Passkeys maken een einde aan het inloggen met wachtwoorden

22 sep, 2022

Inloggen met behulp van Face ID of Touch ID
Passkeys maken een einde aan het inloggen met wachtwoorden

IOS 16

Een gemiddelde internetgebruiker bezit vele verschillende online accounts met bijbehorende wachtwoorden. Apple heeft het afgelopen jaar gewerkt aan een nieuwe manier van inloggen op basis van WebAuthn-credentials, genaamd passkeys. Hiermee kun je op apps en websites inloggen met je iPhone door je gezicht te scannen (Face ID) of vingerafdruk (Touch ID).

Dit is niet alleen superhandig, maar ook heel erg veilig omdat er geen wachtwoorden meer worden gebruikt. De functie wordt niet alleen door Apple toegevoegd, ook Google en Microsoft zullen dit binnenkort aanbieden. Tijdens het WWDC 2022 heeft Apple een demonstratie van Paskeys onder iOS 16 en macOS Venture laten zien tijdens de keynote.

 

Samenwerking met FIDO Alliance

Apple, Google en Microsoft willen het web veiliger en makkelijker in het gebruik maken. Daarom hebben deze drie bedrijven aangekondigd dat ze de algemene standaard voor inloggen zonder wachtwoord van de FIDO Alliance en het World Wide Web Consortium breder gaan ondersteunen. Dit betekent dat je op de devices en platforms van deze bedrijven binnenkort veilig en eenvoudig kunt inloggen bij websites en apps die deze mogelijkheid bieden.

Vele honderden technologiebedrijven en dienstverleners hebben samen met de FIDO Alliance en W3C aan de standaarden gewerkt die inloggen zonder wachtwoord mogelijk maken. Deze standaarden worden inmiddels al door miljarden devices en alle moderne webbrowsers ondersteund. Apple, Google en Microsoft hebben het voortouw genomen bij de ontwikkeling van de uitgebreide versie van deze inlogmethode en zijn de ondersteuning daarvan nu aan het inbouwen in hun eigen platform.

Wat zijn passkeys?

Passkeys zijn gebaseerd op WebAuthn en FIDO-authenticatie, een nieuwe wereldwijde standaard voor veilige authenticatie op het web. De passkeys moeten ervoor zorgen dat je geen wachtwoorden meer hoeft te gebruiken. In plaats daarvan scan je tijdens het aanmaken van een account op een website of app eenmalig je gezicht of vinger.

De gescande biometrische kenmerken worden vervolgens omgezet in een unieke code. Deze code wordt dan versleuteld opgeslagen in de iCloud-sleutelhanger.

Een passkey is stukken veiliger dan inloggen met een wachtwoord. Wanneer je nu inlogt bij een website of in een app wordt je wachtwoord via het internet naar een server gestuurd. Je wachtwoord is dus aanwezig op zowel je eigen apparaat als op de server van de website of app waarop je wilt inloggen.

Het komt regelmatig voor dat hackers de gehele gebruikers database van een server buit maken. Hierin bevinden zich dan zowel de gebruikersnamen als de bijbehorende wachtwoorden.

 

Hoe werken passkeys?

Een passkey werkt volgens een sleutelset principe; een cryptografische ontsleutelmethode. Binnen deze methodiek maak je gebruik van een publieke sleutel en een privé sleutel.

De publieke key is, zoals de naam ook zegt, inzichtelijk voor iedereen en naar jou herleidbaar. De privé key is echter alleen voor jou en blijft op de apparaten waarmee je wilt inloggen.

passkeys voorbeeld

Zowel de publieke als privésleutel zijn nodig om in te kunnen loggen. De publieke sleutel wordt vergeleken met de privé sleutel om authenticatie plaats te laten vinden. Je iPhone of Mac dient dus als het ware als controlemechanisme om te bewijzen dat jij echt jij bent.

Deze methode van inloggen is vele malen veiliger dan een wachtwoord. Het gokken van wachtwoorden, wat nog steeds een populaire tactiek is om achter inloggegevens te komen, zal hierdoor tot het verleden behoren.

Wil je nu al Passkeys testen? Dat kan dit via deze demo-website.

Synchronisatie via iCloud-sleutelhanger

De Passkeys blijven altijd op je device staan en zijn specifiek voor de site of app waarvoor je ze hebt aangemaakt. Je private sleutel wordt niet bewaard op een webserver van de website, app of Apple, dus je accounts zijn ook niet gevoelig voor data­lekken.

Om ervoor te zorgen dat je de sleutels op al je Apple-apparaten kunt gebruiken worden ze compleet versleuteld gesynchroniseerd via iCloud-sleutelhanger op al je Apple devices. De sleutel wordt dan meteen lokaal opgeslagen en niet op de webservers van Apple.

 

Passkeys in iOS 16 en macOS Ventura

Tijdens WWDC 2022 heeft Apple een demonstratie van Paskeys laten zien. De functies te gebruiken vanaf iOS 16, macOS 13 Ventura, WatchOS 9 en tvOS 16. Een app of website moet wel eerst de functie inbouwen in hun systeem, voor je dit kunt gebruiken.

Ook op apparaten van derden kun je Passkeys via Apple gebruiken. Hieronder een toelichting hoe het identificeren precies in zijn werk gaat.

  • iPhone en iPad: inloggen met Face ID of Touch ID
  • Mac: inloggen met Touch ID, mogelijk ook QR-code via iPhone/iPad
  • Apple TV: inloggen door een QR-code te scannen met je iPhone of iPad
  • Apparaten van derden: inloggen via een website door een QR-code te scannen met je iPhone of iPad

Wat als je iPhone gestolen wordt?

Je iPhone zal een cruciale plek krijgen bij het inloggen via Passkeys, maar wat als deze gestolen wordt? Uiteraard kun je dan een ander toestel gebruiken om in te loggen op de website of app en kun je de iPhone loskoppelen van je account. Stel dat je ook geen toegang hebt tot andere apparaten dan kun je een herstelcontact gebruiken om alsnog toegang te krijgen tot je accounts. Het is dus belangrijk dat je deze instelt.

Tot slot is er nog een extra mogelijkheid genaamd ‘iCloud Sleutelhanger escrow’, alleen moet je dan wel toegang hebben tot je telefoonnummer voor een ontvangen SMS en moet je enkele belangrijke (persoonlijke) vragen beantwoorden zoals je toegangscode. MEer informatie over de beveiliging van Passkeys lees je hier terug.

bron: Appletips.nl
Wij gebruiken cookies om uw gebruikerservaring op onze website te optimaliseren.