Volg ZDNET: Voeg ons toe als voorkeursbron op Google.
De belangrijkste conclusies van ZDNET
- Met toegangssleutels kunt u inloggen zonder wachtwoorden te typen of te onthouden.
- In tegenstelling tot wachtwoorden zijn ze bestand tegen phishing.
- Synchroniseerbare toegangscodes maken veilig inloggen eenvoudig op verschillende apparaten.
Het afgelopen jaar zijn wachtwoordsleutels mainstream geworden. De adoptiesnelheid van deze technologie is opmerkelijk en er zijn geen tekenen van vertraging. Als uw ervaring op de mijne lijkt, wordt u waarschijnlijk uitgenodigd om minstens één of twee keer per week een nieuwe toegangssleutel op te slaan.
Alles bij elkaar heb ik nu minstens 40 opgeslagen toegangscodes. Ik kan die toegangscodes gebruiken om de wachtwoordprompt volledig over te slaan en in te loggen met biometrische gegevens (gezicht of vingerafdruk) op tientallen websites, waaronder reguliere winkelbestemmingen zoals Costco, Target, Amazon en Walmart, maar ook meer technische sites zoals Dell, Adobe en Dropbox. Het bedrijf dat mijn domeinnaamregistraties beheert, gebruikt wachtwoordsleutels, net als het energiebedrijf, mijn kredietvereniging en het kantoor van mijn arts.
En ook: ik verruil wachtwoorden voor sleutels om één reden – en dat is niet wat jij denkt
Maar ik hoor nog steeds van lezers die niet helemaal begrijpen wat een wachtwoordsleutel is, hoe het werkt, of waarom het beter is dan een wachtwoord.
Na een langdurige online uitwisseling over dit onderwerp met een vriend, die uiteindelijk een “Aha!” Op dit moment denk ik dat ik erachter ben gekomen waarom dit onderwerp zo verwarrend is: een sleutel is niet iets tastbaars – het is een abstractie. Als gevolg hiervan verzanden de meeste pogingen om de technologie uit te leggen in technische details.
Zelfs de minst technische persoon die u kent, kan u vertellen wat een wachtwoord is: een combinatie van letters en cijfers, met misschien een symbool erin. U kunt uw eigen wachtwoord maken met een gewoon woord of een naam of een datum, en u kunt het zelfs op een notitie schrijven. Als u net als de meeste mensen bent, gebruikt u regelmatig hetzelfde wachtwoord, of een variant daarvan, ook al weet u dat dit waarschijnlijk een slecht idee is.
Ook: Hoe wachtwoordsleutels werken: de complete gids voor uw onvermijdelijke wachtwoordloze toekomst
Een toegangssleutel daarentegen is moeilijk te beschrijven. Als ik je vertel dat het een veilig digitaal legitimatiebewijs is, gegenereerd op basis van een publieke sleutel en een privésleutel, kun je je dan een mentaal beeld vormen dat bij die woorden past? Waarschijnlijk niet. Het zal niet helpen de definitie in meer technische details te begraven.
Maar ik denk dat we daar samen kunnen komen, in duidelijke (meestal) niet-technische taal, zonder een hoop jargon, gewoon door de vragen door te nemen die ik steeds van lezers hoor.
Wat is een toegangssleutel?
Een wachtwoordsleutel is een veilige, opgeslagen inloggegevens waarmee u zich kunt aanmelden bij een specifieke website of webservice door uw identiteit te bewijzen met biometrische gegevens of een pincode. Wachtwoorden worden gedefinieerd met behulp van de webauthenticatiestandaard (WebAuthn).
Wat gebeurt er als u een toegangssleutel maakt?
Wanneer u een toegangssleutel maakt, genereert en bewaart u feitelijk twee overeenkomende stukjes gecodeerde digitale informatie: één op de website of dienst waarbij u zich aanmeldt (dit wordt in de standaard de vertrouwende partij), en een seconde op uw apparaat. Die sleutels kunnen alleen samenwerken; het één is nutteloos zonder het ander.
