De sleutel tot het vereenvoudigen en beveiligen van het maken en converteren van accounts

De kans is groot dat Apple’s release van wachtwoordsleutels als onderdeel van iOS 16 over een paar jaar zal worden herinnerd als het begin van een revolutionaire verandering in de manier waarop bedrijven inloggen voor hun producten implementeren. Biedt u drie verschillende manieren om in te loggen met een ander bedrijf? Of liever helemaal geen vanwege zorgen over privacy en data-eigendom? Uitchecken door gasten toestaan om gebruikers niet te verliezen aan gruwelijke wachtwoordvereisten op de laatste meters? Deze zorgen zullen afnemen zodra consumenten vertrouwd raken met wachtwoorden.

Passkeys worden ondersteund door sterke cryptografie, worden veilig opgeslagen op de apparaten van de gebruiker en worden beschermd door biometrische gegevens. Passkeys zijn gebaseerd op open webstandaarden en vereisen geen integratie met een derde partij. Bedrijven kunnen hun blootstelling aan datalekken verminderen en zich tegelijkertijd voorbereiden op een toekomst zonder cookies door middel van wachtwoordsleutels die vandaag kunnen worden gebruikt.

De behoefte aan accounts – en de uitdagingen om ze aan te bieden
Websitebezoekers en app-gebruikers accounthouders laten worden, is voor veel bedrijven de inzet. Van het aanbieden van content die alleen voor abonnees is, tot het verifiëren dat een bezoeker tot een bepaalde groep behoort, tot het simpelweg opslaan van persoonlijke informatie bij het aanmaken van een account, waardoor meer gepersonaliseerde en gestroomlijnde ervaringen mogelijk zijn.

De meeste bedrijven pakken dit aan door consumenten uit te nodigen een account aan te maken door een wachtwoord in te stellen, een bericht met een link of code te ontvangen of een bestaand account te gebruiken bij een ander bedrijf zoals Google, Apple of Facebook.

Geen van deze opties is vrij van zorgen. Het aanbieden van op wachtwoorden gebaseerde accounts is een zeer grote onderneming in het huidige dreigingslandschap. Social engineering, hergebruik van reeds gecompromitteerde inloggegevens en sim-swapping-aanvallen zijn slechts enkele voorbeelden waarbij systemen en processen verdachte logins moeten kunnen markeren. Dit alles komt bovenop het waarschuwen van gebruikers voor gecompromitteerde wachtwoorden, het blokkeren van geautomatiseerde aanvallen, het melden van accountwijzigingen, het detecteren en afsluiten van valse inlogportals en het beschermen van een enorme voorraad wachtwoorden. Op berichten gebaseerde inlogmechanismen zoals “magic link” delen ook veel van deze problemen.

Er staat veel op het spel voor iedereen die besluit authenticatie helemaal opnieuw op te bouwen, een onderneming die vatbaar is voor fouten. Om deze reden kunnen de meeste kleine en middelgrote bedrijven beter een externe identiteitsprovider gebruiken voor het toevoegen van gebruikersaccounts. Met deze optie is de extra uitdaging om de kosten in evenwicht te houden – vooral bij snelle schaalvergroting – om nog maar te zwijgen van de zorgen over de afhankelijkheid van leveranciers als de gekozen oplossing eenmaal een limiet heeft bereikt.

Federated login, ook algemeen aangeduid als “sociale” login, is bedoeld om de noodzaak weg te nemen om nog een ander wachtwoord te beheren – zowel aan de kant van de consument als aan de zakelijke kant – terwijl de identiteit wordt geverifieerd. Als reactie op gebeurtenissen zoals het Cambridge Analytica-schandaal is het onderhouden van deze integraties van derden echter steeds lastiger geworden.

Reguliere taken zoals de Data Use Checkup van Facebook, de nieuwe vereisten van Apple voor accountbeheer en andere audittaken zijn tijdrovend. Nieuwe onzekerheid wordt geïntroduceerd door gegevensbeschermingswetten zoals GDPR en CCPA, inclusief onderwerpen als gegevensoverdracht tussen regio’s. Exacte beveiligingsspecificaties en garanties zijn meestal niet beschikbaar en kunnen niet worden uitgelegd aan een toezichthouder of cyberverzekeringsverzekeraar. Al met al lijkt de acceptatie en acceptatie van sociale logins al af te nemen.

