Passkeys: Nooit Meer Wachtwoorden Onthouden

Hoeveel wachtwoorden heb jij? Twintig? Vijftig? Honderd? En hoeveel daarvan zijn echt uniek en sterk? Als je eerlijk bent: waarschijnlijk gebruik je variaties op hetzelfde wachtwoord, of je hebt een systeem dat voorspelbaar is. Je bent niet alleen. 65% van de mensen hergebruikt wachtwoorden. 81% van de datalekken komt door zwakke of gestolen wachtwoorden. En ondanks al onze pogingen om dit probleem op te lossen met wachtwoordmanagers en MFA, blijven wachtwoorden de achilleshiel van digitale beveiliging. Passkeys veranderen dat fundamenteel. Geen wachtwoorden meer om te onthouden, te stelen of te raden. In plaats daarvan: cryptografische beveiliging die zowel veiliger als gebruiksvriendelijker is. ## Het wachtwoordprobleem Laten we eerlijk zijn over waarom wachtwoorden zo problematisch zijn. ### Mensen zijn niet gemaakt voor wachtwoorden Een goed wachtwoord is lang, willekeurig, uniek per dienst en wordt regelmatig gewijzigd. Dat is voor een computer geen probleem, maar voor mensen onmogelijk. We kunnen niet honderden willekeurige tekenreeksen onthouden. Dus doen we wat mensen altijd doen: we nemen shortcuts. We gebruiken herkenbare woorden. We voegen een cijfer toe om aan de eisen te voldoen. We hergebruiken wachtwoorden zodat we er minder hoeven te onthouden. Elke shortcut is een beveiligingsrisico. ### Wachtwoorden worden gestolen Zelfs als jij een perfect wachtwoord hebt, kan het worden gestolen. Phishing-emails die je naar een nep-website leiden. Keyloggers die je toetsaanslagen registreren. Datalekken bij diensten waar je account hebt. In 2023 werden miljarden wachtwoorden gelekt via diverse datalekken. De kans is groot dat jouw wachtwoord ergens in een database staat die circuleert op het dark web. ### MFA is een pleister Multi-factor authenticatie helpt. Een aanvaller die je wachtwoord heeft, kan nog steeds niet inloggen zonder de tweede factor. Maar MFA is een extra stap bovenop wachtwoorden, geen vervanging ervoor. SMS-codes kunnen worden onderschept. TOTP-codes zijn vatbaar voor phishing als de aanvaller snel genoeg is. Push notifications leiden tot MFA-fatigue - mensen die automatisch op ja drukken zonder te kijken. We hebben wachtwoorden lang genoeg opgelapt. Het is tijd voor iets beters. ## Wat zijn passkeys? Passkeys zijn een nieuwe authenticatiestandaard gebaseerd op publieke-sleutel cryptografie. In plaats van een gedeeld geheim (het wachtwoord dat jij en de dienst allebei kennen) gebruik je een sleutelpaar: een publieke sleutel die je deelt en een private sleutel die je geheim houdt. ### Hoe werkt het technisch? Bij registratie genereert je apparaat een uniek sleutelpaar voor die specifieke dienst. De publieke sleutel wordt naar de dienst gestuurd en daar opgeslagen. De private sleutel blijft veilig op je apparaat, beschermd door de beveiligingschip. Bij inloggen stuurt de dienst een uitdaging - een willekeurige tekenreeks. Je apparaat tekent die uitdaging met de private sleutel. De dienst verifieert de handtekening met de publieke sleutel. Als het klopt, ben je ingelogd. De private sleutel verlaat nooit je apparaat. Er is geen gedeeld geheim dat kan worden gestolen. De handtekening is uniek voor elke inlogpoging en kan niet worden hergebruikt. ### Wat maakt ze veilig? Passkeys zijn phishing-resistant. De passkey is gebonden aan een specifiek domein. Een nep-website op micr0soft.com kan geen passkey aanvragen voor microsoft.com. Je apparaat weigert simpelweg. Ze zijn niet te stelen via datalekken. De dienst heeft alleen je publieke sleutel. Daarmee kan een aanvaller niets - je hebt de private sleutel nodig om in te loggen, en die staat alleen op jouw apparaat. Ze zijn niet te raden of te brute-forcen. De private sleutel is een cryptografisch sterke willekeurige waarde. Er is geen patroon, geen woordenboek, geen variatie op je naam of geboortedatum. ### Wat maakt ze gebruiksvriendelijk? Je hoeft niets te onthouden. De passkey staat op je apparaat en wordt ontgrendeld met iets dat je al gebruikt: je vingerafdruk, gezichtsscan of PIN. Het is sneller dan wachtwoorden. Een