De afgelopen decennia zijn wachtwoorden de meest gebruikelijke manier geweest om uw online accounts te beveiligen. Hoewel secundaire authenticatiemaatregelen zoals eenmalige wachtwoorden en tweefactorauthenticatie de afgelopen jaren een rol hebben gespeeld, is uw wachtwoord nog steeds uw eerste verdedigingslinie tegen inbraak.
Wachtwoorden zijn echter ook de zwakste schakel in uw beveiligingsketen — om verschillende redenen. Ten eerste kiezen veel mensen eenvoudige en veelvoorkomende wachtwoorden die gemakkelijk te onthouden zijn — en gemakkelijk te raden zijn voor hackers — terwijl sommige systemen gebruikers dwingen zulke omslachtige wachtwoorden te maken dat ze ze eerder zullen vergeten. Dit heeft tot gevolg dat wachtwoorden onveilig worden opgeschreven in daytimers en post-it-notities die op notitieborden en computerschermen worden geplakt.
Dan is er het probleem van hergebruik van wachtwoorden. Tenzij u een persoon bent die overdreven veiligheidsbewust is, is de kans groot dat u hetzelfde wachtwoord op meer dan één online service hebt gebruikt. Studies hebben zelfs aangetoond dat bijna tweederde van de mensen hetzelfde wachtwoord gebruikt voor meerdere online services, en velen gebruiken één wachtwoord voor alles, van online bankieren tot fly-by-night shopping-sites. Het enige dat nodig is, is één enorme datalek, en die wachtwoorden zijn in het wild, klaar voor criminele hackers om elke andere site aan te vallen waar ze mogelijk zijn gebruikt.
Tot slot, zelfs als u dat bent ijverig genoeg om een uniek wachtwoord te gebruiken op elke site die u bezoekt, kunt u nog steeds ten prooi vallen aan een phishing-aanval waarbij een oplichter probeert u uw wachtwoord te laten onthullen door u naar een nepwebsite te lokken die lijkt op Apple, Amazon of uw online bank.
Het zijn dit soort tekortkomingen met het eenvoudige wachtwoord die de behoefte hebben gecreëerd aan secundaire authenticatiemethoden, zoals extra zescijferige codes die naar je telefoon worden gestuurd om te bevestigen dat jij het bent die inlogt. Maar zelfs deze zijn niet onfeilbaar; criminelen hebben zich tot”SIM-jacking”-aanvallen gewend om die sms-codes te onderscheppen en toegang te krijgen tot meer gevoelige accounts. Verder zijn sms-wachtwoorden nog steeds kwetsbaar voor phishing-aanvallen, omdat een nep-site u kan misleiden om dat ook bekend te maken.
Hoewel andere methoden, zoals fysieke beveiligingssleutels en Google Smart Lock, aanzienlijk veiliger zijn, kunnen deze ook gecompliceerder zijn om in te stellen en omslachtiger in gebruik.
De realiteit is echter dat dat tweefactorauthenticatiemethoden slechts een pleister zijn — een poging om”de oplossing op te lossen”van het gebruik van wachtwoorden in plaats van het probleem met wachtwoorden op te lossen, wat inhoudt dat ze inherent een gebrekkig idee zijn.
Sleutels invoeren
Grote technologiebedrijven weten dit en werken al jaren achter de schermen om traditionele wachtwoorden overbodig te maken. Dat is echter geen geringe ambitie; wachtwoorden zijn ingebed in ons publieke bewustzijn en duizenden systemen over de hele wereld zijn gebouwd om deze te gebruiken als het primaire middel om gebruikers te authenticeren.
De drijvende kracht achter dit project is de Fast Identity Online (FIDO) Alliance, een branchecoalitie bestaande uit van een eclectische groep bedrijven, waaronder techreuzen als Apple, Amazon, Google, Meta en Microsoft, maar ook financiële zwaargewichten als AMEX, Mastercard en VISA, en bedrijven als 1Password, LastPass, Fetian en Yubico, die gespecialiseerd zijn in zowel software-als hardware-authenticatie.
De FIDO Alliance heeft in de loop der jaren al verschillende standaarden ontwikkeld voor fysieke tweefactorbeveiligingssleutels. Toch is een van de uiteindelijke doelen het elimineren van de behoefte aan een tweede factor door de eerste factor veel veiliger te maken door iets te maken dat een ‘wachtwoord’wordt genoemd.
Vorig jaar kreeg dat initiatief een flinke boost toen Apple ondersteuning toevoegde voor wachtwoordsleutels in iOS 16 en macOS Ventura. Nu zet Google de eerste stap om die nieuwe technologie te gebruiken om wachtwoorden volledig te elimineren.
Er zijn al verschillende sites die de wachtwoordsleutels van Apple ondersteunen, maar de meeste gebruiken dit als een secundaire authenticatiemethode. Met andere woorden, u kunt uw iCloud-wachtwoord in Safari gebruiken nadat u uw normale wachtwoord hebt ingevoerd alsof het een fysieke beveiligingssleutel is. Hoewel dat veel extra beveiliging toevoegt, moet u nog steeds uw wachtwoord invoeren.
Google is nu echter klaar om wachtwoordsleutels te gebruiken als het enige authenticatiemiddel voor al uw Google-services. In een blogbericht met de toepasselijke titelHet begin van het einde van de wachtwoord heeft Google aangekondigd dat het”begonnen is met het uitrollen van ondersteuning voor wachtwoordsleutels voor Google-accounts op alle grote platforms”.
Wachtsleutels zijn optioneel, maar degenen die zich aanmelden voor het nieuwe systeem kunnen een wachtwoordsleutel gebruiken in plaats van een wachtwoord. Voor Apple-gebruikers betekent dit dat u zich kunt aanmelden bij alle Google-services in Safari op uw iPhone, iPad en Mac door u simpelweg te authenticeren met Face ID of Touch ID, aangezien de toegangscode wordt gesynchroniseerd met al uw apparaten met behulp van iCloud-sleutelhanger.
Als u Chrome of een andere browser gebruikt of inlogt op de Mac of iPad van iemand anders die uw iCloud-account niet gebruikt, krijgt u in plaats daarvan een QR-code te zien. Open in dit geval gewoon de Camera-app op uw iPhone, richt deze op het scherm en tik op Aanmelden met wachtwoord en u zou klaar moeten zijn.
Hoewel iCloud-sleutelhanger een van de gemakkelijkste oplossingen is voor iPhone-, iPad-en Mac-gebruikers die met wachtwoorden omgaan, is niet de enige optie. De populaire wachtwoordbeheerder 1Password, dat ook lid is van de FIDO Alliance, heeft aangekondigd dat je binnenkort in staat om uw toegangssleutels daar op te slaan, waardoor het een geweldige oplossing is voor degenen die er toegang toe moeten hebben op Android of Windows.
Zoals bij de meeste nieuwe functies van Google, worden wachtwoordsleutels geleidelijk uitgerold, dus het is mogelijk dat u er niet meteen een kunt instellen. U kunt controleren of ze voor u beschikbaar zijn door naar http://g.co/passkeys te gaan.
Google Workspace-gebruikers, inclusief degenen met schoolaccounts, moeten wachten tot hun beheerders de functie inschakelen; die mogelijkheid is nog niet beschikbaar, maar Google zegt dat het”binnenkort”komt.
