Wachtwoordloze toekomst: een uitgebreide FAQ over passkeys

Wat is een passkey en hoe werkt die?

Passkeys zijn een vorm van authenticatie waarmee je snel accounts kunt aanmaken en erop kunt inloggen, zonder een minder veilig wachtwoord te hoeven gebruiken. Deze veilige loginmethode in één stap vervangt traditionele authenticatiemethoden en het proces voor tweefactorauthenticatie (2FA). En nog beter: met passkeys maak je nooit meer een zwak wachtwoord aan, omdat je helemaal geen wachtwoord meer hoeft aan te maken.

Vervangen passkeys fysieke hardwaresleutels, zoals YubiKeys?

Een moderne YubiKey kan als passkey worden gebruikt. Specifiek zijn ze wat bekendstaat als een beveiligingssleutel of ‘apparaatgebonden passkey’: de sleutel zelf staat op het kleine apparaat en wordt nooit gesynchroniseerd of geback-upt. Daardoor kunnen ze lastiger in gebruik zijn dan een gesynchroniseerde passkey, maar in bepaalde scenario’s kunnen ze nuttig zijn.

Zijn passkeys hetzelfde als wachtwoordloos?

Ja. Omdat passkeys geen wachtwoord vereisen, worden ze beschouwd als een wachtwoordloze authenticatiemethode. Houd er rekening mee dat passkeys over het algemeen veiliger zijn dan andere vormen van wachtwoordloze authenticatie die makkelijker kunnen worden gephisht.

Wat is de beste manier om passkeys te gebruiken?

Een passkey gebruiken is veel eenvoudiger dan je misschien denkt. Wanneer je je registreert voor een nieuw account, maak je in plaats van een traditionele gebruikersnaam en wachtwoord (en de extra aanmelding voor tweestapslogin) één passkey aan. Die passkey kan worden gekoppeld aan de biometrie op je apparaat (zoals een vingerafdrukscanner) of aan een pincode als de passkey gebruikersverificatie vereist. Wanneer je vervolgens bij het account wilt inloggen, hoef je je alleen via biometrie of pincode te authenticeren om toegang te krijgen. Biometrie wordt alleen lokaal op je apparaat gebruikt en nooit naar de website verzonden.

Hoe stel ik een passkey in? En hoe verandert dat proces wanneer ik later naar een site of app ga?

Wanneer een website of app die eerder een traditionele gebruikersnaam en wachtwoord gebruikte ondersteuning voor passkeys inschakelt, is één klik op een knop vaak genoeg om je eerste passkey aan te maken. Het proces is net zo eenvoudig als het ontgrendelen van je apparaat. Op de achtergrond wordt bij het aanmaken van een passkey een paar cryptografische sleutels gegenereerd. De eerste is de openbare sleutel, die wordt opgeslagen op de website waarvoor je het account aanmaakt. De tweede is de privésleutel, die wordt opgeslagen op je apparaat of in je Bitwarden-kluis. Dit sleutelpaar wordt op je apparaat beschermd met je biometrische vingerafdruk of gezichtsscan.

Welke informatie is vereist bij het instellen van een passkey?

Wanneer je een passkey voor een site aanmaakt, moet je eerst inloggen met je bestaande gebruikersnaam en wachtwoord. De server stuurt vervolgens een verzoek naar je browser om specifieke versleutelingsinformatie te leveren. Daarna moet je het verzoek goedkeuren met bijvoorbeeld biometrie (vingerafdrukscanner of gezichtsontgrendeling) of de pincode van je apparaat. Na succesvolle verificatie genereert je apparaat het sleutelpaar en stuurt het de openbare sleutel naar de site. En dat is alle informatie die je hoeft te verstrekken bij het instellen van een passkey.

Waar worden mijn passkeys opgeslagen?

De openbare sleutel wordt opgeslagen op de website en de privésleutel wordt opgeslagen op je apparaat of bij je passkeyprovider, bijvoorbeeld in je Bitwarden-kluis.

Hoe verhouden wachtwoorden en passkeys zich vanuit beveiligingsperspectief tot elkaar?

Passkeys zijn om een aantal redenen veiliger dan de traditionele authenticatiemethode met gebruikersnaam en wachtwoord. Eerst en vooral kun je geen gemakkelijk te kraken wachtwoorden gebruiken, zoals “wachtwoord.” Daarnaast is 2FA ingebouwd in de passkey en kan iemand alleen toegang krijgen tot je account als diegene zowel de privésleutel als je biometrische login of pincode van je apparaat heeft.

Heb ik 2FA nodig met mijn passkey?

Nee, want 2FA is ingebouwd in de passkey die tijdens het loginproces aan de website wordt verstrekt. Elke website kan ervoor kiezen een extra stap voor het inloggen toe te voegen, al doen de meeste dat niet.

Kan mijn passkey worden gehackt?

Niets is 100% waterdicht. Het hacken van een passkey zou echter aanzienlijke moeite kosten: niet alleen om toegang te krijgen tot het apparaat waarop de privésleutel is opgeslagen, maar ook om in je apparaat in te breken, bijvoorbeeld door je biometrische login (vingerafdruk of gezicht) of pincode van je apparaat na te bootsen. Daardoor zijn passkeys veel veiliger dan traditionele methoden.