Hier is hoe het werkt:
U gaat naar een website en logt zoals gewoonlijk in met uw wachtwoord. Nadat u zich heeft aangemeld, ziet u een bericht: Wilt u een toegangssleutel maken? En je zegt: “Wel, ja, dat zou ik doen.” Of, als de website u niet biedt om u te helpen bij het maken van een toegangssleutel, vindt u deze optie op de pagina met beveiligingsinstellingen voor uw account. De volgende schermafbeelding laat zien wat u bijvoorbeeld op Dell.com ziet.
Mogelijk moet u de instellingen doorzoeken om een toegangssleutel voor een website of dienst te maken
Schermafbeelding door Ed Bott/ZDNET
U moet kiezen welke authenticator u wilt gebruiken voor het maken van de toegangssleutel (daarover later meer), maar verder hoeft u niets anders te doen. U heeft zich al aangemeld met uw wachtwoord, zodat de website weet dat u bevoegd bent om dat account te gebruiken.
De website of service waarmee u verbinding maakt, slaat een unieke coderingssleutel op de server op, en uw authenticator (uw apparaat of wachtwoordbeheerder) genereert een tweede unieke, privé-coderingssleutel en slaat deze op een veilige locatie op uw apparaat op.
Dat is de toegangssleutel: twee geheimen, één aan elk uiteinde, die samenwerken om uw recht op gebruik van de account vast te stellen. Uw gebruikersnaam en wachtwoord zijn er niet langer bij betrokken, en niemand kan ooit de privé-coderingssleutel op uw computer zien, zelfs u niet.
Welke authenticator moet ik gebruiken?
Wanneer u een toegangssleutel maakt, kiest u welke authenticator u wilt gebruiken. De standaardlocatie is het apparaat zelf, zoals een pc die biometrische authenticatie van Windows Hello ondersteunt. U kunt ook een wachtwoordbeheerder kiezen die wachtwoordsleutels ondersteunt of zelfs een hardwarebeveiligingssleutel gebruiken.
Waarom maakt dat uit? Als u uw pc of mobiele apparaat of een hardwarebeveiligingssleutel als authenticator gebruikt, maakt u een apparaatgebonden wachtwoordsleutel. Het werkt alleen in combinatie met die hardware. Als u probeert in te loggen op een ander apparaat, of als de hardwarebeveiligingssleutel niet bij de hand is, heeft u geen toegang tot die toegangssleutel.
Een wachtwoordbeheerder kan daarentegen synchronisatiesleutels opslaan die u op meerdere apparaten kunt gebruiken. Google Wachtwoordmanager en iCloud-sleutelhanger kunnen uw toegangscodes op verschillende apparaten synchroniseren. Dat geldt ook voor wachtwoordbeheerders van derden, zoals 1Password of Bitwarden. (Zie deze GitHub-pagina voor een actuele lijst met wachtwoordauthenticators.)
Ook: Windows 11-gebruikers hebben zojuist een gemakkelijkere manier gekregen om wachtwoordsleutels op te slaan – zo werkt het
Als u al gewend bent aan het gebruik van een wachtwoordbeheerder die wachtwoordsleutels ondersteunt, is dit uw beste keuze. U kunt wachtwoordsleutels maken, beheren en gebruiken met dezelfde interface die u al gebruikt.
En hier is een handige tip: u kunt meerdere wachtwoordauthenticators gebruiken en meerdere wachtwoordsleutels voor dezelfde site maken. Voor sommige waardevolle sites heb ik wachtwoordsleutels gemaakt op twee of meer hardwaresleutels en in 1Password, waardoor ik verschillende manieren heb om veilig in te loggen op die sites, zelfs op onbekende hardware.
Hoe gebruik je een wachtwoord?