vingerafdrukscan duurt een fractie van een seconde, minder dan het typen van een wachtwoord. Elke passkey is automatisch uniek per dienst. Geen discipline nodig om overal een ander wachtwoord te gebruiken - het gebeurt automatisch. ## Passkeys in de praktijk De technologie is er. Steeds meer diensten en platforms ondersteunen passkeys. ### Ondersteunde platforms Windows 11 ondersteunt passkeys via Windows Hello. Je vingerafdruk, gezichtsscan of PIN ontgrendelt de passkey. macOS Sonoma en nieuwer ondersteunt passkeys via iCloud Keychain, gesynchroniseerd over al je Apple-apparaten. iOS 16 en nieuwer ondersteunt passkeys eveneens via iCloud Keychain. Android 14 en nieuwer ondersteunt passkeys via Google Password Manager. Alle grote browsers ondersteunen passkeys: Chrome, Safari, Edge en Firefox. ### Ondersteunde diensten De lijst groeit snel. Google, Microsoft (persoonlijke accounts), Apple, GitHub, PayPal, Amazon, LinkedIn, eBay, Best Buy, Kayak en vele anderen ondersteunen passkeys al. Voor zakelijk gebruik: Microsoft 365 ondersteunt passkeys in preview, met volledige uitrol verwacht in 2024-2025. Wachtwoordmanagers zoals 1Password en Dashlane ondersteunen passkeys. Identity providers zoals Okta en Duo zijn bezig met implementatie. ### Hoe begin je? Voor persoonlijk gebruik is beginnen eenvoudig. Ga naar een dienst die passkeys ondersteunt, zoals Google of GitHub. Zoek in de beveiligingsinstellingen naar passkeys of wachtwoordloos inloggen. Volg de wizard om een passkey te registreren. De volgende keer dat je inlogt, kies je voor passkey in plaats van wachtwoord. Het hele proces duurt minder dan een minuut. ## Passkeys in je organisatie Voor zakelijk gebruik zijn er extra overwegingen. ### Windows Hello for Business Voor organisaties die Microsoft 365 gebruiken, is Windows Hello for Business de logische keuze. Het is niet precies hetzelfde als passkeys, maar werkt op vergelijkbare principes en biedt dezelfde voordelen. Met Windows Hello for Business log je in op je werkaccount met je vingerafdruk, gezichtsscan of PIN. Geen wachtwoord nodig. De authenticatie is gebonden aan het specifieke apparaat en phishing-resistant. Vereisten: Microsoft 365 Business Premium of hoger, Windows 10 of 11 Pro/Enterprise, apparaten met TPM 2.0, en Azure AD/Entra ID als identity provider. Implementatie is relatief eenvoudig via Intune. Je definieert een Windows Hello for Business policy en rolt die uit naar je apparaten. Bij de eerste login na uitrol wordt de gebruiker gevraagd Windows Hello in te stellen. ### FIDO2 hardware security keys Voor situaties waar biometrie niet praktisch is - gedeelde werkplekken, productieomgevingen, extra kritieke accounts - zijn hardware security keys een alternatief. Een security key is een fysiek apparaat, meestal een USB-stick, dat passkeys opslaat. Je steekt de key in, drukt op een knop, en je bent ingelogd. Populaire opties zijn YubiKey (de marktleider, modellen van €25 tot €70), Feitian (goedkoper alternatief, vergelijkbare functionaliteit) en Google Titan (Google's eigen security key). Voor zakelijk gebruik adviseren we om elke gebruiker twee keys te geven: een primaire en een backup voor als de eerste verloren raakt. ### Migratiestrategie Overstappen van wachtwoorden naar passwordless gaat niet overnight. Hier is een pragmatische aanpak. In fase 1, de voorbereiding, inventariseer je je huidige authenticatielandschap. Welke systemen en applicaties worden gebruikt? Welke ondersteunen moderne authenticatie? Begin met het activeren van MFA voor iedereen als je dat nog niet hebt gedaan. In fase 2, de pilot, selecteer je een kleine groep early adopters - technisch vaardige medewerkers die openstaan voor verandering. Rol Windows Hello for Business uit naar deze groep. Verzamel feedback en los problemen op. In fase 3, de brede uitrol, rol je uit naar de rest van de organisatie, afdeling voor afdeling. Zorg voor goede communicatie en ondersteuning. In fase 4, de optimalisatie, begin je wachtwoord-only toegang uit te faseren. Maak passwordless authenticatie de standaard. Wachtwoord wordt de fallback, niet de norm. ## Veelgestelde