Wat is een passkey? Veilig en wachtwoordloos inloggen uitgelegd - Tools4ever
Gratis demo Contact
Passkey

Passkey

Wat is een passkey?

Een passkey is een relatief nieuwe en veilige manier om in te loggen op websites en apps. Een wachtwoord is daarvoor niet langer nodig; in plaats daarvan gebruik je een digitale sleutel die is opgeslagen op bijvoorbeeld je telefoon, laptop of tablet. Toegang tot die digitale sleutel is beveiligd met bijvoorbeeld je vingerafdruk, gezichtsherkenning of een pincode.

Werking passkey: wachtwoordloos inloggen

Bij traditionele toegangsbeveiliging moet je per applicatie een uniek wachtwoord gebruiken dat bovendien voldoende sterk is. Dat vraagt behoorlijk wat discipline van de gebruiker en zelfs dan zijn er nog tal van technische en social engineering trucs om wachtwoorden alsnog te achterhalen. Variërend van datalekken waarbij wachtwoorden worden buitgemaakt tot phishing-acties en keyloggers.

Deze kwetsbaarheden voorkom je met passkeys. Passkeys werken met een veilig verificatieprotocol op basis van zogeheten asymmetrische encryptie. De authenticatie gebruikt een unieke private key op het apparaat van de gebruiker (zoals een laptop of smartphone) die samenwerkt met een publieke key binnen de applicatie. Bij het inloggen vraagt de applicatie het apparaat een digitale handtekening te versturen met de private sleutel. Die handtekening wordt geverifieerd met de publieke sleutel bij de applicatie. Er worden geen wachtwoorden of andere gevoelige gegevens uitgewisseld.

Per applicatie maak je een aparte passkey aan en er kunnen dus op een apparaat meerdere passkeys zijn opgeslagen. Passkeys worden overigens automatisch aangemaakt; je hebt niet een eigen passkey generator of iets dergelijks nodig.

Veilig én gebruiksvriendelijk inloggen

Passkeys zijn dus veiliger, en inloggen zonder wachtwoord is natuurlijk ook een stuk gebruiksvriendelijker. Wel moet je als gebruiker nog je identiteit bewijzen. Anders zou iedereen die onbedoeld even toegang krijgt tot jouw laptop of smartphone, ook direct kunnen inloggen op je applicaties. Gelukkig beschikken moderne gebruikersapparaten over biometrische authenticatie zoals vingerafdrukscanners of gezichtsherkenning. Daarmee is die verificatie erg eenvoudig. Zodra je vingerafdruk of gezichtsscan is bevestigd, kun je automatisch inloggen met je passkey.

Het bovenstaande is het ideale scenario. Mocht een laptop of smartphone geen biometrische verificatie ondersteunen? Dan kun je een pjncode of wachtwoord gebruiken. Dan is de verificatie nog steeds relatief eenvoudig want het gaat om één code voor je apparaat, ongeacht hoeveel passkeys je gebruikt. Bovendien mag dat een relatief eenvoudige code zijn. De pincode of wachtwoord blijft intern in het apparaat en het systeem voorkomt onbeperkte herhalingen. De kans dat je pin of wachtwoord via phishing of met een brute force aanval wordt gestolen, is minimaal.

Passkey voorbeeld

Hoe werkt dit in de praktijk? We tonen hieronder hoe je een passkey kunt gebruiken om toegang te krijgen tot – bijvoorbeeld - een GitHub account. Je gebruikt deze passkey op een Windows laptop met Hello biometrische authenticatie. Om een passkey te gebruiken moet deze eerst eenmalig worden aangemaakt. Daarna kun je deze onbeperkt gebruiken om in te loggen.

Aanmaken passkey (eenmalig)

  1. Je gaat online naar github.com en logt in op de reguliere manier met je gebruikersnaam en wachtwoord.

  2. Vervolgens ga je naar de ‘Settings’ en daarbinnen ‘Password and authentication’.

  3. Scroll naar ‘Passkeys’ en selecteer ‘Add a passkey’

  4. Er verschijnt een prompt en daarbij kies je voor ‘Gebruik Windows Hello’.

  5. Je kunt je nu authentiseren via Hello (bijvoorbeeld met je gezicht of vingerafdruk).

  6. Vervolgens wordt automatisch de passkey aangemaakt en opgeslagen op je laptop.

Er is nu een nieuwe passkey opgeslagen op jouw laptop, die is gekoppeld aan jouw Hello-profiel. Deze passkey kan voortaan worden gebruikt om in te loggen op je GitHub account.