Wat gebeurt er als ik mijn telefoon kwijtraak? Hoe herstel ik mijn passkey als ik geen wachtwoord heb om me te identificeren?

Passkeys kunnen vaak tussen je apparaten synchroniseren, maar nog niet alle platforms ondersteunen dit. Met Bitwarden kun je je passkeys opslaan in je kluis, waarvan een back-up wordt gemaakt en die tussen al je apparaten synchroniseert. Mocht je je passkeys op de een of andere manier kwijtraken, dan hebben de meeste sites herstelopties, zodat je een nieuwe passkey voor je account kunt maken. Dit verschilt uiteraard per site.

Wat gebeurt er als mijn apparaat wordt gestolen? Kan een dief op die manier toegang krijgen tot passkeys?

Een dief kan je passkeys op je apparaat alleen succesvol gebruiken als diegene je apparaat ook kan ontgrendelen en daarmee in feite volledige toegang tot je gegevens krijgt. Voor elk gebruik van een passkey is echter vaak gebruikersverificatie nodig, zoals biometrie of het opnieuw invoeren van de pincode van je apparaat. Je apparaat stelen terwijl het ontgrendeld is, is dus niet voldoende.

Google heeft onlangs ondersteuning voor passkeys aangekondigd. Is dit hetzelfde als wat Bitwarden aankondigt?

Gedeeltelijk. Google heeft aangekondigd dat het ondersteuning heeft toegevoegd voor passkey-authenticatie voor Workspace-accounts. Dit betekent dat gebruikers met een passkey kunnen inloggen bij hun Google Workspace in plaats van met hun gebruikelijke wachtwoord. Op dezelfde manier kunnen Bitwarden-gebruikers met een passkey toegang krijgen tot hun Bitwarden-account in plaats van met hun hoofdwachtwoord.

Bitwarden heeft ook aangekondigd dat gebruikers geregistreerde passkeys die gekoppeld zijn aan de websites en applicaties die ze gebruiken, rechtstreeks in hun kluis kunnen opslaan, bewaren en beheren. Google maakt het nu dus mogelijk om passkeys voor accounts te gebruiken, en Bitwarden kan passkeys in kluizen opslaan.

Gebruik ik dezelfde passkey ongeacht de browser die ik gebruik, of vereist elke site een andere passkey afhankelijk van de browser of het apparaat?

De passkeys die in Bitwarden zijn opgeslagen, zijn gesynchroniseerde passkeys. Dat betekent dat je in elke browser waarin je bent ingelogd bij de Bitwarden-extensie, of waar je de mobiele Bitwarden-app hebt geïnstalleerd, met dezelfde passkeys toegang hebt tot je accounts zonder nieuwe te hoeven maken. Als je je passkeys niet in Bitwarden opslaat, hangt het af van hoe goed de browser integreert met het besturingssysteem van je apparaat (waar de passkeys zijn opgeslagen).

De groeiende lijst met sites die momenteel passkeys ondersteunen, omvat onder andere Best Buy, Cloudflare, eBay, Google, Kayak, PayPal en GitHub. Een door de community samengestelde Passkey Index is beschikbaar op GitHub.

Gebruikers kunnen met een passkey toegang krijgen tot hun accounts zonder hoofdwachtwoord voor de web-app in ondersteunde browsers. Passkeys kunnen ook worden aangemaakt en opgeslagen in Bitwarden-kluizen om toegang te krijgen tot sites die passkeys ondersteunen.

Kunnen passkeys op verschillende platforms worden gebruikt? Zo niet, zijn er problemen met verschillende passkeys afhankelijk van het platform dat je gebruikt?

Er zijn twee soorten passkeys: apparaatgekoppelde passkeys en gesynchroniseerde passkeys. Apparaatgekoppelde passkeys zijn beperkt tot het apparaat waarop ze zijn aangemaakt. Gesynchroniseerde passkeys kunnen worden opgeslagen bij een passkeyprovider zoals Bitwarden en worden gebruikt overal waar je bent ingelogd.

Zit ik vast aan het gebruik van passkeys als ik ervoor kies?

Dat hangt af van de site of het account. Sommige sites bieden mogelijk alleen passkey-authenticatie aan, terwijl andere traditionele authenticatie met gebruikersnaam en wachtwoord of authenticatie met gebruikersnaam, wachtwoord en 2FA aanbieden.

Kunnen passkeys worden gedeeld met andere vertrouwde personen?

Dat hangt af van het platform. Sommige platforms, waaronder Bitwarden, maken het mogelijk om passkeys te delen met vertrouwde personen.

Is er ondersteuning, zoals een livechatmedewerker met wie ik kan spreken als ik problemen heb met mijn passkey?

Dat hangt af van de site. Als een site passkey-authenticatie ondersteunt en ondersteuning biedt, kunnen zij je vragen over passkey-authenticatie voor die specifieke site beantwoorden.

Kan ik mijn passkey verwijderen als ik die niet meer wil gebruiken?

Ja. Dit gebeurt op dezelfde manier als waarop je een wachtwoord op je apparaat zou verwijderen.