![]() |
Afbeelding via Pixabay |
Reeds
ten tijde van Asterix en Obelix werden wachtwoorden gebruikt, en in computers
worden ze sinds mensenheugenis gebruikt (Wikipedia noemt 1961 als jaar waarin
ze werden toegepast in een systeem van het MIT). En nu, een slordige
tweeduizend jaar na onze Gallische vrienden, zijn we ze zat. Het zijn er
teveel, ze zijn lastig en ze zijn onveilig – zelfs lange, complexe wachtwoorden
zijn onveilig als iemand ze je via phishing aftroggelt. Maar er is hoop: de
passkey komt eraan!
Passkeys
(toegangssleutels) zijn nog niet breed beschikbaar, maar het woord doemt steeds
vaker op en dat is genoeg reden om er eens goed in te duiken. Passkeys
verschillen fundamenteel van wachtwoorden, met als grootste voordeel dat ze
vele malen veiliger zijn. En ze zijn gemakkelijk te hanteren. Wie wil dat nou
niet?
Om
het verschil uit te leggen, begin ik bij het aloude wachtwoord. De werking
ervan berust op wat een noemen een gedeeld geheim (shared secret): zowel jij
als de site/app/applicatie/computer weten het wachtwoord. Zo’n beetje het enige
verschil met de werkwijze van de oude Romeinen is dat computerwachtwoorden aan
de andere kant niet letterlijk worden opgeslagen, maar in de vorm van een
hashwaarde (een wiskundig berekende ‘vervorming’ van het origineel). Aan die
andere kant moeten ze kunnen controleren of de ingetikte combinatie van
gebruikersnaam en wachtwoord bij elkaar passen, dus die gegevens van alle
gebruikers staan bij elkaar in een groot bestand van bijvoorbeeld zo’n website.
Dat is goud voor hackers als het niet beschermd is. En daarom is die hashing zo
belangrijk. Hashing is onomkeerbaar; het wachtwoord ‘slechtvoorbeeld’ verandert
in ‘0b3b1ddfbe320f44ec5ca91da6d8fb32’ en er is geen weg terug: je kunt uit de
hashwaarde niet het oorspronkelijke wachtwoord terugbreien. Als jij je
wachtwoord intypt, dan wordt dat weer gehasht en als de uitkomst overeenkomt
met de opgeslagen hashwaarde, dan mag je naar binnen. Net als ieder ander die
jouw wachtwoord weet. Bovendien kan een geduldige hacker, die zo’n
wachtwoordbestand in handen heeft, in alle rust wachtwoorden proberen en als de
berekende hashwaarde overeenkomt met de waarde in het bestand, dan weet hij je
wachtwoord.
Maar
dan de passkey. Daar komt geen gedeeld geheim aan te pas, maar serieuze
cryptografie (versleuteling). Ook dát deden de oude Romeinen al. Destijds was
het vooral een kwestie van andere tekens gebruiken, of van verschuiving (a
wordt d, b wordt e enzovoorts). Daar komt een sleutel aan te pas: bij gebruik
van andere tekens gebruik je een soort legenda, bij verschuiving een getal (in
het voorbeeld is de sleutel +3). Moderne cryptografie is veel complexer, met
name de vorm die voor passkeys wordt gebruikt: asymmetrische cryptografie.
Kenmerkend daarvoor is dat er niet wordt gewerkt met één sleutel (die tussen de
betrokken partijen moet worden gedeeld, net als een wachtwoord), maar met twee
sleutels. Die sleutels hebben een wiskundige relatie. De ene heet de publieke
sleutel, de andere is de geheime sleutel (public/private key). Kern van het
verhaal is nu dat de geheime sleutel op jouw apparaat blijft en de publieke
sleutel naar de andere partij gaat. Als jij op je apparaat iets doet met je
geheime sleutel, dan kan de ander met behulp van de bijbehorende publieke
sleutel controleren of jij het was. Die publieke sleutel hoeft niet te worden
beveiligd, zoals zijn naam al aangeeft.
Stel,
je wilt op je laptop inloggen op een site die met passkeys werkt. Die passkey
kan bijvoorbeeld op je smartphone staan. Je laptop en je telefoon weten via
Bluetooth dat ze bij elkaar in de buurt zijn en dat dus niet iemand op afstand
probeert in te loggen. Op je telefoon ontgrendel je de gevraagde passkey met je
vingerafdruk, gezichtsscan of een code. En hup, je bent ingelogd op die site.
Omdat
de passkey het toestel niet verlaat, kun je als gebruiker geen toegangsgegevens
lekken – je bent dus niet vatbaar voor phishing. Dat is in mijn ogen hét grote
voordeel van passkeys: een aanvaller kan er simpelweg niet tussenkomen. Je kunt
je passkeys synchroniseren tussen verschillende apparaten, zodat je ze op je
laptop, tablet en smartphone bij de hand hebt. Die synchronisatie verloopt
versleuteld (end-to-end, daar kan dus ook niemand op inbreken).
Passkeys
worden op dit moment ondersteund door de grote tech-bedrijven (Google, Apple,
Microsoft). Maar sommige password managers, zoals Bitwarden, kunnen er ook al
mee overweg.
Nieuwsgierig
geworden? Log in op je Google-account (maak er desnoods eentje aan), ga naar Instellingen
> Beveiliging > Toegangssleutels en Beveiligingssleutels en maak hier
je toegangssleutel. Op mijn pc draait een plugin van Bitwarden in de browser,
en ik kreeg meteen de vraag of ik de passkey daarin wilde opslaan. Als ik
voortaan op mijn pc bij Google wil inloggen, dan vraagt de password manager of
ik de passkey wil gebruiken. Het werkt dus eigenlijk net zo als voorheen, maar
dan zonder dat er geheimen aan te pas komen. Nu maar hopen dat passkeys in zwang raken, zodat we ermee vertrouwd raken en
straks – de komende twee millennia of zo – niet beter weten.
En in de grote boze buitenwereld …
- kan jouw chat met een AI-bot vaak worden afgeluisterd, ondanks encryptie.
- hebben sommige ondernemers twee gezichten.
- vindt Google aandacht voor Post Quantum Cryptography belangrijk.
- hebben sommige fysieke elektronische sloten een geheim achterdeurtje.
- moest Meta eerder al een privacy-boete van vijf miljard betalen, maar wordt diezelfde rechtszaak nu alsnog heropend.
- blijken criminelen toch onbetrouwbaar te zijn.
- krijgt Europa relatief stevige AI-wetgeving.
- vinden ze het in Frankrijk nu ook niet meer logisch om periodiek alle wachtwoorden te wijzigen.
- kreeg de Europese Commissie een tik op de vingers voor het gebruik van Microsoft 365.
- vergroot de politie de cyberweerbaarheid van de jeugd met een game.
- worden Nederlanders steeds kritischer op hun privacy.
Geen opmerkingen:
Een reactie posten