Je vindt overigens alle geïnstalleerde passkeys (deze nieuwe en eerder aangemaakte) onder Windows instellingen à accounts à wachtwoordsleutels. Wachtwoordsleutel is de Nederlandse term voor passkeys.

Passkey gebruiken om in te loggen (onbeperkt)

Vervolgens kun je die passkey gebruiken om in te loggen op je GitHub account:

  1. Ga naar github.com en klik op ‘Sign in’.

  2. Selecteer ‘Sign in with a passkey’.

  3. Windows toont nu een prompt ‘Gebruik je passkey met Windows Hello?’

  4. Bevestig met je gezicht, vingerafdruk of pincode. Bij een succesvolle verificatie ben je onmiddellijk ingelogd.

Voortaan heb je gebruikersnaam en wachtwoord dus niet meer nodig. Feitelijk log je nu in met Multi-Factor Authenticatie (MFA). Je begint met iets wat je bent (middels vingerafdruk/gezichtsscan) of weet (de pincode). Daarmee activeer je de passkey op je device (iets dat je bezit) en hiermee krijg je toegang tot je account.

Bovenstaand voorbeeld is met GitHub. Dat is een van de groeiende set applicaties die passkeys ondersteunen. Microsoft ondersteunt uiteraard ook passkeys en je kunt bijvoorbeeld ook Microsoft 365 koppelen aan je laptop via een passkey.

FIDO, de passkey standaard

Gaandeweg ondersteunen dus steeds meer applicaties passkeys maar het gebruik ervan is nog niet universeel. Een organisatie die het gebruik probeert te stimuleren is de FIDO alliantie waarin grote technologiespelers als Microsoft, Google en Apple samenwerken. FIDO staat voor Fast IDentity Online en biedt een set standaarden die wachtwoordloze inlogmethodes technisch mogelijk maken.

De oorspronkelijke FIDO standaard bestaat al langer (sinds 2013) maar recentelijk is er een update gepubliceerd (FIDO2). Daarmee kun je onder andere passkeys gebruiken op laptops en smartphones, en daarbij gebruikers verifiëren met biometrische methodes. FIDO2 omvat meerdere technische protocollen:

  • WebAuthn. Dit is de World Wide Web Consortium (W3C) standaard voor remote passwordless login. Hiermee beschikken we over een gestandaardiseerd inlogprotocol tussen gebruikersapparaten en remote applicaties.

  • CTAP. Deze afkorting staat voor Client to Authenticator Protocol. Passkeys op gebruikersapparaten zijn namelijk niet de enige optie voor wachtwoordloos inloggen. Gebruikers kunnen ook gebruik maken van hardware keys zoals Yubikey. Zo’n key kun je bijvoorbeeld via de usb poort inpluggen op een laptop en dan als authenticator gebruiken om in te loggen. CTAP standaardiseert de gegevensuitwisseling tussen hardware authenticators en gebruikersapparaten.

Natuurlijk gebruiken partijen als Microsoft, Google en Apple de FIDO standaarden zelf actief. We gaven hiervoor al een passkey voorbeeld op een Windows laptop. Ook op Apple devices kun je passkeys gebruiken waarbij de gebruiker zich verifieert met Face ID / Touch ID. En Android apparaten ondersteunen passkeys gekoppeld aan Google accounts. Via passkeys kun je uiteraard tal van Apple, Google en Microsoft applicaties ontsluiten maar ook steeds meer andere applicaties ondersteunen gaandeweg passkeys. We noemden al het voorbeeld van GitHub en ook Adobe ondersteunt passkeys.

Geavanceerde passkey scenario’s

Het eerdere passkey voorbeeld was een basisscenario; je logt in met een passkey die op hetzelfde apparaat is geïnstalleerd. Dat zal ook het meest gebruikte scenario zijn, maar besef dat er veel meer passkey scenario’s mogelijk zijn. We geven twee voorbeelden:

  • Je kunt via de cloud passkeys synchroniseren tussen devices. Dan kun je vanaf meerdere devices inloggen op dezelfde applicatie met dezelfde passkey. Qua beheer is dat veel eenvoudiger dan dat je op ieder apparaat een aparte passkey moet aanmaken.

  • Ook kun je passkeys op je smartphone gebruiken als een authenticator. Wil je bijvoorbeeld inloggen vanaf een apparaat waarop jouw passkey niet staat? Je leent bijvoorbeeld even iemands laptop? Dan toont het inlogvenster een QR-code. Die kun je scannen met je smartphone en kun je direct inloggen met de passkey op je smartphone.

