Passkeys (webauthn)

Wat zijn Passkeys?

Een Passkey (toegangssleutel) is een vorm van inloggen (Web Authentication, afgekort: WebAuthn) zonder wachtwoord of 2FA.

De WebAuthn-techniek is gebaseerd op het Fido-protocol↗.
Dit is een wereldwijde standaard om veilig in te kunnen loggen.

Het enige wat je nodig hebt, is:

• een e-mailadres;

• een fysieke of digitale sleutelhanger (smartphone, laptop, tablet, PC, Security key) of wachtwoordbeheerder (bijvoorbeeld Bitwarden.com↗ of Proton Pass↗).

  • waarop je een vergrendeling hebt ingesteld (bijvoorbeeld een pincode, vingerafdruk of gezichtsherkenning).

Hoe het werkt

Uitgelegd door Google's Gemini (en aangepast door mij).

WebAuthn is een geavanceerde technologie die de manier waarop we ons online aanmelden, verandert. Het biedt een veiliger en gebruiksvriendelijker alternatief voor traditionele wachtwoorden. Hier is een eenvoudig overzicht van hoe het werkt:

1. Registratie

1. Wanneer je je voor het eerst aanmeldt bij een website of app die WebAuthn ondersteunt, vraagt de website je om een account aan te maken.

2. Tijdens dit proces registreert je sleutelhanger (bijvoorbeeld je laptop, telefoon, beveiligingssleutel of wachtwoordbeheerprogramma) zichzelf bij de website.

3. Je sleutelhanger maakt een uniek sleutelpaar voor die website: een privésleutel en een bijbehorende openbare sleutel.

4. De website krijgt de openbare sleutel, de privésleutel blijft veilig aan de sleutelhanger. Niemand, ook jij niet, krijgt die te zien.

2. Aanmelden

Wanneer je je later weer wilt aanmelden, vraagt de website je om te bevestigen dat jij het bent.
Dat gaat ongeveer zo:

1. De website bedenkt een getal en versleutelt dat met jouw openbare sleutel. Daarna stuurt de website dat versleutelde getal in een versleuteld bericht (met de privésleutel van de website) naar jouw sleutelhanger.

2. De sleutelhanger vraagt jouw pincode, vingerafdruk, gezichtsscan of fysieke sleutel om zeker te weten dat jij het bent.

3. Daarna ontcijfert de sleutelhanger het bericht met de openbare sleutel van de website.

4. Dan ontcijfert de sleutelhanger het versleutelde getal met jouw privésleutel.

5. De sleutelhanger stuurt het ontcijferde getal terug naar de website. Zo weet de website dat jij het bent.

6. Als het getal klopt, weet de website dat jij het bent en krijg je toegang.

Waarom is WebAuthn veiliger?

• Phishing-bestendig: omdat de privésleutel nooit je sleutelhanger verlaat, kunnen hackers hem niet stelen, zelfs niet als ze je wachtwoord hebben.

• Geen wachtwoorden meer: je hoeft geen complexe wachtwoorden meer te onthouden.

• Sterke authenticatie: WebAuthn gebruikt cryptografie met openbare sleutels, een heel veilige manier om je identiteit te bewijzen.

• Zelfs als jouw openbare sleutel voor die website wordt gehackt, kan niemand er iets mee, want ze hebben de bijbehorende privésleutel van de gehackte website niet. Jouw sleutelhanger merkt het meteen als ze willen doen alsof ze die website zijn, want hij kan hun berichten dan niet ontcijferen.

Is WebAuthn iets voor jou?

Als je op zoek bent naar een veiligere en gemakkelijkere manier om je online aan te melden, is WebAuthn zeker het overwegen waard. Steeds meer websites en apps ondersteunen deze technologie, dus de kans is groot dat je het al kunt gebruiken.

Meer over WebAuthn

Een (vrij technische) uitleg vindt je in het Engels op de site webauthn.guide↗

Op ieder apparaat een andere passkey voor dezelfde website?

Als je met passkeys gaat werken, moet je op ieder apparaat waar je wilt inloggen op die site wilt inloggen, met de sleutelhanger op dat apparaat een passkey maken.

Dat is best lastig. Stel bijvoorbeeld dat je een Chromebook hebt en een keer een Powerwash doet: dan worden alle opgeslagen passkeys gewist.

Of je gebuikt ook een Android-app en een Linux-browser op die Chromebook: dan heb je drie passkeys nodig (voor iedere omgeving één).

Of je gebruikt een Windows laptop, een Android smartphone en een iPad. Voor ieder apparaat een passkey aanmaken? Gelukkig hoeft dat niet meer:

Gelukkig niet (meer)

Sinds Chrome 130/131 synchroniseert de Google wachtwoordenbeheerder↗ de passkeys die je daarin hebt opgeslagen, via jouw account naar alle apparaten waarop je Google chrome gebruikt.

Hetzelfde doen (al langer) bijvoorbeeld Bitwarden↗ en Proton↗. Die kun je overal gebruiken, los van het apparaat en de broiwser die je ge bruikt.

Google, Bitwarden en Proton gebruiken de ontgrendelmethode van het apparaat waarop je inlogt dan als controlemiddel.

Chrome synchroniseert ook passkeys

Sinds Chrome 130 synchroniseert Chrome de passkeys die in de Google wachtwoordmanager zijn opgeslagen.  

Eenvoudiger: Bitwarden of Proton Pass gebruiken als sleutelhanger

Mijn favoriete wachtwoordbeheerder Proton Pass kan als sleutelhanger dienstdoen. Ook de gratis versie.

Dit maakt het werken met passkeys makkelijker, want je hoeft nu niet meer op elk apparaat waarmee je bij een website wil inloggen, een aparte passkey te maken.

Dit is de uitleg van Bitwarden↗ en dit die van Proton (beide in het Engels).

Bitwarden heeft dezelfde mogelijkheden.

Zelf proberen?

Op de website https://webauthn.io↗ kun je zelf proberen hoe het werkt.

1. Je moet je eerst registreren. Gebruik hiervoor:

   1. jouw eigen e-mailadres.

   2. de computer waarop je bezig bent of jouw mobiel.

2. Als je geregistreerd bent, kun je authenticeren (inloggen).