Vaarwel wachtwoord? Apple werkt aan dit 'veiligere' alternatief
Apple werkt aan een manier om in te loggen met alleen een wachtwoord en een scan van gezicht of vingerafdruk. De nieuwe methode Passkey moet volgens Apple uiteindelijk veiliger worden dan een wachtwoord en tweestapsverificatie.
Het wachtwoord blijft nu nog een zwakke plek van online inloggen. Wachtwoorden kunnen gehackt worden, worden gestolen via phishing of ze worden vergeten. Met speciale wachtwoord-apps en tweestapsverificatie is de situatie iets veiliger geworden, maar niet gebruiksvriendelijker. Apple denkt nu de oplossing te hebben die zowel veiliger als simpeler is, met de nieuwe functie Passkey.
Passkey is een alternatief voor het wachtwoord. Voor de gebruiker werkt dat simpel, en verdwijnt het venster 'wachtwoord' bij het inloggen. Het invullen van de gebruikersnaam op een app of site en een scan van gezicht of vingerafdruk is straks voldoende. In plaats van een wachtwoord dat de gebruiker bedenkt en onthoudt, genereert Apple een zogenoemde Passkey die in de iCloud-sleutelhanger wordt opgeslagen.
Zwakke plek weggenomen
De Passkey is in zekere zin een soort alternatief op de combinatie van een sterk, uniek wachtwoord en tweestapsverificatie. Alleen de zwakke plek, het wachtwoord, is weggenomen. In plaats daarvan bestaat Passkey uit twee sleutels: een publieke en een private sleutel.
De publieke sleutel wordt gedeeld met de website, de private sleutel blijft bij de gebruiker. Als die wil inloggen, en zijn gezicht of vinger scant, stuurt de website een soort controlevraag naar het apparaat van de gebruiker. Die vraag kan alleen worden opgelost met de juiste private sleutel. Die 'oplossing' wordt naar de site gestuurd en als die klopt is de gebruiker veilig ingelogd.
Meerdere voordelen
Passkey werkt met WebAuthn, de nieuwste wereldwijde standaard voor veilig online inloggen. De voordelen van Passkey ten opzichte van een traditioneel wachtwoord zijn groot. Ten eerste kan het niet worden vergeten of verloren: de sleutels worden op het apparaat en in het iCloud-account van de gebruiker opgeslagen.
Ten tweede kan een Passkey niet via phishing worden gestolen: de gebruiker kan de Passkey niet zomaar handmatig ergens invullen, zoals dat bij een wachtwoord wel kan. Bovendien kunnen Passkeys zo worden ingesteld, dat ze alleen worden ingevuld bij de sites en apps waar ze voor bedoeld zijn. Dat zet overtuigend echte phishingsites buitenspel.
Ten derde hoeven sites bij gebruik van Passkey geen wachtwoord van de gebruiker te bewaren. De site kent alleen de publieke sleutel, die op zichzelf nergens toegang toe beidt. Dat maakt sites een minder aantrekkelijk doelwit voor hackers: er valt dan toch niks te halen. Nu zijn wachtwoordhacks nog een groot veiligheidsprobleem, zeker bij wachtwoorden die op meerdere plekken worden gebruikt.
Testen
Passkey kan de komende tijd door ontwikkelaars worden getest in iOS 15 en het nieuwe macOS Monterey. De consumentenversies van die systemen verschijnen dit najaar.
Apple werkt daarnaast samen met FIDO, de branchevereniging voor authenticatiestandaarden en met het World Wide Web Consortium. Zo moeten Passkeys in de toekomst ook gaan werken met apparaten die niet van Apple zijn.
Google werkt ook een plan om wachtwoorden overbodig te maken. De eerste stap daarvoor werd in mei gezet, toen het bedrijf aankondigde om tweestapsverificatie op de meeste accounts voortaan automatisch in te gaan schakelen.