Wachtwoorden zijn al jaren de meest gebruikte vorm van authenticatie, maar we weten allemaal dat het verre van waterdicht is. Wachtwoordmanagers worden vaak ingezet om sterkere wachtwoorden te genereren en beheren, maar dat is enkel een pleister op de wond. Passkeys lijken het eerste wachtwoordloze én gebruiksvriendelijke concept te zijn dat daadwerkelijk voeten aan de grond krijgt.
Door Guido Gerrits
Consumenten kunnen passkeys al gebruiken om in te loggen bij onder andere Apple, Google, WhatsApp en TikTok. De technologie staat nog in de kinderschoenen, maar het is een kwestie van tijd totdat passkeys voor meer sites en apps te gebruiken is. De vraag is nu: gaat passkeys ook van meerwaarde zijn binnen het bedrijfsleven? Of is daar meer voor nodig?
Balans tussen veiligheid en gebruiksvriendelijkheid
Voor veel CIO’s is het een hoofdpijndossier: het gebruik van ‘veilige’ wachtwoorden. Aangezien medewerkers zoveel plekken hebben waar ze regelmatig moeten inloggen, is de kans groot dat wachtwoorden worden hergebruikt of dat minder veilige combinaties worden gekozen. Een andere onveilige gewoonte is dat wachtwoorden ergens onveilig staan opgeslagen of op een papiertje worden geschreven, omdat onthouden te lastig is. Dat maakt organisaties extra kwetsbaar voor cyberaanvallen of phishing. CIO’s staan dus al tijden te springen om een alternatief met de juiste balans tussen veiligheid en gebruiksvriendelijkheid.
De kracht van passkeys in het bedrijfsleven
Met de komst van passkeys lijkt dit alternatief er eindelijk te zijn. De identiteit van de gebruiker wordt geverifieerd met biometrische gegevens of een code, zodat gebruikers snel en veilig kunnen inloggen. Hierbij wordt gebruik gemaakt van openbare sleutel-cryptografie. Een passkey bestaat uit twee sleutels. Eentje daarvan staat versleuteld op het apparaat van de gebruiker, waardoor deze ook veilig is in het geval van een datalek. Voor organisaties biedt dit voordelen als kortere inlogtijden, hogere gebruiksvriendelijkheid, sterke beveiliging en lage operationele kosten. Toch zitten er ook een aantal haken en ogen aan. Binnen sterk gereguleerde sectoren zoals finance, zorg en overheid, is een extra hoog niveau van beveiliging vereist. De uitdaging is hier vooral hoe passkeys kunnen worden ingezet, met inachtneming van wet- en regelgeving of hogere beveiligingsnormen.
Ongewenste synchronisatie voorkomen
De meeste zorgen zijn er om het opslaan van de privésleutel van gebruikers op een persoonlijk apparaat. Daarmee synchroniseert de cloudomgeving van de organisatie niet alleen op dat betreffende apparaat, maar ook op alle andere apparaten van die gebruiker. Er zijn twee manieren om deze synchronisatie te voorkomen:
- Als het apparaat in beheer is van de organisatie, kan de organisatie het beleid hanteren dat synchronisatie is uitgeschakeld.
- Als de organisatie het apparaat niet beheert, zijn er twee andere opties om passkeys toch veilig te gebruiken:
- a. het gebruik van USB tokens voor het opslaan van de privésleutel;
- b. het mobiele apparaat van de gebruiker inzetten als authenticator door passkeys te beheren in een specifieke app in plaats van op het apparaat zelf.
Geen wachtwoorden meer
Naar verwachting gaat de adoptie van passkeys razendsnel, aangezien techgiganten als Google en Apple deze nieuwe techniek als standaard authenticatiemethode gaan inzetten. Dit maakt het zeker de moeite waard om uit te zoeken wat de voordelen ervan zijn voor de gebruiksvriendelijkheid en veiligheid binnen jouw organisatie.
Guido Gerrits, Global Head of Channels Identity & Access Management bij Thales
Volg Security Management op LinkedIn