Waarom een roaming passkey (zoals YubiKey) de beste oplossing kan zijn

12 aug

Waarom een roaming passkey (zoals YubiKey) de beste oplossing kan zijn

Klaar om phishing een halt toe te roepen? ZDNET analyseert in een recent artikel synchroniseerbare versus hardwarematige passkeys en legt uit waarom YubiKeys het beste van twee werelden is. Hieronder volgt een Nederlandse samenvatting van dat artikel.

Syncable versus non-syncable passkeys — wat is nou precies het verschil?

Passkeys zijn een veilig alternatief voor wachtwoorden: ze zijn op basis van asymmetrische cryptografie niet te raden, niet herbruikbaar en vrijwel onaantastbaar voor phishing. Een gebruikersbeslissing bij registratie is of de passkey syncable (synchroniseerbaar) of device-bound (apparaatgebonden) moet zijn.

Syncable passkeys – gebruiksgemak centraal

Synchronisatie en back-up: Deze passkeys kunnen via de cloud worden opgeslagen en hersteld, zodat je ze op meerdere apparaten kunt gebruiken.
Ideaal voor gebruikers met meerdere apparaten: Een soepele gebruikerservaring, handig in persoonlijke en minder gereguleerde zakelijke omgevingen.
Beperkte beveiliging: Omdat de private sleutels via de cloud worden gesynchroniseerd, is de beveiliging afhankelijk van de sterkte van de clouddienst (zoals Apple iCloud of Microsoft).

Device-bound (apparaatgebonden) passkeys – maximale veiligheid

Lokaal en niet overdraagbaar: Ze blijven exclusief op één apparaat en zijn niet via de cloud beschikbaar.
Sterker beveiligd: Vaak opgeslagen in hardware (zoals een secure enclave of Trusted Platform Module) of op beveiligingssleutels (zoals de YubiKey), met biometrie of PIN vereist.
Beperkte gebruiksvriendelijkheid: Je kunt het apparaat niet vervangen of synchroniseren — verlies betekent opnieuw instellen.

Roaming authenticators — het beste van twee werelden?

Roaming authenticators (zoals USB- of NFC-sleutels als de YubiKey) zijn flexibel inzetbaar op verschillende apparaten en combineren:

Hoge veiligheid door hardware-opslag van sleutels.
Bewegingsvrijheid tussen apparaten — ze zijn dus niet gebonden aan één specifiek apparaat.

Wat zegt de NIST-richtlijn eigenlijk hierover?

De NIST (US National Institute of Standards and Technology) geeft aan dat:

Syncable passkeys (met de juiste beveiligingsmaatregelen zoals versleuteling en MFA) in overeenstemming zijn met Authentication Assurance Level 2 (AAL2).
Device-bound passkeys, die hardware-gebonden of beveiligd werken, bereiken AAL3, het hoogste niveau.
Voor hoogbeveiligde omgevingen raadt NIST aan aanvullende maatregelen (zoals device management) te implementeren bij gebruik van syncable passkeys.

Samenvattende vergelijking

Type passkey	Voordelen	Nadelen	AAL-niveau
Syncable passkey	Handig, back-up en herstel	Minder veilig via cloud	AAL2 (indien goed beveiligd)
Device-bound passkey	Hoogste beveiliging	Geen herstel, apparaat kwijt = weg	AAL3
Roaming authenticator	Flexibel en veilig	Vereist fysieke hardware	AAL3-like

Conclusie

Syncable passkeys zijn perfect voor dagelijkse gebruikers die gemak willen.
Device-bound passkeys zijn geschikt voor situaties met hoge beveiligingseisen.
Roaming authenticators zoals YubiKeys bieden dus een uitstekende middenweg: flexibel gebruik met stevige beveiliging.

Laat het ons weten of je hulp wilt bij het kiezen of implementeren van passkeys in jouw situatie en of de YubiKey de juiste oplossing voor jullie is!