Nu technologie steeds meer een integraal onderdeel wordt van het dagelijks leven, zijn wachtwoorden essentieel voor het beveiligen van online accounts. Toch heeft de last van het beheer van talloze unieke wachtwoorden geleid tot de opkomst van wachtwoordmanagers, die zelf afhankelijk zijn van één enkel wachtwoord. Zelfs deze zijn niet onfeilbaar, aangezien Microsoft dagelijks 111 miljoen wachtwoordaanvallen rapporteert. Om deze kwetsbaarheid aan te pakken, hebben technologieleiders als Apple, Google, Amazon en Microsoft de ‘FIDO Alliance’ gevormd, waarbij ze werkten aan een baanbrekend, wachtwoordloos inlogsysteem dat toegangssleutels wordt genoemd.
Wachtwoorden vormen een zwakke schakel in de cyberbeveiliging: meer dan 80% van de datalekken vinden plaats als gevolg van zwakke wachtwoorden. Zoals beschreven in een artikel van Zakelijke insidernegeren de meeste mensen vaak basisveiligheidsmaatregelen, zelfs als ze zich ervan bewust zijn dat hun inloggegevens in gevaar zijn. Oplossingen zoals tweefactorauthenticatie bieden stapsgewijze verbeteringen, maar pakken het kernprobleem niet aan. Volgens Christiaan Brand van Google is het huidige systeem fundamenteel gebrekkig en vereist het een nieuwe start.
In 2004 voorspelde Microsoft-chef Bill Gates op beroemde wijze de dood van traditionele wachtwoorden, en er zijn verschillende pogingen ondernomen om deze te vervangen. Maar tot nu toe heeft niemand een alternatief kunnen vinden. Wachtwoorden zijn een nieuw alternatief dat tot doel heeft wachtwoorden te vervangen door biometrische authenticatie of pincodes van apparaten. Gebruikers authenticeren zich door een vingerafdruk of gezicht te scannen, waardoor het niet meer nodig is om wachtwoorden te onthouden of te beheren. Volgens Steve Won, de chief product officer van de premium wachtwoordmanager-app „1Password“ en lid van de FIDO Alliance, beschrijft hij hun belangrijkste voordeel: „Je kunt letterlijk geen wachtwoord stelen als het wachtwoord niet bestaat.“
Wachtwoorden zijn afhankelijk van een paar virtuele sleutels: de ene is opgeslagen op het apparaat van de gebruiker en de andere op een server. Tijdens het inloggen worden deze sleutels gekoppeld om toegang te verlenen. Dit systeem biedt gemak, veiligheid en weerstand tegen phishing-aanvallen. Grote bedrijven, waaronder Apple, Google en Mastercard, gebruiken toegangscodes, wat duidt op brede steun vanuit de sector.
Voor het instellen van een toegangssleutel zijn geen extra apps vereist. Systemen van Apple, Google en Microsoft bevatten nu ingebouwde ondersteuning. Gebruikers creëren een toegangssleutel door zich te authenticeren via biometrie of een apparaatpincode. Na verificatie genereert het systeem een openbare sleutel die is opgeslagen op de server van de dienst en een privésleutel die lokaal is opgeslagen. Later inloggen is naadloos. Gebruikers selecteren de wachtwoordoptie en authenticeren via biometrie of een pincode. De privésleutel ontgrendelt de toegang door de publieke sleutel op de server te matchen. In tegenstelling tot wachtwoorden zijn wachtwoordsleutels bestand tegen inbreuken, omdat biometrische gegevens en privésleutels het apparaat nooit verlaten.
Adoptie en uitdagingen
Ondanks hun voordelen moeten ook wachtwoordsleutels verschillende hindernissen overwinnen voordat ze in staat zijn om ouderwetse wachtwoorden vaarwel te zeggen. Momenteel ondersteunen slechts een beperkt aantal websites en apps deze. Traditionele wachtwoorden blijven de fallback voor veel diensten. De FIDO Alliance verwacht echter het komende jaar een snelle groei in adoptie, gedreven door het momentum in de sector en de toenemende noodzaak om wachtwoordkwetsbaarheden aan te pakken.
Een ander probleem met wachtwoordsleutels is dat ze vaak gekoppeld zijn aan specifieke ecosystemen, zoals Apple of Google, wat het gebruik op apparaten van verschillende fabrikanten bemoeilijkt. Dit gebrek aan platformonafhankelijke compatibiliteit kan gebruikers met gemengde apparaatconfiguraties afschrikken.
Biometrische sleutels zijn ook niet ideaal voor gedeelde accounts, zoals die door gezinnen worden gebruikt. Voor streamingplatforms en andere bedrijven die het delen van accounts willen beperken, kunnen wachtwoordsleutels nuttig zijn, maar legitieme gebruikers die de toegang binnen huishoudens delen, kunnen voor uitdagingen komen te staan. Momenteel maken traditionele fallback-logins het delen in dergelijke gevallen mogelijk, maar een model met alleen een wachtwoord zou fysieke nabijheid vereisen voor de installatie.
Het pad vooruit
Afgezien van de hierboven genoemde uitdagingen is de wachtwoordloze beweging erin geslaagd aanzienlijke grip te verwerven. De FIDO Alliance blijft optimistisch over het feit dat wachtwoordsleutels de norm zullen worden en haar uitvoerend directeur, Andrew Shikiar, gelooft dat het groeiende aantal bedrijven dat zich bij het initiatief aansluit de urgentie aantoont van het oplossen van het wachtwoordprobleem. Hoewel de adoptie nog steeds beperkt is, verwacht de industrie in de nabije toekomst brede steun.
Door Nazrin Sadigova
