Zo wil Apple wachtwoorden overbodig maken

0
194

Passkeys in iCloud Sleutelhanger

De functie is te vinden in iOS 15 en macOS Monterey en staat voorlopig alleen open voor ontwikkelaars. Daarbij wordt een nieuwe WebAuthn-credential vastgelegd in iCloud-sleutelhanger. Apple noemt het een ‘passkey’ en het vervangt een wachtwoord om bijvoorbeeld accounts te maken en in te loggen. In plaats daarvan hoef je nog maar één keer te tikken. Er zijn momenteel al apps waarmee je met bijvoorbeeld Face ID kunt inloggen, maar daarbij gebeurt het maken van het account nog wel op de traditionele manier.

Maak je een account met passkey, dan komt er geen wachtwoord aan te pas. Het enige wat je doet is je vinger of gezicht scannen. Apple regelt het genereren en opslaan van de passkey, zonder dat jij er als gebruiker iets mee te maken hebt. De passkeys zijn end-to-end versleuteld en worden gesynchroniseerd met al je Apple-apparaten via iCloud Sleutelhanger. De inloggegevens blijven bewaard als je Apple-apparaat wordt gestolen of zoekraakt.

Dat er een server aan te pas komt, zal bij sommige mensen misschien argwaan wekken. Waarom is niet alles lokaal? Volgens Apple zijn passkeys echter veiliger dan de meeste inlogmethoden met wachtwoord en tweefactorauthenticatie. Hoe dat zit lees je hieronder.

Waarom wachtwoorden onveilig zijn

Dat zit zo, aldus Garrett Davidson van Apple: een van de grootste voordelen van WebAuthn (de oplossing die Apple wil gaan gebruiken) is dat het publieke/private sleutelparen gebruikt in plaats van gedeelde geheimen. Als je vandaag de dag een wachtwoord invoert, wordt deze onherkenbaar gemaakt met technieken als hashing en salting. Het resultaat is dat een salted hash naar de server wordt gestuurd. Jij en de server hebben dan allebei een kopie van het geheim, ook al is die op de server niet direct leesbaar. Maar het is wel zo dat beide partijen (jij en de eigenaar van de server) verantwoordelijk zijn voor het beschermen van dat geheim.

Waarom passkeys veiliger zijn, volgens Apple

Bij het nieuwe systeem maakt je toestel een set sleutels. De ene is publiek en is met iedereen te delen. De andere is private en is alleen bekend op het toestel zelf. Je toestel deelt deze sleutel nooit met iemand anders, ook niet met een server. Bij het maken van een account genereert je iPhone de twee sleutels en stuurt alleen de publieke sleutel naar de server.

Nu nog een test
Ontwikkelaars kunnen de ondersteuning voor passkeys gemakkelijk inbouwen. Nu werkt het alleen op Apple-apparaten, maar Apple is in gesprek om het ook breder te trekken. Daarvoor worden gesprekken gevoerd met FIDO en het World Wide Web Consortium.

Mocht je met passkeys in iOS 15 aan de slag willen, dan is het goed om te weten dat ze nu nog alleen bedoeld zijn om te testen. Het kan dus zijn dat niet alles werkt en Apple alle passkeys op een gegeven moment weer moet resetten. Als gewone gebruiker heeft het nu ook nog niet zoveel zin om al je wachtwoorden over te zetten, want Apple is van plan om meerdere jaren uit te trekken voor de overstap naar een wachtwoordloze toekomst. Ook andere bedrijven zoals Google en Microsoft zijn ermee bezig.

Voor wie meer wil weten is er de WWDC-sessie ‘Move beyond passwords‘.