Nieuwe productaankondigingen zorgen voor een impuls voor wachtwoordsleutels - digitale inloggegevens die authenticatie zonder wachtwoord mogelijk maken met behulp van privécryptografische sleutels. Deze week hebben Apple en Google, evenals toonaangevende aanbieders van wachtwoordbeheer 1Password en Dashlane, hun ondersteuning voor wachtwoordsleutels verder uitgebreid.
Apple, vorig jaar de eerste die passkey-ondersteuning bood op zijn iOS-platform, gaf deze week een boost aan zijn passkeys tijdens de Worldwide Developers Conference (WWDC) van het bedrijf. Apple heeft een API aangekondigd waarmee wachtwoordsleutels kunnen werken met software van derden. De API is ontworpen voor de najaarsrelease van iOS 17, de jaarlijkse update van het mobiele besturingssysteem, waarvan een voorproefje wordt gegeven op WWDC.
Apple breidt ook de ondersteuning voor wachtwoordsleutels in zijn Safari-browser op Macs, iPhones en iPads uit. De uitgebreide wachtwoordsleutelondersteuning verschijnt in Apple's Safari 17-browser, vooraf bekeken op de WWDC. Er is nu een openbare bètaversie beschikbaar, met een algemene release voor dit najaar.
Een voordeel van wachtwoordsleutels is dat ze het inloggen kunnen versnellen. Gegevens die Google vorige maand gepubliceerd toonde aan dat gebruikers zich met wachtwoordsleutels konden authenticeren in gemiddeld 14.9 seconden, de helft van de 30.4 seconden die nodig zijn om in te loggen met wachtwoorden.
Voorstanders van wachtwoordsleutels zeggen ook dat ze beter bestand zijn tegen phishing-aanvallen dan sms, eenmalige wachtwoorden (OTP's) en diverse andere vormen van multifactor authenticatie (MFA) omdat elk een unieke privé- en openbare sleutel heeft die is gekoppeld aan een specifiek apparaat.
Bovendien zijn wachtwoordsleutels bestand tegen phishing omdat ze vertrouwen op biometrische identificatie, zoals gezichts- of aanraak-ID, in plaats van wachtwoorden. Omdat de privésleutel het apparaat nooit verlaat, kan deze niet gemakkelijk worden gestolen, terwijl de openbare sleutels zich zowel op het apparaat als op de applicatie of website bevinden.
De adoptie van Apple geeft een impuls aan de markt
Met de passkey-API van Apple kunnen ontwikkelaars hun wachtwoordsleutels integreren in apps van derden, waaronder wachtwoordbeheerders, om wachtwoordsleutels te delen. Volgens Apple is het passkey API zal ondersteunen Beheerde Apple ID's, waardoor synchronisatie mogelijk is met behulp van iCloud-sleutelhanger en toegangscontrole om te beheren hoe gebruikers kunnen synchroniseren en toegangssleutels kunnen delen.
Dankzij de beheerde Apple ID-ondersteuning voor iCloud Keychain kunnen externe wachtwoordbeheerders van bedrijven, waaronder 1Password en Dashlane, iOS-, iPadOS- en macOS-wachtwoorden opslaan en uitwisselen. Passkeys kunnen de biometrische verificatie van Autofill, Face ID of Touch ID van het bedrijf op Apple-apparaten gebruiken.
1Password heeft deze week bèta-extensies aangekondigd voor Safari op macOS, evenals de browsers Chrome, Firefox, Edge en Brave op macOS, Windows en Linux. In een blogpost deze week zei 1Password chief product officer Steve Won dat de API dat wel zou doen maak wachtwoordsleutels nuttiger op iPhones.
"De API stelt wachtwoordbeheerders zoals 1Password in staat om wachtwoordsleutels te maken en te gebruiken in elke native app die wachtwoordsleutelondersteuning heeft toegevoegd, inclusief Safari," merkte Won op. Volgens Won integreren de ontwikkelaars van 1Password nu de nieuwe passkey-API in hun wachtwoordbeheerder.
Hoewel Google eerder dit jaar zijn passkeys-API voor Android had uitgebracht, wachtten ontwikkelaars op de vergelijkbare iOS-API van Apple. "Deze verandering naar iOS is het laatste stukje van de puzzel waarmee externe providers toegangssleutels volledig kunnen omarmen", schreef Dashlane-directeur productengineering en innovatie Rew Islam in een blogpost aankondiging van zijn iOS-ondersteuning. "Dashlane biedt ondersteuning voor wachtwoordsleutels in zowel iOS als Android, waardoor het gebruik van wachtwoordsleutels naadloos wordt."
Google-wachtwoorden zijn een serieuze zaak
Gebruikers en beheerders van Google Workspace en Google Cloud kunnen nu inloggen op hun accounts met hun wachtwoordsleutels. Google heeft deze week aangekondigd dat wachtwoordsleutelauthenticatie beschikbaar is in open bèta voor meer dan 9 miljoen organisaties met Google Workspace- en Google Cloud-accounts. Hoewel Google gebruikers blijft laten inloggen op hun zakelijke en persoonlijke accounts met wachtwoorden, ziet het bedrijf wachtwoorden als een eenvoudigere en veiligere vorm van authenticatie.
"Wanneer een gebruiker zich aanmeldt met een wachtwoordsleutel bij zijn Workspace-apps, zoals Gmail of Google Drive, kan het wachtwoord bevestigen dat een gebruiker toegang heeft tot zijn apparaat en het kan ontgrendelen met een vingerafdruk, gezichtsherkenning of een ander schermvergrendelingsmechanisme. ”, merkten Google Workspace engineering manager Shruti Kulkarni en productmanager Jeroen Kemperman op in een 5 juni 2023, blogpost. "De biometrische gegevens van de gebruiker worden nooit naar de servers van Google of andere websites en apps gestuurd."
Andrew Shikiar, uitvoerend directeur van de FIDO Alliance, ziet de nieuwste stap van Google als een belangrijke impuls voor wachtwoordsleutels. "Het is een enorm, enorm statement dat toegangssleutels klaar zijn voor primetime en daarna", zegt Shikiar. "We denken dat dit de verdere acceptatie van wachtwoordsleutels zal helpen versnellen." Passkey-technologie is gebaseerd op de FIDO Alliance-specificatie die de World Wide Web Consortium's (W3C) implementeert WebAuthn-standaard.
Passkey-piloten zijn er in overvloed in de Enterprise
Shikiar zegt dat het aantal organisaties dat pilots uitvoert met wachtwoordsleutels blijft toenemen. Onder hen zijn verschillende grote banken, PayPal, Home Depot, Hyatt Hotels, Intuit en Shopify. Hyatt heeft gebruikt FIDO-verificatie met YubiKeys van Yubico om hotelbedienden en callcentermedewerkers wachtwoordloze authenticatie te geven.
"Ze hebben veel werk verzet door FIDO en wachtwoordsleutels te gebruiken, en als je naar de World of Hyatt-app kijkt, hebben ze daar geïnvesteerd in het beschermen van de informatie van hun klanten", zegt Derek Hanson, Yubico's VP van oplossingenarchitectuur en allianties .
In april van dit jaar heeft Hyatt wachtwoordsleutelondersteuning toegevoegd aan zijn World of Hyatt-app. In het begin verliepen de inschrijvingen traag, maar het aantal inschrijvingen met toegangscodes nam enorm toe op de dag dat Google de ondersteuning voor toegangscodes aankondigde in Google Accounts. "We zagen een piek in het maken van toegangscodes op de aankondigingsdag van Google", zegt Hyatt senior productmanager Hannah Hodak. "Sindsdien hebben we ook een kleine maar algemene toename gezien in het maken van toegangssleutels."
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- EVM Financiën. Uniforme interface voor gedecentraliseerde financiën. Toegang hier.
- Quantum Media Groep. IR/PR versterkt. Toegang hier.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/dr-tech/apple-and-google-expand-support-for-passkeys
