Toen je vroeger een account aanmaakte op een dienst zoals Hyves of Hotmail, dacht je nog niet zo lang na over een wachtwoord. Je koos één keer een makkelijk te onthouden reeks van letters en plakte er wellicht een cijfer bij. Wachtwoorden als ‘Kees123’ kennen we allemaal nog wel. Je gebruikte vaak namelijk ook nog eens dat wachtwoord op álle sites. Inmiddels weten we dat dit niet meer voldoende is.
Tegenwoordig zijn er wachtwoordmanagers die lange en ingewikkelde wachtwoorden maken voor elke site en opslaan. En als we zelf wat moeten verzinnen, gebruiken we wachtzinnen die we makkelijk kunnen onthouden. Ook is het mogelijk om een extra laag beveiliging in te stellen via two factor authentication (2FA), ook wel tweestapsverficatie. Of zelfs meerdere lagen met meervoudige verificatie.
Door al deze acties wordt inloggen steeds een stukje ingewikkelder en het originele probleem is nog niet opgelost: wachtwoorden blijven de zwakste schakel in onze beveiliging. Dat moet beter kunnen, en daarom wordt er hard gewerkt aan een toekomst zonder wachtwoorden.
Dat klinkt als een utopie, en ook een beetje spannend. Want hoe moet het dan wel als we geen wachtwoord meer gebruiken? Het goede nieuws is dat inloggen in de toekomst zowel simpeler als veiliger werkt. En waarschijnlijk gebruik je de nieuwe inlogmethodes al dagelijks.
Alles draait namelijk om meervoudige verificatie, waarmee je verschillende vormen van verificatie combineert. Dat gaat altijd om een combinatie van iets dat je weet, iets dat je bent en iets dat je hebt.
Tegenwoordig worden deze vormen van verificatie meestal bovenop het wachtwoord gebruikt. In de wachtwoordloze toekomst haal je het wachtwoord eronder weg en houd je de rest over.
Om dat praktisch te regelen worden zogenaamde passkeys geïntroduceerd. Microsoft, Google en Apple werken samen om je via deze technologie overal veilig wachtwoordloos te laten inloggen.
Passkeys zijn digitale sleutels die worden opgeslagen op je smartphone. Met deze passkeys kun jij je identiteit verifiëren door gebruik te maken van de technologie in je smartphone, zoals de vingerafdrukscanner of gezichtsherkenning. Je hoeft dus niets te onthouden om te bevestigen dat jij het bent.
Toch heb je op deze manier direct twee vormen van beveiliging te pakken: jij bent als het goed is de enige die toegang tot je smartphone hebt en daar bovenop is jouw unieke vingerafdruk of gezicht nodig. Ook mooi is dat een passkey alleen op de website werkt waar jij de sleutel hebt aangemaakt, waardoor deze technologie een sterk middel tegen phishing is.
In de praktijk zal inloggen via passkeys nauwelijks anders voelen dan een wachtwoordmanager die voor jou je opgeslagen wachtwoorden invult. Behalve als je op een pc of op ander apparaat wil inloggen dat geen biometrische data kan lezen. Dan moet je een QR-code scannen via de camera op je smartphone.
Voordat het zover is, moet er nog wel veel gebeuren. Alle apparaten, apps, websites en diensten moeten eerst nog leren om met passkeys om te gaan. iPhones met de nieuwste update kunnen dat al, en Google is aardig op weg om Android klaar te stomen. De compleet wachtwoordloze toekomst laat dus nog eventjes op zich wachten, maar er wordt druk aan gebouwd!
Ignaece, Security Officer (CISO) bij AFAS, helpt je in een serie artikelen om je internetveiligheid te vergroten. In dit artikel: Wachtwoordloze toekomst.