Terug naar Blog
Authentication

Passkeys: de voordelen en risico's van deze nieuwe wachtwoorden

11 juni 2024 · 7 min leestijd · door Matthijs Melissen, Security Specialist & Tech Lead

Artikel inhoud

Wat zijn Passkeys?

Passkeys zorgen ervoor dat gebruikers kunnen inloggen op apps en websites zonder gebruik te maken van wachtwoorden. In plaats van een wachtwoord te gebruiken, bevestigt een gebruiker zijn identiteit met een hardware-authenticator, zoals een vingerafdrukscanner of gezichtsherkenning. Grote spelers zoals Apple, Google, Amazon, eBay, Microsoft, PayPal, WhatsApp en TikTok maken al gebruik van deze technologie.

Hoe werkt een Passkey?

Voor elke website of applicatie worden twee sleutels aangemaakt: een publieke sleutel en een privésleutel. De publieke sleutel is bekend bij de website. De privésleutel is gekoppeld aan je persoonlijke apparaat. Als je publieke sleutel wordt blootgesteld door een datalek, is dat geen probleem - zonder je privésleutel kan een hacker niets doen.

Voordelen van Passkeys

  • Bestand tegen wachtwoord raden: Passkeys zijn zo lang dat het onmogelijk is ze te raden.
  • Voorkomt hergebruik van wachtwoorden: Een Passkey voorkomt het gevaar van hergebruik.
  • Bescherming tegen phishingaanvallen: De sleutels werken alleen op de URL van de echte app of website.

Risico's van Passkeys

WebAuthn, het protocol waarop Passkeys zijn gebaseerd, is van nature zeer veilig. Maar het moet correct worden geimplementeerd. Risico's bij incorrecte implementatie:

  • Ontbrekende handtekeningcontrole: Als deze controle niet wordt uitgevoerd, kan een aanvaller inloggen als elke gebruiker.
  • Verwarring over de oorsprong: Een aanvaller kan een slachtoffer uitnodigen om een kwaadaardige site te bezoeken en de inlogpoging doorsturen naar de echte website.
  • Ontbrekende controles voor gebruikersaanwezigheid en verificatie: Relying parties moeten de aanwezigheid van beide vlaggen verifiëren.
  • Cross-site request forgery-aanvallen: WebAuthn is niet standaard ontworpen om tegen dergelijke kwetsbaarheden te beschermen.
  • Ontbrekende tellercontrole: Maakt het voor aanvallers gemakkelijker om gekloonde authenticators te gebruiken.

Praktische risico's

DEFION Security onderzocht vijf relying parties. We vonden een kwetsbare partij voor Origin verwarring, drie partijen die gebruikersaanwezigheid en verificatie niet correct verifieerden, en een applicatie met een ontbrekende handtekeningteller. Wij hebben de getroffen partijen geinfomeerd en oplossingen geboden.

Dit onderzoek werd uitgevoerd in samenwerking met Peizhou Chen van de Universiteit Twente, die zijn masterthesis over dit onderwerp schreef bij DEFION Security.

Passkeys veilig implementeren?

Onze WebAuthn-specialisten beoordelen de veiligheid van uw Passkey-implementatie.

Neem contact op 24/7 Incident Hotline