Jarenlang wist geen enkele wachtwoordloze oplossing voet aan de grond te krijgen. Dat gaat op korte termijn veranderen met de komst van de passkeys, de nieuwste poging van de Fido Alliance om wachtwoorden een halt toe te roepen en ons een veiliger alternatief te bieden. Apple, Google en Microsoft hebben zich sterk gecommitteerd aan het native ondersteunen van passkeys in hun besturingssystemen en applicaties. Met Fido-authenticatie als belangrijkste manier.
Passkeys zijn door Fido ingeschakelde authenticatiegegevens die gebruikmaken van openbare sleutel-cryptografie, dat wil zeggen asymmetrische privé-/openbare sleutelparen. Deze zijn gekoppeld aan bepaalde gebruikers en hun apparaten en websites, diensten of applicaties, ook bekend als relying parties. Wanneer de gebruiker probeert in te loggen bij een deelnemende, al geregistreerde relying party, wordt de gebruiker gevraagd een handeling uit te voeren om de login goed te keuren. Dit wordt ook wel een gesture (gebaar) genoemd. Dit kan de gebruiker aanvragen op elk passkey-enabled device waar hij of zij gebruik van maakt, zoals zijn mobiele telefoon of laptop. Het gebaar kan bestaan uit verschillende acties. Denk aan het klikken op een login-bevestigingsbericht, het koppelen van een usb-sleutel of een veegpatroon of het checken van een vingerafdruk. Welk gebaar nodig is, hangt af van de betrokken Fido-oplossing.
Wanneer een gebruiker probeert in te loggen op een passkey-relying party, stuurt de relying party een bericht naar de gebruiker/het apparaat van de gebruiker. De gebruiker voert het vereiste gebaar uit en vervolgens ontgrendelt de wachtwoordsleuteltechnologie de privésleutel van de wachtwoordsleutel die betrekking heeft op de specifieke relying party, die vervolgens wordt gebruikt om een antwoord te formuleren voor de relying party. De relying party gebruikt de gerelateerde openbare sleutel om het antwoord te verifiëren en als dat lukt, authenticeert de relying party de login van de gebruiker.
Gesynchroniseerd
Een van de meest cruciale aspecten van deze nieuwe passkeytechnologie is dat de betrokken passkeys van de gebruiker worden gesynchroniseerd tussen de verschillende apparaten van een gebruiker. Dit is belangrijk voor de bruikbaarheid en gebruikersadoptie. Een van de belangrijkste problemen met de meeste wachtwoordloze alternatieven is dat de meer beveiligde inloggegevens niet gemakkelijk zijn te delen tussen de verschillende apparaten van een gebruiker, zoals dat bij een wachtwoord wel kan. Een van de weinige voordelen van wachtwoorden is dat een gebruiker ze overal kan gebruiken waar hij of zij toegang heeft tot de relying party die ze accepteert. Gebruikers kunnen wachtwoorden gebruiken om in te loggen op hun websites, zelfs als ze een nieuw apparaat gebruiken. Vanuit security-oogpunt zijn er enkele zorgen over het hergebruik van wachtwoorden op elk apparaat, maar gebruikers vinden de mogelijkheid om hun wachtwoord te gebruiken waar ze maar willen nou eenmaal prettig. De meeste wachtwoordloze opties werken alleen op de devices waar ze zijn geïnstalleerd en geregistreerd. Als je je hebt geregistreerd en ze op je laptop gebruikt en ze vervolgens op je mobiele telefoon wilt gebruiken, moet je een gloednieuwe instance van dezelfde wachtwoordloze optie starten. Gebruikers houden er niet van om acties opnieuw uit te voeren.
Passkeys lossen dit probleem op door toe te staan dat alle passkeys worden gesynchroniseerd op alle apparaten die de gebruiker gebruikt, hoewel de synchronisatie nu wordt afgehandeld door het besturingssysteem of de applicatie van respectievelijk Apple, Google of Microsoft en waarschijnlijk aan slechts één platform tegelijk is gekoppeld. Zo synchroniseert Apple bijvoorbeeld alleen passkeys die op Apple-producten worden gebruikt. Als de gebruiker ook een Google Chromebook gebruikt, heeft hij waarschijnlijk nog een set passkey-inloggegevens nodig. Met uitzondering van Apple kan, als de gebruiker dat wil, ook worden voorkomen dat passkeys worden gesynchroniseerd. Synchronisatie is gekoppeld aan de inloggegevens van het hoofdplatform van de gebruiker zoals iCloud, het Microsoft-account of het Gmail-account. De passkeys van een gebruiker worden automatisch gesynchroniseerd op elk apparaat dat op hetzelfde platform is aangesloten met dezelfde gemeenschappelijke platform-inloggegevens.
Meeverhuizen
Het zou geweldig zijn als we al platformonafhankelijke ondersteuning hadden. Maar hoe fijn zou het zijn dat, zodra we een nieuwe telefoon of laptop krijgen, al onze passkeys automatisch meeverhuizen wanneer we inloggen met dezelfde OS-inloggegevens. Dit is hetzelfde principe als browserinstellingen die behouden blijven wanneer u zich aanmeldt op een nieuwe computer.
Hoe goed Fido-wachtwoorden ook zijn, ‘gewone’ wachtwoorden zullen voorlopig nog niet uit ons leven verdwijnen. Dit duurt nog wel een jaar of tien, omdat veel websites voorlopig zullen blijven vertrouwen op het gebruik van de vertrouwde combinatie van gebruikersnaam en wachtwoord. Maar door jouw organisatie wel al op passkeys over te laten stappen, loop je voorop en kun je je organisatie nog beter beschermen.