Wanneer u een website bezoekt waar u eerder een wachtwoordsleutel heeft aangemaakt, voert u zoals gewoonlijk uw e-mailadres of gebruikersnaam in, maar in plaats van een vak te zien waarin u een wachtwoord invoert, ziet u een bericht: Wilt u zich aanmelden met uw wachtwoordsleutel? U zegt ja en klikt op de knop voor uw opgeslagen wachtwoord.
U moet uw identiteit bewijzen voordat u een toegangssleutel kunt opslaan
Schermafbeelding door Ed Bott/ZDNET
De website gebruikt de sleutel (de sleutel die is gegenereerd toen u de toegangssleutel instelde) om een uitdaging naar uw pc of wachtwoordbeheerder te sturen. Er staat in feite: “De persoon die aan deze sleutel is gekoppeld, wil graag toegang krijgen tot zijn account. Vindt u dat goed?”
Uw authenticator (Windows Hello op een pc, iCloud-sleutelhanger op een Apple-apparaat of een hardwaresleutel) bevestigt dat het verzoek afkomstig is van een geldige bron en niet van een phishing-website; Vervolgens wordt u gevraagd om u te identificeren met biometrische gegevens of een pincode en wordt gecontroleerd of de uitdaging overeenkomt met de informatie die in uw toegangssleutel is opgeslagen, en wordt bevestigd dat deze een match zijn.
Bovendien: u gebruikt al een software-only benadering voor wachtwoordverificatie – waarom dat ertoe doet
De authenticator gebruikt uw privésleutel om een bericht te maken waarin de website wordt verteld dat u uw identiteit heeft bewezen en dat u over een overeenkomende toegangssleutel beschikt. U bent nu aangemeld, net zoals u zou zijn geweest als u uw wachtwoord had gebruikt.
U en de andere website hebben nooit de daadwerkelijke coderingssleutels uitgewisseld, zodat deze niet konden worden onderschept of gekopieerd. Het enige dat uw pc of wachtwoordbeheerder deed, was bevestigen dat u uzelf bent en dat de toegangssleutel overeenkomt. Het hele proces is veel sneller en veiliger dan het op wachtwoord gebaseerde alternatief.
Waar worden toegangscodes opgeslagen?
Uw toegangscodes worden opgeslagen op een veilige locatie op uw telefoon of computer, beschermd door cryptografische hardware: de TPM op een Windows-pc, de Secure Enclave op een Mac- of iOS-apparaat, of een Trusted Execution Environment op een Android-apparaat.
Alleen de authenticator heeft toegang tot een toegangssleutel en kan dit alleen doen nadat u uw identiteit heeft bewezen. Wachtwoordsleutels zijn niet toegankelijk voor het bestandssysteem, wat betekent dat u Verkenner of Finder niet kunt gebruiken om door uw verzameling wachtwoordsleutels te bladeren. (Het betekent ook dat malware geen toegang heeft tot die opgeslagen toegangscodes.)
Ook: Apple, Microsoft of Google: wiens platformauthenticator bepaalt onze sleuteltoekomst?
U kunt een toegangssleutel niet openen en de inhoud ervan inspecteren. U kunt geen kopie maken van een toegangssleutel die op uw telefoon of computer is opgeslagen, en u kunt niet per ongeluk een toegangssleutel gebruiken als een slechterik u voor de gek houdt met een nepwebsite die is ontworpen om er legitiem uit te zien.
Wat gebeurt er met mijn wachtwoord nadat ik een wachtwoordsleutel heb aangemaakt?
Op een dag, over vele jaren, leven we misschien in een wereld zonder wachtwoorden. Die dag is niet vandaag.
Ook: hoe ik eenvoudig wachtwoordsleutels instel via mijn wachtwoordbeheerder – en waarom jij dat ook zou moeten doen
Voorlopig zijn wachtwoordsleutels een alternatief voor wachtwoorden, en uw wachtwoord blijft doorgaans beschikbaar als een manier om u aan te melden bij een site waar u een wachtwoordsleutel heeft aangemaakt. Bij sommige services kunt u een wachtwoord verwijderen nadat u meerdere toegangscodes heeft aangemaakt (u kunt dat bijvoorbeeld doen met uw Microsoft-account), maar die opties zijn nog steeds zeldzaam.
