hybride implementaties. Wanneer een passkey wordt gebruikt, is authenticatie gekoppeld aan de legitieme website en gebaseerd op cryptografisch bewijs in plaats van eenmalige verificatiecodes die handmatig moeten worden ingevoerd of goedgekeurd. In deze FAQ wordt uitgelegd waarom en hoe passkeys veiliger zijn dan sms-codes, authenticator-apps en pushmeldingen.

Kunnen passkeys zonder wachtwoorden werken?

Ja. Passkeys kunnen in wachtwoordloze implementaties als complete authenticatieoplossing functioneren, omdat ze van nature multifactor zijn. Ze vereisen bezit van een apparaat plus biometrische verificatie of verificatie met een pincode. Organisaties kunnen passkeys ook gebruiken als extra authenticatiefactor naast wachtwoorden, zodat teams flexibel kunnen kiezen voor de aanpak die past bij hun beveiligingsbeleid en gebruikersworkflows.

Wat maakt passkeys een “phishingbestendige” multifactorauthenticatie?

Passkeys zijn cryptografisch veilig en gebruiken geavanceerde versleuteling en wiskundige functies om niet te raden en vrijwel onmogelijk te phishen te zijn. Daarmee zijn ze een vorm van phishingbestendige multifactorauthenticatie. Drie eigenschappen definiëren deze klasse MFA.

Oorsprongsbinding De authenticator controleert de website of app die de login aanvraagt en reageert alleen wanneer het domein legitiem is (zie Hoe werken passkeys). Dit voorkomt dat namaaksites een geldige aanmelding activeren.

Challenge-response Elke login gebruikt een unieke, kortstondige challenge die door de service wordt gegenereerd. De authenticator ondertekent deze challenge met een privésleutel. Er is geen herbruikbare informatie die een aanvaller kan onderscheppen en doorsturen naar de echte site (relay-aanval) of kan opslaan om later opnieuw te proberen (replay-aanval).

Geen gedeelde geheimen De privésleutel blijft op het apparaat van de gebruiker en wordt tijdens de authenticatie nooit verzonden. De service/website slaat alleen een openbare sleutel op, die niet kan worden gebruikt om een geldige login te genereren of zich voor te doen als de gebruiker.

Raadpleeg voor meer achtergrondinformatie over hoe authenticatie binnen ondernemingen verandert de invoering van wachtwoordloze authenticatie.

Waarom andere methoden minder veilig zijn

Passkeys voldoen aan alle drie de phishingbestendige MFA-vereisten. Ze koppelen authenticatie aan het echte domein, reageren alleen op door de server gegenereerde challenges en geven nooit een gedeeld geheim prijs.

Ter vergelijking: gangbare methoden voor multifactorauthenticatie kunnen worden onderschept of doorgestuurd:

  • Sms-codes kunnen worden gestolen via malware, SIM-swaps of realtime relay-kits.

  • TOTP's van authenticator-apps zijn tijdelijk, maar nog steeds gedurende een korte periode herbruikbaar en kunnen via gespoofte websites worden verzameld.

  • Pushgoedkeuringen zijn kwetsbaar voor aanvallen met herhaalde prompts (ook bekend als 2FA-bombing), waarbij gebruikers uit verwarring of vermoeidheid een verzoek goedkeuren.

Passkeys voldoen aan de phishingbestendige MFA-criteria van NIST, Microsoft en andere grote aanbieders.

Voorbeelden van phishingbestendige MFA

Realtime relay-kits voor multifactorauthenticatie Relay-kits maken een proxy tussen gebruikers en valse loginpagina's, waarbij wachtwoorden en eenmalige codes worden onderschept en doorgestuurd naar de echte site. Passkeys voorkomen deze aanval omdat er geen herbruikbare code bestaat en de ondertekende challenge niet opnieuw kan worden gebruikt.

Vallen met namaakdomeinen Aanvallers registreren domeinen die sterk lijken op legitieme websites en sturen slachtoffers daarheen om inloggegevens in te voeren. Een recent voorbeeld was “rnicrosoft.com vs. microsoft.com”; let op: de r en n lijken samen op een m. Passkeys reageren niet op niet-overeenkomende origins, waardoor het frauduleuze domein geen geldige authenticatieprompt kan produceren.

Moeheid door multifactorauthenticatie en push-bombing Pushgebaseerde MFA is afhankelijk van menselijke goedkeuring. Aanvallers overspoelen gebruikers met herhaalde prompts totdat ze er per ongeluk één accepteren. Passkeys nemen deze aanvalsvector volledig weg, omdat de authenticatiestroom geen acties voor “goedkeuren” of “weigeren” bevat.

Bekijk voor inzicht in het versterken van de zichtbaarheid van authenticatie in uw hele organisatie het overzicht van Bitwarden Access Intelligence.

Als u opties voor inloggen op verschillende apparaten verkent, raadpleeg dan Inloggen met een ander apparaat.

Als u opties voor inloggen op verschillende apparaten verkent, raadpleeg dan Inloggen met een ander apparaat.

Ga aan de slag met krachtige, betrouwbare wachtwoordbeveiliging. Kies uw plan.