Voordelen van passkeys

Ten opzichte van de traditionele manier van inloggen met wachtwoorden, biedt passkeys vooral voordelen. We noemden er gaandeweg al een aantal maar hieronder geven we nog even de highlights:

  • Betere beveiliging. De gebruikersverificatie wordt uitgevoerd met behulp van een cryptografische handshake tussen de applicatie en het gebruikersapparaat. Er worden geen wachtwoordgegevens uitgewisseld en er kunnen geen phishing trucs worden ingezet om toegangsgegevens te kopiëren. Je gebruikt een unieke passkey per applicatie.

  • Gebruiksvriendelijk. Inloggen met een passkey gaat zonder lange wachtwoorden en je moet hooguit een pincode intypen. Meestal kun je je vingerafdruk of gezichtsherkenning gebruiken.

  • Minder wachtwoorden. Het aantal applicaties dat passkeys ondersteunt neemt snel toe. Dat betekent dat je steeds minder wachtwoorden hoeft te beheren en onthouden.

  • Platformonafhankelijk. Er zijn veilige methodes beschikbaar om je private keys via de cloud op meerdere apparaten te synchroniseren.  

  • Met passkeys beschik je automatisch over Multi-Factor Authenticatie. Je logt in met iets dat je bent of weet (via je PIN of biometrische herkenning) én de passkey is geïnstalleerd op iets dat jij bezit (jouw device).  

Passkey gebruik binnen je IAM omgeving

Voor persoonlijk gebruik zijn passkeys dus de ideale vervangers van wachtwoorden. Ook in bedrijfsnetwerken zijn er meerdere mogelijkheden om je toegangsbeheer veiliger én gebruiksvriendelijker te maken. Wel zijn daar extra aandachtspunten. Zo moet je in een bedrijfsomgevingen het beheer van passkeys centraal organiseren. Normaal provision je accounts en rechten naar bijvoorbeeld je Identity Provider (IdP zoals AD of Entra ID) en doelsystemen. Nu moet er nagedacht worden over de integratie met je device management systeem omdat passkeys in gebruikersapparaten worden opgeslagen. Dit maakt je toegangsbeheer veiliger en voor de gebruikers eenvoudiger, maar het identiteitsbeheer kan het complexer maken.

Ook is het goed om na te denken over de samenhang tussen passkeys en concepten als Single Sign-On (SSO). Als je SSO gebruikt is het voor de aangesloten applicaties minder logisch om passkeys te gebruiken. Je logt immers in op de IdP en van daaruit verzorgt het SSO mechanisme wie er toegang krijgt op welke applicaties. Dan ligt het gebruik van passkeys minder voor de hand. Tegelijkertijd is passkey wel een veel veiligere loginmethode voor de centrale toegang tot je SSO-mechanisme. Je hoeft immers niet meer in te loggen met een sterk master password dat echt gegarandeerd veilig moet zijn. In plaats daarvan log je eenmalig in met een passkey en via SSO heb je daarna automatisch toegang tot al je applicaties.

Meer weten over passkeys?

Je ziet al dat vanuit een IAM perspectief passkeys vooral een rol spelen bij het organiseren van je access management. Binnen dat domein kun je passkeys gebruiken om applicaties te beveiligen of bijvoorbeeld als centrale toegang tot je Single Sign-On mechanisme. Ook in je Identity Providers zoals Entra ID worden passkeys al ondersteund in combinatie met de authenticator op je smartphone. Je zult daar de komende tijd meer gaan horen over de mogelijkheden.

Passkey is een concept waarbij je als gebruiker kunt inloggen zonder een wachtwoord te hoeven invoeren. Passkeys maken gebruik van een cryptografische sleutel die gekoppeld is aan iemands apparaat en identiteit. Daarbij kun je de gebruiker verifiëren via gezichtsherkenning, vingerafdruk of een pincode.

De term wachtwoordloos inloggen verwijst naar inlogmethodes waarbij de gebruiker geen wachtwoord hoeft in te voeren. Een voorbeeld hiervan is het gebruik van passkeys.

Asymmetrische encryptie is een versleutelmethode waarbij je twee verschillende sleutels gebruikt. Eén is de private key die je veilig bewaart. De public key kan worden gedeeld met derden. Veilige communicatie vereist beide sleutels. Als sleutel 1 gegevens versleuteld, kan alleen sleutel 2 die ontcijferen. En vice versa.