De passkey: onkraakbaar inloggen wordt de norm
Wachtwoorden zijn al decennia de zwakste schakel in onze digitale defensie. Met de opkomst van AI-gestuurde cyberaanvallen is een radicale transitie noodzakelijk. World Passkey Day markeert een kantelpunt in de wereldwijde adoptie van een volledig wachtwoordloze toekomst. Dit schrijven Vasu Jakkal en Nadim Abdo van Microsoft in een blog.
In het huidige digitale landschap is elk account slechts zo veilig als zijn zwakste inloggegeven. Nu cyberaanvallen dankzij kunstmatige intelligentie steeds geautomatiseerder en verfijnder worden, voldoen traditionele wachtwoorden simpelweg niet meer. Phishingcampagnes die door AI worden ondersteund, behalen inmiddels klikpercentages tot wel 54 procent. Het beveiligen van de digitale identiteit vereist daarom een rigoureuze aanpak: het volledig elimineren van kwetsbare inlogmethoden, aldus Microsoft.
Een onkraakbaar alternatief
De oplossing ligt in de zogeheten 'passkey'. In plaats van een te raden of te stelen wachtwoord, maakt een passkey gebruik van een unieke cryptografische sleutel die veilig op het apparaat van de gebruiker is opgeslagen. Inloggen gebeurt lokaal via biometrische gegevens — zoals een vingerafdruk of gezichtsherkenning — of een persoonlijke pincode. Omdat de passkey exclusief gekoppeld is aan de specifieke website of applicatie waarvoor hij is aangemaakt, zijn gebruikers immuun voor misleiding door malafide, nagemaakte websites. Dit maakt passkeys inherent phishing-resistent. Wat vorig jaar nog een langetermijnvisie leek, is veranderd in een stroomversnelling. De transitie naar een wachtwoordloze wereld is nu echt ingezet.
Wereldwijde adoptie versnelt
De adoptie van deze technologie wint in hoog tempo terrein. Volgens schattingen van de FIDO Alliance zijn er wereldwijd inmiddels meer dan vijf miljard passkeys in gebruik. Binnen het consumenten-ecosysteem van Microsoft — waaronder OneDrive, Xbox en Copilot — loggen dagelijks al honderden miljoenen gebruikers wachtwoordloos in. De voordelen zijn evident: de inlogfrequentie is succesvoller en de blootstelling aan identiteitsfraude daalt drastisch. Ook intern heeft Microsoft ingegrepen; inmiddels is 99,6 procent van de eigen medewerkers en apparaten overgezet naar phishing-resistente authenticatie.
Gaten in de achterdeur dichten
Echte vooruitgang vereist echter meer dan alleen een veilige voordeur; ook de achterdeur moet op slot. Aanvallers richten hun pijlen steeds vaker op herstelprocedures (account recovery) om systemen te infiltreren via social engineering. Om dit lek te dichten, introduceert Microsoft vernieuwde cloud- en herstelopties binnen het Entra-platform. Mocht een gebruiker alle inlogmethoden verliezen, dan kan de identiteit veilig worden geverifieerd middels een door de overheid uitgegeven identiteitsbewijs en een biometrische gezichtsscan.
Tegelijkertijd worden oude, onveilige methoden definitief uitgefaseerd. Zo verdwijnen vanaf januari 2027 de traditionele beveiligingsvragen definitief als hersteloptie binnen Microsoft Entra ID. Het verkleinen van het aanvalsoppervlak is urgenter dan ooit, zeker nu autonome AI-agenten steeds vaker namens gebruikers handelen en bij misbruik direct grote schade kunnen aanrichten. De Passkey Pledge, die vorig jaar door tientallen organisaties werd ondertekend, werpt zijn vruchten af. Authenticatie wordt eindelijk eenvoudiger, sneller en fundamenteel veiliger.