vragen Bij het introduceren van passkeys komen altijd vragen. ### Wat als ik mijn telefoon verlies? Dit is de meest gestelde vraag en terecht. Als je passkey op één apparaat staat en dat apparaat raakt kwijt, hoe log je dan nog in? Er zijn meerdere oplossingen. Registreer passkeys op meerdere apparaten. Als je telefoon kwijtraakt, kun je nog inloggen met je laptop. Gebruik iCloud Keychain of Google Password Manager om passkeys te synchroniseren over apparaten. Houd een hardware security key als backup. Zorg dat recovery-procedures op orde zijn voor noodgevallen. ### Werkt het met alle websites? Nog niet, maar adoptie groeit snel. De grote techbedrijven hebben passkeys omarmd. Veel websites ondersteunen het al, en de lijst groeit maandelijks. Voor websites die nog geen passkeys ondersteunen, blijf je wachtwoorden gebruiken. Een wachtwoordmanager blijft dus relevant, maar je verzameling wachtwoorden wordt geleidelijk kleiner. ### Is het echt veiliger dan een sterk wachtwoord met MFA? Ja, om meerdere redenen. Passkeys zijn inherent phishing-resistant, waar traditionele MFA dat niet altijd is. Er is geen gedeeld geheim dat kan worden gestolen bij een datalek. Elke passkey is automatisch uniek per dienst. En menselijke fouten - het kiezen van zwakke wachtwoorden, het hergebruiken ervan - worden geëlimineerd. ### Wat als de technologie verandert? Passkeys zijn gebaseerd op open standaarden (FIDO2, WebAuthn) die breed worden ondersteund. Dit is geen proprietary technologie van één bedrijf, maar een industriestandaard. De kans op plotselinge incompatibiliteit is klein. ### Hoe zit het met gedeelde accounts? Gedeelde accounts zijn sowieso een security-antipatroon, maar soms onvermijdelijk. Voor situaties waar meerdere mensen toegang nodig hebben tot hetzelfde account, zijn passkeys lastiger. Opties: gebruik hardware security keys die kunnen worden gedeeld (met duidelijke procedures voor overdracht), of implementeer een oplossing met individuele accounts en gedelegeerde toegang. ## De kosten en baten Wat kost passwordless implementeren en wat levert het op? ### Kosten De licentiekosten voor Windows Hello for Business zitten inbegrepen in Microsoft 365 Business Premium of hoger. Geen extra kosten als je die licentie al hebt. Hardware security keys kosten €25-70 per stuk. Met twee per medewerker (primair plus backup) is dat €50-140 per persoon als eenmalige investering. Implementatie kost tijd. Reken op 40-100 uur consultancy voor een MKB, afhankelijk van complexiteit. ### Baten De directe besparing op wachtwoordresets is significant. Elke reset kost gemiddeld €50 aan helpdesk-tijd. Met 100 medewerkers en gemiddeld twee resets per persoon per jaar is dat €10.000 besparing. Productiviteitswinst: medewerkers hoeven niet meer te wachten op wachtwoordresets. Inloggen gaat sneller met biometrie dan met typen. Risicoreductie: de kans op succesvolle phishing of credential-based aanvallen daalt dramatisch. Een gemiddelde ransomware-aanval kost een MKB €200.000 of meer. De investering is in de meeste gevallen binnen een jaar terugverdiend, zelfs zonder de risicoreductie mee te rekenen. ## De weg vooruit Passkeys zijn geen toekomstmuziek. Apple, Google en Microsoft hebben gezamenlijk de FIDO Alliance-standaarden omarmd. Binnen enkele jaren zullen passkeys de standaard zijn voor authenticatie. Organisaties die nu beginnen met passwordless, bouwen een voorsprong op. Ze wennen hun medewerkers aan nieuwe werkwijzen. Ze lossen de kinderziektes op terwijl ze nog klein zijn. Ze zijn klaar wanneer de rest van de wereld volgt. De vraag is niet of je naar passwordless gaat, maar hoe snel. ## Aan de slag Bij JamaTec ICT helpen we organisaties met de transitie naar passwordless authenticatie. We beginnen met een assessment van je huidige situatie en ontwikkelen een migratiestrategie die past bij jouw organisatie. Of het nu gaat om Windows Hello for Business, FIDO2 security keys of een combinatie daarvan - wij helpen je van wachtwoordchaos naar moderne, veilige authenticatie. Klaar om afscheid te nemen van wachtwoorden? Neem contact op voor een vrijblijvend gesprek.