Waarom is een sleutel veiliger dan een wachtwoord?
Wanneer u een wachtwoord gebruikt, gebeurt er het volgende: u gaat naar een website, voert uw gebruikersnaam en wachtwoord in en klikt op een knop. Als alles goed gaat, ben je ingelogd. Maar er kunnen veel dingen misgaan.
Om te beginnen kunnen wachtwoorden worden gephishing. Als een slechterik een website kan bouwen die lijkt op de inlogpagina van uw bank, kunt u voor de gek gehouden worden door daar uw wachtwoord in te voeren. Op dat moment kan de slechterik zich als u aanmelden en het geld op uw bankrekening stelen.
Wachtwoorden kunnen worden geraden, hetzij met brute force-aanvallen waarbij elke mogelijke combinatie van letters, cijfers en symbolen wordt geprobeerd, of door een aanvaller die uw gemakkelijk te raden wachtwoord achterhaalt. Vraag het maar aan Donald Trump, wiens Twitter-accountwachtwoorden niet moeilijk te raden waren – je bent ontslagen in 2014 en maga2020! zes jaar later.
Ook: ik heb het wachtwoord van mijn Microsoft-account vervangen door een sleutel – en dat zou jij ook moeten doen
Wachtwoorden kunnen ook worden gestolen. Een keylogger of Trojaans paard voor externe toegang kan uw wachtwoorden naar een aanvaller sturen, of ze kunnen de extreem low-tech optie van ‘shouldersurfen’ gebruiken – kijken terwijl u uw gebruikersnaam en wachtwoord typt, misschien met behulp van een videocamera.
Zelfs als uw opsec perfect is, kunt u nog steeds uw wachtwoord laten kapen als de website het slecht opslaat en beveiligt.
Ten slotte zou u die combinatie van gebruikersnaam en wachtwoord (onverstandig) op andere sites kunnen hergebruiken, en zou u kwetsbaar zijn als het wachtwoord voor één site ooit zou uitlekken of via phishing zou gebeuren.
Wachtwoorden zijn immuun voor deze aanvallen. Een ervaren phisher kan u voor de gek houden door te denken dat een nepwebsite echt is, maar deze zal nooit toegang krijgen tot de toegangssleutel, omdat het domein en de bijbehorende coderingssleutel niet overeenkomen. En het kan niet worden gestolen, omdat het de beveiligde opslagplaats op uw apparaat nooit verlaat.
De enige manier om het te ontgrendelen is als u zich identificeert met biometrie of een pincode nadat uw authenticator een legitiem verzoek van een externe server heeft ontvangen. Het hele proces maakt phishing onmogelijk.
Moet ik me zorgen maken over het uniek maken van toegangscodes?
U leest al jaren adviesrubrieken die u vertellen hoe belangrijk het is om voor elke site een uniek wachtwoord te hebben. Moet u dus dezelfde mate van voorzichtigheid betrachten en een unieke toegangscode maken voor elke site die dit mogelijk maakt?
Ha! Dat is bijna een strikvraag. Wachtwoorden zijn per definitie uniek. Elke toegangssleutel bestaat uit twee afzonderlijke coderingssleutels die uitsluitend worden gegenereerd voor gebruik met de site of service waar deze is gemaakt.
U kunt echter meerdere toegangscodes hebben voor één site. Als ze apparaatgebonden zijn, heb je er misschien één voor je laptop en één voor je telefoon. Of misschien heb je een of meer hardwaresleutels zoals een YubiKey. Zoals ik eerder al zei, is het maken van synchronisatiesleutels in uw wachtwoordbeheerder de handigste optie.
