zou je dit dan standaard op alle sites kunnen gebruiken of zal die site dit effectief moeten voorzien, om gebruik te maken van PassKeys? 🤔

Wat zijn toegangssleutels?

Wachtwoordsleutels zijn een nieuwe manier om in te loggen bij apps en websites. Ze zijn zowel gemakkelijker te gebruiken als veiliger dan wachtwoorden, dus gebruikers hoeven niet langer te vertrouwen op de namen van huisdieren, verjaardagen of het beruchte 'wachtwoord123'. In plaats daarvan kunnen gebruikers met wachtwoordsleutels inloggen bij apps en sites op dezelfde manier waarop ze hun apparaten ontgrendelen: met een vingerafdruk, een gezichtsscan of een pincode voor schermvergrendeling. En, in tegenstelling tot wachtwoorden, zijn wachtwoordsleutels bestand tegen online aanvallen zoals phishing, waardoor ze veiliger zijn dan zaken als eenmalige sms-codes.

Het begin van het einde van het wachtwoord

Wat als je met een tweede computer wil inloggen die geen touch ID heeft ?

Kan ik dat nu weggooien of is dat ww nog ergens voor nodig?

Ben nu aan het experimenteren met verschillende hardware keys (waaronder yubikey), authenticators en platformen.

De juiste beveiligingssleutels kiezen

Beveiligingssleutels voor Apple ID werken met elke FIDO-gecertificeerde beveiligingssleutel.

Enkele goede voorbeelden zijn:
- YubiKey 5C NFC (geschikt voor de meeste Mac- en iPhone-modellen)
- YubiKey 5Ci (geschikt voor de meeste Mac- en iPhone-modellen)
- FEITIAN ePass K9 NFC USB-A (geschikt voor oudere Mac-modellen en de meeste iPhone-modellen)

Als je een andere beveiligingssleutel kiest, moet je er een kiezen die FIDO-gecertificeerd is en een connector heeft die geschikt is voor de Apple apparaten die je regelmatig gebruikt.

… maar het kost mij toch nog wel enige moeite om "the big picture" te doorgronden.

Ondanks de steun van veel grote techbedrijven zijn er relatief weinig websites en diensten die gebruikmaken van passkeys. Veel wachtwoordmanagers, zoals die van Android en iOS, maar ook 1Password, Bitwarden, Dashlane en LastPass, ondersteunen passkeys.

De eerste praktijkervaringen

Op dit moment is er een aantal manieren om passkeys te gebruiken. IPhone-gebruikers met apparaten die iOS 16 of hoger draaien en Safari gebruiken, kunnen meteen aan de slag. Zodra je inlogt op een website die ondersteuning heeft voor passkeys, krijg je een pop-up met de vraag of je een passkey aan wilt maken. De enige extra vereiste is dat je iCloud Keychain gebruikt. Doe je dit niet, dan krijg je bij het aanmaken van je eerste passkey een melding dat dit geactiveerd moet worden. Heb je eenmaal de passkey aangemaakt en probeer je op een later moment in te loggen bij die site of app, dan hoef je enkel via Face ID of Touch ID je identiteit te verifiëren.

Nadelen en de toekomst

Passkeys staan dus nog echt in de kinderschoenen en zijn op het moment van schrijven nog niet interessant om te gebruiken. Nog los van het gebrek aan websites die het ondersteunen, zijn ook de implementaties van Google, Microsoft en Apple nog niet af.

Los van die praktische problemen zijn er ook nog vraagtekens bij het hele concept. De grootste kracht van passkeys is ook meteen het grootste risico; je bedenkt zelf geen wachtwoorden meer en onthoud deze ook niet. Je credentials zijn ergens opgeslagen in een vorm die voor een mens niet te onthouden is, in plaats van dat je ze op elk moment en op elke plek kunt opdreunen, mits je een goed geheugen hebt.

Dat heeft nogal wat praktische implicaties. Stel: je gebruikt passkeys op een iPhone, slaat ze op in iCloud Keychain - voor een Android-apparaat en Google Passwordmanager geldt overigens hetzelfde - en wilt inloggen op een nieuw apparaat. Misschien ben je bij een vriend of familielid, maar je hebt je telefoon niet bij je. Dan ben je de pineut; je kunt niets. Of erger: stel dat je je passkeys op je telefoon hebt, maar je kiest ervoor om ze niet bij Apple, Google of je wachtwoordmanager in de cloud op te slaan en je telefoon gaat stuk of raakt kwijt. Wat dan? Dan heb je een groot probleem en moet je bij allerlei diensten aan de slag om je identiteit te verifiëren zodat je nieuwe passkeys aan kunt maken, of wachtwoorden, als ze dat nog aanbieden.

Je ontkomt er bij passkeys dus eigenlijk niet aan om alle credentials ergens te back-uppen en de makkelijkste manier is in een cloudomgeving bij een externe partij, die ook nog eens synchroniseert tussen apparaten. Nu is dat niet heel anders dan hoe veel mensen een wachtwoordmanager als LastPass of 1Password met cloudsync gebruiken, maar parkeer je alles bij Apple of Google, dan is dat weer een stap die bijdraagt aan verdere vendorlock-in en het moeilijker maakt om uit het ecosysteem vrij te komen.

Hoe dan ook, het zal nog wel even duren voordat we allemaal gemakkelijk over kunnen op passkeys. Partijen als Google, Microsoft en Apple vormen duidelijk de voorhoede, maar zelfs zij hebben hun zaakjes nog niet compleet op orde, en het overgrote deel van bedrijven en diensten biedt hier nog geen ondersteuning voor. Daar zullen nog zeker vele jaren overheen gaan, maar gezien het grote momentum is de kans reeël dat passkeys op termijn voor een groot deel van internetgebruikers de nieuwe standaard worden.