De hoop die gepaard gaat met toegangssleutels

Wachtwoordsleutels zijn met opzet ontworpen om algemeen bekende zwakke punten van wachtwoorden te verhelpen. Phishing is vanaf het begin aangepakt door wachtwoorden niet alleen te vervangen door cryptografische sleutels, maar door strikt te beperken in welke context (webpaginadomein, specifieke app) een wachtwoordsleutel kan worden gebruikt. De server die authenticatie gebruikt, ziet nooit de gevoelige privésleutels van de gebruiker – en als zodanig is het een veel minder interessant doelwit voor hackers. Gebruikers hebben ook geen directe toegang tot hun privésleutels, maar kunnen deze alleen ontgrendelen tijdens authenticatie met behulp van biometrische gegevens of apparaatwachtwoorden.

Of en hoe deze beveiligingsmaatregelen zullen standhouden, kan alleen door de tijd worden getest, en het zou naïef zijn om aan te nemen dat wachtwoordsleutels niet te hacken zijn. Toch is het zo

redelijk om aan te nemen dat de meerjarige inspanningen van de FIDO Alliance, het W3C en partners zoals Apple, Google en Microsoft hebben geleid tot een van de veiligste systemen die er zijn. Passkeys zullen regelmatige browserupdates nog belangrijker maken, en de mogelijkheid om grote hoeveelheden inloggegevens van websites of cloudgebaseerde wachtwoordmanagers te stelen, wordt geëlimineerd.

Maar het beste deel van wachtwoordsleutels is misschien wel de gestroomlijnde ervaring die consumenten krijgen bij het registreren of gebruiken van een account met wachtwoordsleutels. Binnen enkele seconden een nieuw account aanmaken of inloggen is het nieuwe normaal bij het gebruik van wachtwoordsleutels, maar ongehoord als het om wachtwoorden gaat. Bijkomende overlast zoals periodieke wachtwoordrotaties zijn niet langer een probleem bij het gebruik van wachtwoordsleutels.

Hoewel het misschien nog te vroeg is om dit zeker te weten, hebben wachtwoordsleutels ook de potentie om multi-factor authenticatie (MFA) overbodig te maken. Passkeys bieden hetzelfde of zelfs een hoger beveiligingsniveau in vergelijking met mechanismen zoals een wachtwoord dat wordt aangevuld met een sms als tweede factor. Bedrijven die wachtwoordsleutels implementeren, kunnen aanzienlijke voordelen behalen door te voldoen aan nalevings- en beveiligingsvereisten, wat zich in het geval van cyberverzekeringspremies direct vertaalt in financiële voordelen.

Passkeys zijn tegenwoordig beschikbaar in de echte wereld

Bij KAYAK begonnen we wachtwoordsleutels aan te bieden als de standaardoptie voor het aanmaken van een nieuw account met een ondersteund Apple-apparaat, onmiddellijk toen iOS 16 werd uitgebracht. Bestaande gebruikers kunnen een wachtwoord aan hun account toevoegen. In slechts drie weken tijd hebben duizenden gebruikers wachtwoorden voor onze producten gemaakt. Interessant is dat bijna 20% bestaande gebruikers zijn die handmatig hebben gekozen voor een veiliger account. De feedback die we hebben ontvangen is overweldigend positief (lofbetuigingen zijn niet gebruikelijk voor nieuwe inlogfuncties), waarbij gebruiksgemak een belangrijk genoemd voordeel is.

Consumenten die nog geen wachtwoordsleutels kunnen gebruiken, zullen terugvallen op een “magische link” login, en we verwachten dat het aandeel niet-wachtwoordaanmeldingen in de loop van de tijd zal afnemen totdat wachtwoordsleutels met een grote marge de dominante inlogmethode zullen zijn.