Met het nieuwe passkeys mag je jouw wachtwoorden (eindelijk) vergeten

Het is lastig om overal sterke, unieke wachtwoorden voor te onthouden. Het gevolg is dat we massaal slechte wachtwoorden en vaak ook hetzelfde wachtwoord gebruiken. Of de wachtwoorden ergens onbeveiligd opslaan of op een papiertje schrijven. Dat is niet veilig, en daarom heeft een groep techgiganten – waaronder Apple, Google en Microsoft – een nieuwe technologie bedacht. 

Simpele manier

Passkeys zijn een simpele en veilige manier om bij websites en apps in te loggen. Het zijn een soort digitale sleutels die veilig op je apparaat worden bewaard, en je kan alleen bij die sleutels met je vingerafdruk, gezichtsherkenning of gewoon een pincode. 

Om het simpel te zeggen: hoe je je smartphone ontgrendelt, zo log je voortaan ook in bij je apps en websites. Hoe dat werkt, leggen we uit in onderstaande video.

Het grote voordeel van passkeys is dus dat je niet meer voor elke website of app een nieuw wachtwoord hoeft te onthouden, en dat is veel veiliger. Maar er zijn nog twee andere belangrijke voordelen. 

Allereerst zorgen passkeys ervoor dat oplichting via phishing (nepwebsites) vrijwel onmogelijk is. Deze digitale sleutel wordt per website aangemaakt en werkt alleen met die website. Als je per ongeluk op een gevaarlijke nepwebsite van je bank terecht komt, werkt je passkey daar niet en word je niet ingelogd. Zo weet je dat je op een valse website zit.

Moeilijk te hacken

Dan het tweede grote voordeel: passkeys kunnen veel lastiger worden gehackt. Dat zit zo: meestal stelen criminele hackers jouw wachtwoord door websites en apps te hacken waar je een profiel hebt.

Met passkeys stelen ze geen wachtwoorden meer, maar een stukje van jouw digitale sleutel. En met dat stukje kunnen ze helemaal niets. Alsof een piepklein stukje van je huissleutel afbreekt: met dat stukje kun je ook niet je deur openen.

Hoe werkt een passkey?

Passkeys werken met asymmetrische cryptografie. Dat klinkt ingewikkeld, maar valt best mee: het betekent dat je twee sleutels hebt, een privé en een publieke sleutel. De publieke sleutel is niet gevoelig en wordt opgeslagen bij de betreffende app of website – die mag dus prima worden gehackt en gestolen. De privésleutel staat veilig op jouw apparaat.

Als je bij een website wil inloggen, vraagt de website of je wil laten zien dat jij de privésleutel hebt die bij de publieke sleutel hoort. Dit proces wordt ook wel een handshake (handen schudden) genoemd. Als dat succesvol is, mag je inloggen. Zonder privésleutel kun je niet zo’n handshake uitvoeren. 

Je krijgt over het algemeen alleen toegang tot jouw passkey als je jezelf identificeert met je vingerafdruk, gezichtsscan of pincode – op dezelfde manier als we onze telefoon ontgrendelen. Dat is nog een stukje veiliger.

Handjevol websites

Passkeys kun je nu al gebruiken op apparaten met minimaal iOS 16 of Android 9. Zodra je inlogt op een website of app die passkeys ondersteunt, krijg je een melding of je een passkey aan wil maken en op je smartphone wil bewaren. Deze wordt meestal ook veilig opgeslagen in je iCloud- of Google-account, zodat je op al je apparaten toegang hebt tot die passkey.

Bij het inloggen met een passkey is veelal een vorm van authenticatie nodig, in de vorm van een vingerafdruk, gezichtsscan of pincode. De website moet natuurlijk wel weten dat jij écht degene bent die de passkey gebruikt.

Op je smartphone is dat logisch – daar zitten die scanners natuurlijk – maar op veel laptops nog niet. Als je daar probeert in te loggen met een passkey moet je meestal even met je telefoon een QR-code scannen om jezelf te verifiëren – net zoals bij DigiD.

Er zijn alleen nog maar een handjevol websites en apps die passkeys ondersteunen, waaronder Apple, Google, Amazon, PayPal, WhatsApp en TikTok. Daarmee staat de technologie nog echt in de kinderschoenen.

Wat nou als een dief je telefoon steelt? Dan heeft hij wel je telefoon, maar nog lang geen toegang tot jouw passkeys. Om die te gebruiken heeft hij ook jouw vingerafdruk, gezichtsscan of pincode nodig. Zolang hij niet jouw telefoon kan ontgrendelen, kan ‘ie er niets mee.

Gevaar voor hacken?

Maar je hebt natuurlijk ook criminele hackers die misschien wel inbreken op je telefoon en daar je passkeys stelen. Dat is mogelijk, maar komt heel weinig voor. Androids en iPhones die van de laatste updates zijn voorzien, zijn over het algemeen erg lastig te hacken. Veel criminele hackers kunnen niet eens op afstand een telefoon hacken, laat staan om ook nog eens bij de goed beveiligde passkeys te komen.

Het grote gevaar voor het gros van de mensen is dat hun wachtwoord wordt gestolen of gekraakt, en dat ze in phishing trappen. Tegen beide gevaren beschermen deze nieuwe passkeys heel goed. En omdat passkeys vaak worden gesynchroniseerd tussen je apparaten, net als bijvoorbeeld je foto’s, is het ook niet erg als je smartphone opeens kapot of verloren gaat.

Zo’n vingerafdruk, is dat wel veilig?

Het gebruik van een vingerafdruk of gezichtsscan is veilig omdat je gezicht niet kan worden afgekeken of gestolen, zoals een pincode of wachtwoord. Je vinger of gezicht wordt ook niet als een echte afdruk opgeslagen, zoals veel mensen denken, maar als een hele lange unieke code die per apparaat verschilt en nooit je apparaat verlaat. Zelfs als zou deze code worden gestolen, kan een aanvaller er niets mee.

Het is met name belangrijk om je pincode van je smartphone zo goed mogelijk te beschermen, omdat de pincode in sommige gevallen de volledige toegang tot je cloud (foto’s, wachtwoorden etc.) geeft. Het zo veel mogelijk gebruiken van een vingerafdruk of gezichtsscan zorgt ervoor dat zo min mogelijk mensen je pincode kunnen afkijken.

Allerlei zwaktes opgelost

Experts zijn het er over eens dat deze nieuwe manier van inloggen veiliger is dan het gebruik van een wachtwoord. Het is sneller, makkelijker en veiliger, zegt Herbert Bos, hoogleraar cybersecurity aan de Vrije Universiteit: “Het lost allerlei zwaktes op van het huidige inloggen, zoals het gebruik van zwakke wachtwoorden, al die wachtwoorden ook onthouden en databases met wachtwoorden die kunnen worden gehackt.”

Bos denkt wel dat mensen zullen moeten gaan wennen aan deze nieuwe vorm van inloggen. “Passkeys werken op een compleet andere manier dan wachtwoorden, en ik kan me voorstellen dat het voor sommigen door de snelheid en het gemak minder veilig ‘voelt’  – maar dat is niet zo.”

Het zal nog wel jaren gaan duren voordat passkeys daadwerkelijk wachtwoorden gaan vervangen. Tot die tijd zal de technologie nog naast het oude vertrouwde wachtwoord bestaan.