Google Chrome kan nu overal passkeys opslaan
Momenteel beperkt dit zich nog tot Chrome op Android. Heb je een passkey opgeslagen via je Android-telefoon, dan kun je die alleen tevoorschijn halen op je andere Android-telefoons met hetzelfde Google-account. Wil je met die passkey inloggen op je pc? Dat is mogelijk, maar dan moet je wel je telefoon met de benodigde passkey bij de hand hebben. In dat geval vraagt Google je namelijk om een QR-code te scannen met je Android-telefoon, waarna je je vingerafdruk of pincode moet invoeren.
Elk apparaat met Chrome
Dankzij de update voor de Google Password Manager in Chrome is dat binnenkort niet meer nodig. Na de update kun je passkeys opslaan via vrijwel alle Google Chrome-platformen, dus ook via je computer met Linux, macOS en Windows. Ondersteuning voor ChromeOS is in de maak en wordt via een toekomstige update toegevoegd. Naast de mogelijkheid om passkeys via vrijwel alle Chrome-platformen op te slaan, kun je ze ook tussen al je apparaten synchroniseren.
Hierdoor heb je je Android-telefoon of -tablet niet meer nodig om in te loggen met passkeys via Chrome. Na de update kun je namelijk via elk apparaat de passkey verifiëren door je pincode of vingerafdruk in te voeren. Dit hoeft niet dezelfde te zijn als op het apparaat waarop deze passkey voor het eerst werd aangemaakt. Het gaat er puur om dat je je identiteit bevestigt.
Bovendien kun je een passkey niet zomaar gebruiken als je ‘m opslaat in de Google Password Manager. Voor het opslaan en synchroniseren van passkeys heeft Google een Pin Lock-functie toegevoegd aan zijn wachtwoordmanager. Deze pincode zorgt ervoor dat onbevoegden niet bij je passkeys kunnen komen, en ook dat Google ze nooit kan inzien. Zo’n pincode is standaard 6 cijfers lang, maar je kunt ook voor een langere combinatie kiezen. Wil je liever een combinatie van tekens en cijfers, dan kun je daar ook voor kiezen.
Wat is een passkey?
De FIDO Alliance, die de ‘passkey’ ontwikkelde, ziet passkeys als de opvolger van het wachtwoord zoals we dat nu kennen. In plaats van zelf een combinatie van letters en cijfers te verzinnen, bestaan passkeys uit twee delen. Enerzijds is er het gedeelte dat op de server van de dienst staat waar je probeert in te loggen. Het tweede gedeelte is als het ware de sleutel die het slot opent zodra je identiteit is bevestigd.
Die sleutel is echter elke keer anders en cryptografisch beveiligd. Stel dat een website wordt gehackt, dan krijgen de aanvallers alleen het slot in handen. De sleutel bevindt zich in je wachtwoordkluis en om die te openen hebben ze je pincode of vingerafdruk nodig. Dat betekent dat een hacker fysieke toegang nodig heeft tot je apparaat om een passkey te misbruiken. Tenzij ze persoonlijk langskomen, is de wachtwoordsleutel dus veilig.
Dit zorgt er enerzijds voor dat datalekken minder invloed hebben op je online veiligheid. Anderzijds maakt het phishingaanvallen vrijwel onmogelijk. Ook in dat geval moet de hacker fysiek aanwezig zijn om de passkey (via je wachtwoordkluis) van je over te nemen.