Passkeys zijn ontwikkeld om het systeem van gebruikersnamen en wachtwoorden te vervangen en online accounts beter te beveiligen. Partijen als Apple en Google misbruiken deze nieuwe technologie om mensen ‘in te sluiten’ in hun ecosysteem. “Deze gesloten benadering vermindert de waarde van Passkeys voor iedereen, wat de kans dat ze algemeen worden geaccepteerd verkleint. Dat is juist cruciaal als ze ooit wachtwoorden willen vervangen.” Dat schrijft Son Nguyen, Product Manager bij Proton en oprichter en CEO van SimpleLogin.
Passkeys zijn een relatief nieuwe beveiligingsmethode om je aan te melden bij applicaties en websites. Ze zijn gebaseerd op de beveiligingsstandaard WebAuthn, wat staat voor Web Authentication. Daarmee kunnen aanbieders van sociale media, betaaldiensten of online services sterke authenticatie inbouwen in hun diensten door gebruik te maken van geregistreerde apparaten van klanten, zoals een smartphone of laptop.
Passkeys werken volgens de principes van asymmetrische cryptografie. Dat betekent dat er twee sleutels zijn: een public key en een private key. Alleen met behulp van dit sleutelpaar is het mogelijk om in te loggen bij een online dienst. De publieke sleutel wordt opgeslagen bij een app of website. Om hier te kunnen inloggen, moet je aantonen dat jij de privésleutel bezit die bij de publieke sleutel hoort. Deze is opgeslagen op je mobiele telefoon, tablet of computer.
Passkeys werken als volgt. Allereerst moet je een Passkey aanmaken voor de account waar je deze wil toepassen, bijvoorbeeld voor je Facebook-profiel. Facebook genereert via haar website of app de publieke sleutel. De privésleutel wordt op je toestel opgeslagen en bevat een pincode, vingerafdruk, gezichtsprofiel, ontgrendelingspatroon of wachtwoord. Om in te loggen dient je apparaat een aanvraagverzoek in. Facebook kijkt of de privésleutel van jouw account past bij de publieke sleutel die bekend is bij het platform. Als dat het geval is wordt je aanvraag om in te loggen goedgekeurd.
In ons achtergrondartikel ‘FIDO: kun je veilig inloggen zonder wachtwoord?’ staan we uitgebreid stil bij deze beveiligingsmethode.
Passkeys zijn bedacht om wachtwoorden te vervangen en internetgebruikers de mogelijkheid te bieden om ‘sneller, eenvoudiger en veiliger’ aan te melden voor websites en apps. De beschikbaarheid van Passkeys heeft er volgens Son Nguyen niet toe geleid dat deze idealen worden verwezenlijkt.
Als voorbeeld noemt hij Apple en Google. Nguyen beschuldigt de bedrijven ervan dat ze Passkeys gebruiken om gebruikers op te sluiten in hun ‘ommuurde tuinen’. “Deze gesloten benadering vermindert de waarde van Passkeys voor iedereen, wat de kans dat ze algemeen worden geaccepteerd verkleint”, zo zegt de Product Manager bij VPN-aanbieder Proton.
Apple was het eerste grote techbedrijf dat in 2022 Passkeys ondersteunde. “Apple heeft zich echter vooral gericht op het optimaliseren van Passkeys om alleen met zijn eigen producten te werken in plaats van er een interoperabele, eenvoudig te gebruiken functie van te maken”, zo stelt Nguyen. Als je bijvoorbeeld een Passkey aanmaakt op een iPhone, synchroniseert deze met al je Apple-producten. Het is echter ‘ongelooflijk moeilijk’ om deze Passkey te gebruiken op een Windows- of Android-apparaat, omdat er geen automatische synchronisatie plaatsvindt. “Dit heeft helaas een precedent geschapen dat iedere grote uitrol van Passkeys heeft gevolgd”, aldus Nguyen.
Bij Google is het helaas niet anders. Als je Chrome gebruikt op een Mac-computer, dan maakt de webbrowser gebruik van de Apple Keychain functie om wachtwoorden op te slaan en te beheren. Dat betekent dat je wachtwoorden niet kunt synchroniseren met je Chrome-profiel op andere apparaten. “En als je Chrome een fijne webbrowser vindt maar de voorkeur geeft aan een wachtwoordmanager van een derde partij om Passkeys op te slaan, dan dwingt Google je via een langdurig proces om je af te melden voor Google Password Manager”, zo schrijft Nguyen.
Verder zegt hij: “Zowel Apple als Google verhindert gebruikers dat ze hun wachtwoorden kunnen exporteren. Dat betekent dat je ze allemaal opnieuw moet aanmaken als je wilt overstappen naar een andere wachtwoordmanager. Beide bedrijven gebruiken bovendien closed-source Passkey implementaties, waardoor het moeilijker is voor onafhankelijke experts om hun veiligheid te controleren.”
De conclusie van Nguyen is dat Apple en Google klanten dwingt om gebruik te blijven maken van hun ecosysteem als ze werken met Passkeys. Dat komt er feitelijk op neer dat de techbedrijven vendor lock-in verder versterken. “Dit beperkt hun potentieel ernstig en offert hun nut op, alleen maar zodat Big Tech een gracht aan zijn ommuurde tuin kan toevoegen.”
“Bij Proton geloven we dat online privacy en beveiliging voor iedereen toegankelijk moeten zijn. Als we een beter internet voor iedereen willen, moet iedereen kunnen profiteren van de nieuwste ontwikkelingen op het gebied van beveiliging”, zo eindigt Nguyen zijn blog.
