Tijdperk wachtwoord loopt ten einde, maak kennis met passkeys

13 dec

Tijdperk wachtwoord loopt ten einde, maak kennis met passkeys

Het tijdperk van het wachtwoord loopt ten einde – wat komt daarna?

Wachtwoorden waren ooit de standaard voor veilige authenticatie, maar vormen al te lang een gemakkelijk doelwit voor phishing aanvallen. Maak nu kennis met passkeys; wees klaar om de manier waarop we onszelf online beschermen te transformeren.

In de zestig jaar sinds het digitale wachtwoord werd gecreëerd, is de wereld getransformeerd. Inloggen met een wachtwoord werd voor het eerst vereist in 1961 voor MIT’s Compatible Time-Sharing System (CTSS), ontwikkeld door professor Fernando Corbato. De IBM 709 waarop de CTSS opereerde, woog 960 kg en nam bijna 3 kubieke meter in beslag. Hierbij vallen de moderne computers en persoonlijke apparaten in het niet! De technologie is vooruitgegaan en het aantal diensten en accounts waarbij gebruikers over de hele wereld moeten inloggen is toegenomen, maar wachtwoorden zijn er nog steeds.

Het is opmerkelijk dat het wachtwoord als ‘s werelds toonaangevende methode voor digitale authenticatie nog steeds de standaard is. Dat terwijl ze in grote lijnen worden veracht, zowel door gebruikers als door cybersecurity professionals. Eenvoudige wachtwoorden zijn gemakkelijk te onthouden, maar ook gemakkelijk te raden. Beleid dat vereist dat wachtwoorden steeds complexer worden en regelmatiger worden bijgewerkt, heeft steeds meer van de van gebruikers gevraagd. Dit blijkt vaak een dure bezigheid, aangezien het opnieuw instellen van één vergeten wachtwoord een bedrijf volgens Forrester Research naar schatting zo’n €75 kost. Gebruikers gebruiken ook vaak het zelfde wachtwoord voor meerdere accounts. Als gevolg hiervan kan slechts één gekraakt of gestolen wachtwoord het hele online leven van een gebruiker en zijn organisatie bedreigen.

Een veiliger internet creëren

Phishing aanvallen, waarbij cybercriminelen proberen account gegevens te stelen door middel van misleiding en social engineering, vormen volgens de Amerikaanse Cybersecurity and Infrastructure Security Agency het startpunt voor 90% van alle cyberaanvallen. Zodra een wachtwoord is gestolen, kunnen cybercriminelen ook met succes vele oudere vormen van multi-factor authenticatie (MFA) omzeilen. Betrouwbare bescherming vereist moderne, phishing bestendige MFA zoals de YubiKey, een hardwarebeveiligingssleutel die aanvallen op afstand stopt door een fysieke aanraking te vereisen. De YubiKey is gemaakt door Stina en Jacob Ehrensvärd, die in 2007 Yubico oprichtten. Ze zagen dat, hoewel sterkere hardware essentieel was, een modern internet een nieuwe, veiligere vorm van authenticatie vereiste. Sinds 2013 werkt Yubico aan dit doel als lid van de FIDO (‘Fast Identity Online’) Alliance. Dit is een brede samenwerking van technologieleiders die de afhankelijkheid van wachtwoorden in de wereld willen verminderen.

Phishing-aanvallen vormen het startpunt voor 90% van alle cyberaanvallen

Hoewel Universal 2-Factor (U2F)-authenticatie, een vroeg wapenfeit van de FIDO-alliantie, naast wachtwoorden zou kunnen bestaan, was de ambitie van de groep om open, interoperabele mondiale protocollen te creëren die wachtwoorden volledig zouden kunnen vervangen. Dit werd bereikt met FIDO2/WebAuthn, die in 2019 een officiële webstandaard werd. De meest prominente vorm van FIDO2/WebAuthn-referenties zijn passkeys, die echt veilige, echt wachtwoordloze authenticatie mogelijk maken die wereldwijd kan worden geïmplementeerd. In 2020 kondigden Apple, Google en Microsoft aan dat ze zouden werken aan de ondersteuning van passkeys op hun platforms. Tegenwoordig zijn passkeys al beschikbaar als authenticatie methode voor een groeiend aantal populaire onlinediensten.

Hoe passkeys internet security transformeren

Voor beveiligingsexperts luiden passkeys een grote sprong voorwaarts op het gebied van authenticatie in. In tegenstelling tot wachtwoorden, die afhankelijk zijn van gedeelde geheimen die bedoeld zijn om te onthouden, worden passkeys opgeslagen op de apparaten van gebruikers. Dit zijn telefoons, computers of hardwarebeveiligingssleutels zoals de YubiKey, die al sinds 2018 passkeys ondersteunen. Passkeys maken gebruik van asymmetrische cryptografie: elke passkey is een combinatie van een publieke sleutel en een private sleutel, beide zeer grote getallen die met elkaar verbonden zijn door complexe wiskundige formules. De openbare sleutel wordt opgeslagen door de site of applicatie, terwijl de privésleutel wordt opgeslagen op het apparaat van de gebruiker.

Bij het inloggen is succesvolle authenticatie afhankelijk van een validatie en ‘hand shake’ tussen de twee sleutels, waardoor veel van de problemen die gepaard gaan met het gebruik van wachtwoorden worden opgelost. Wachtwoorden zijn bestand tegen phishing en kunnen niet worden onderschept of gestolen door aanvallers op afstand. Elke passkey is gekoppeld aan een specifieke website of app, zodat er geen inloggegevens naar phishing websites worden gestuurd, zelfs niet als een gebruiker voor de gek wordt gehouden.

Passkeys zorgen voor echt veilige, echt wachtwoordloze authenticatie

De beste werkwijze voor een app of service die ondersteuning voor passkeys wil toevoegen, is om gebruikers de mogelijkheid te geven van zowel gesynchroniseerde als hardware gebonden passkeys. De passkeys die momenteel worden aangeboden door Apple, Google en Microsoft kunnen tussen apparaten worden gesynchroniseerd en in sommige gevallen worden gedeeld. Dit vergroot het gemak voor de consument. Maar het kan, hoewel nog steeds veel veiliger dan het gebruik van alleen wachtwoorden, mogelijkheden bieden voor cybercriminelen als apparaten worden gestolen of te vrijelijk worden gesynchroniseerd. Het gebruik van hardwarematige passkeys die zijn opgeslagen op beveiligingssleutels, zoals YubiKeys, biedt een oplossing met meer zekerheid voor consumenten en bedrijven die zich richten op security of gebonden zijn aan strikte compliance regels. YubiKeys vereisen geen batterij of internetverbinding, zodat het betrouwbare authenticatie biedt. Zelfs in omgevingen waar het gebruik van mobiele apparaten beperkt is of niet aan alle werknemers worden verstrekt.

Passkeys staan klaar om de manier waarop de wereld authenticeert te transformeren. Het tijdperk van wachtwoorden heeft dus lang genoeg geduurd. Het is dringend noodzakelijk dat er meer platforms en diensten komen die de inzet van passkeys mogelijk te maken en zo een veiliger internet voor iedereen te creëren.