Veilig inloggen zonder wachtwoord? Dit is wat je moet weten over passkeys!

In een eerdere blog schreven we al dat we in de praktijk steeds vaker AiTM-aanvallen (Adversary-in-the-Middle) zien bij zorgorganisaties en goede doelen. Bij dit type aanval plaatsen hackers zich tussen de gebruiker en de website waarop je inlogt. Zo kunnen ze ongemerkt inloggegevens onderscheppen, zelfs als je gebruikmaakt van tweestapsverificatie.

In deze blog gaan we daarom dieper in op een inlogmethode waarmee je  nog weerbaarder bent tegen AiTM-aanvallen: passkeys. Wat zijn passkeys, hoe werken ze en waarom zijn ze zoveel veiliger dan traditionele inlogmethodes? Je leest het hieronder.

Wat is een passkey en hoe werkt het?

Een passkey is een manier om zonder wachtwoord in te loggen bij accounts en apps. In plaats daarvan gebruik je twee digitale sleutels:

  • Een openbare sleutel die staat opgeslagen op de website of app waar je inlogt.
  • Een privésleutel die veilig staat opgeslagen op jouw laptop of smartphone.

De toegang tot deze sleutels zijn beveiligd met biometrische gegevens (zoals gezichtsherkenning of vingerafdruk), een pincode of een fysieke beveiligingssleutel. Zo heb je geen wachtwoord meer nodig en is inloggen snel én veilig. Makkelijker kan bijna niet!

Waarom passkeys veiliger zijn dan wachtwoorden (zelfs met MFA)

Het grootste verschil tussen traditioneel inloggen en inloggen met een passkey is de mate van beveiliging. Bij het gebruik van een passkey, maakt jouw apparaat een unieke digitale sleutel die alleen werkt voor de website of app waarop jij inlogt. Die sleutel blijft altijd op jouw apparaat en komt nooit op een server terecht. Daarnaast bevestig je jouw inlogpoging met iets dat echt van jou is, zoals vingerprint of gezichtsherkenning. Omdat je deze gegevens alleen lokaal gebruikt, kan een cybercrimineel deze gegevens moeilijk kopiëren of stelen.

Het gebruik van een wachtwoord is daarentegen veel kwetsbaarder. Zelfs met het toevoegen van Multi Factor Authentication (MFA) loop je nog steeds het risico slachtoffer te worden van phishing. Met een passkey is die kans vele malen kleiner.

Heb ik met een passkey nooit meer een wachtwoord nodig?

Nee, een passkey betekent niet dat je helemaal geen wachtwoord meer nodig hebt. Binnen een Microsoft-omgeving heb je nog steeds een gebruikersnaam en wachtwoord nodig om je account aan te maken. Technisch gezien bestaat je wachtwoord dus nog, maar dankzij de passkey gebruik je het veel minder vaak. Een passkey is dus nog geen volledig “passwordless”-oplossing, maar wel een duidelijke eerste stap richting een toekomst zonder wachtwoorden.

Zo stel je een passkey in via de Microsoft Authenticator-app

Met de Microsoft Authenticator-app op je telefoon kun je een passkey instellen voor jouw Microsoft-account. Voordat je dat kunt doen, moet je er wel zeker van zijn dat jouw systeembeheerder deze mogelijkheid heeft geactiveerd in Microsoft Entra ID. Zie je de optie voor het instellen van een passkey nog niet in de Microsoft Authenticator-app staan? Dan is het gebruik van een passkey voor jouw organisatie nog niet ingesteld. Vraag in dat geval je systeembeheerder om het gebruik van een passkey te activeren.

  1. Ga naar de Microsoft Authenticator-app op je smartphone
  2. Klik op het Microsoft-account van jouw organisatie
  3. Klik op ‘wachtwoordsleutel’
  4. Volg de stappen: de app vraagt je om je te verifiëren met je gezicht, vingerafdruk of pincode.
  5. De app maakt nu een passkey aan die gekoppeld is aan jouw Microsoft-account.

Extra veilig inloggen met een FIDO2-sleutel

Wil je nog meer zekerheid? Dan kun je kiezen voor een FIDO2-sleutel. Dit is een kleine, fysieke beveiligingssleutel (te vergelijken met een USB-stick) waarmee je veilig inlogt. Je steekt de sleutel in je computer of houdt hem tegen je telefoon via NFC of Bluetooth. Alleen wie de sleutel daadwerkelijk bezit, kan toegang krijgen. Zo wordt inloggen nóg veiliger en vrijwel ondoordringbaar voor hackers.

Heb ik een passkey nodig als ik al MFA gebruik?

Het gebruik van tweestapsverificatie (MFA) is een stuk veiliger dan alleen een gebruikersnaam en wachtwoord. Maar niet alle vormen van MFA zijn even betrouwbaar. Oudere methoden, zoals sms- of e-mailcodes, kunnen hackers relatief eenvoudig onderscheppen.

Zelfs modernere varianten, zoals pushmeldingen of codes uit een Authenticator-app, zijn niet waterdicht. Bij zogeheten AiTM-aanvallen (Adversary-in-the-Middle) kunnen aanvallers deze codes alsnog buitmaken of jou verleiden om een inlogpoging goed te keuren. Jij denkt dan veilig te zijn, terwijl een hacker ondertussen toegang krijgt tot je account.

Zo rol je passkeys uit in jouw organisatie

Inloggen met een passkey is niet alleen veiliger, maar ook een stuk gebruiksvriendelijker. Je bespaart tijd en maakt het medewerkers makkelijker. We begrijpen natuurlijk dat jouw organisatie niet van de ene op de andere dag overstapt. Daarom raden we aan klein te beginnen, bijvoorbeeld met een groep IT-beheerders. Zij werken dagelijks met gevoelige systemen en vormen daardoor een ideale eerste testgroep. Door eerst in deze groep ervaring op te doen, kun je vragen snel beantwoorden en het proces verfijnen. Daarna breid je het gebruik van passkeys stap voor stap uit naar de rest van de organisatie.

Hulp nodig bij het instellen van passkeys? Bruis denkt graag met je mee

Wil je meer weten over passkeys of ondersteuning bij de implementatie? Bij Bruis helpen we jouw zorgorganisatie of goede doel hier graag bij. Neem gerust contact met ons op, dan plannen we snel een kop koffie.

Heb je een vraag?

Neem gerust contact met ons op. We beantwoorden je vragen graag!

hallo@bruis.it
088 008 4700

Ook interessant: