WhatsApp werkt aan passkeys-ondersteuning
Momenteel kunnen WhatsApp-accounts enkel beveiligd worden met een extra pincode. Een nieuwe WhatsApp-bèta voor Android onthult ditmaal dat er een nieuwe beveiligingsoptie op komst is. In een toekomstige versie van de chatdienst zou Meta ondersteuning voor passkeys willen aanbieden. In de recent uitgebrachte testversie (2.23.17.5) wist WaBetaInfo die passkeys-instelling al in te schakelen.
Op een gedeelde schermafbeelding zien we de optie om passkey-beveiliging in te schakelen. Volgens de uitleg slaat WhatsApp de passkeys op in Google’s Password Manager. Met de optie ingeschakeld, moet je eerst je “vingerafdruk, gezichtsscan of vergrendelscherm-code” invoeren om in te loggen op WhatsApp.
Dit betekent ook dat kwaadwillenden niet zomaar kunnen inloggen op jouw account. Zelfs als ze het bijbehorende telefoonnummer in handen krijgen kunnen ze niet inloggen. Hiervoor is immers steeds de passkey (uit Google’s Password Manager) en een extra verificatie vereist. Gezien je dit niet tussen apparaten kan uitwisselen, kan je WhatsApp-account enkel in verkeerde handen vallen als je telefoon werd gestolen.
Zo werken passkeys
Passkeys vliegen links en rechts om onze oren. Maar: wat is het eigenlijk, zo’n passkey? FIDO, die de nieuwe inlogstandaard ontwikkelde, ziet het als dé opvolger van het aloude wachtwoord. Je hoeft bij passkeys dan ook geen wachtwoord meer in te vullen. Zodra je via een ondersteunde app zo’n ‘key’ aanmaakt, is het bij de volgende login enkel nog nodig om een (biometrische) verificatie te voorzien.
Het aanbod van diensten dat passkeys ondersteunt is nog wel relatief beperkt. Weten welke apps en services met de nieuwe inlogstandaard werken? 1Password houdt daar continu een lijst van bij.
Verificatie via e-mail
Passkeys is niet de enige verificatie-optie die op komst is. WaBetaInfo vond in recente testversies van de chatdienst ook aanwijzingen voor e-mailverificatie. Hoe dit systeem exact werkt, blijft op dit punt ongeweten. Mogelijk stuurt WhatsApp verificatiecodes naar je e-mailadres om je identiteit te bevestigen. Of dit de verificatiecode die het naar het gekoppelde telefoonnummer stuurt vervangt, blijft eveneens ongeweten.