Over de beveiliging van passkeys

Passkeys zijn een vervanging voor wachtwoorden. Ze zijn sneller om mee in te loggen, gemakkelijker te gebruiken en veel veiliger.

Passkeys zijn een vervanging voor wachtwoorden die zijn ontworpen om websites en apps een wachtwoordloze inlogervaring te bieden die zowel handiger als veiliger is. Passkeys zijn een op standaarden gebaseerde technologie die, in tegenstelling tot wachtwoorden, bestand is tegen phishing, altijd sterk is en zo is ontworpen dat er geen gedeelde geheimen zijn. Ze vereenvoudigen accountregistratie voor apps en websites, zijn gemakkelijk te gebruiken en werken op alle Apple apparaten en zelfs niet-Apple apparaten die fysiek in de buurt zijn.

Beveiliging van inloggegevens

Passkeys zijn gebaseerd op de standaard Web Authentication, of WebAuthn, die cryptografie met openbare sleutels gebruikt. Tijdens de accountregistratie maakt het besturingssysteem een uniek cryptografisch sleutelpaar aan om te koppelen aan een account voor de app of website. Deze sleutels worden door het apparaat gegenereerd, veilig en uniek, voor elke account.

Een van deze sleutels is openbaar en wordt op de server opgeslagen. Deze openbare sleutel is niet geheim. De andere sleutel is privé en is nodig om daadwerkelijk in te loggen. De server komt nooit te weten wat de privésleutel is. Op Apple apparaten met Touch ID of Face ID kunnen ze worden gebruikt om het gebruik van de passkey te autoriseren, waarmee de gebruiker vervolgens bij de app of website wordt geauthenticeerd. Er wordt geen gedeeld geheim overgedragen en de server hoeft de openbare sleutel niet te beschermen. Hierdoor zijn passkeys een zeer sterke en gebruiksvriendelijke manier van inloggen die erg goed bestand is tegen phishing. En platformleveranciers hebben binnen de FIDO Alliance samengewerkt om ervoor te zorgen dat passkey-implementaties compatibel zijn met de verschillende platforms en op zoveel mogelijk apparaten kunnen werken.

Synchronisatiebeveiliging

Passkeys zijn ontworpen om handig en toegankelijk te zijn vanaf alle apparaten die regelmatig worden gebruikt. Passkeys worden gesynchroniseerd tussen de apparaten van een gebruiker met behulp van iCloud-sleutelhanger.

iCloud-sleutelhanger maakt gebruik van end-to-end-encryptie met sterke cryptografische sleutels die niet bekend zijn bij Apple. Het aantal is beperkt om brute-force-aanvallen te voorkomen, zelfs vanuit een geprivilegieerde positie op de cloudback-end. De sleutels kunnen worden hersteld, zelfs als de gebruiker alle apparaten kwijtraakt.

Apple heeft iCloud-sleutelhanger en sleutelhangerherstel zo ontworpen dat de passkeys en wachtwoorden van een gebruiker in de volgende gevallen nog steeds worden beschermd:

  • De Apple Account van een gebruiker die met iCloud wordt gebruikt, is gehackt

  • iCloud is gehackt door een externe aanval of een medewerker

  • Een derde partij heeft toegang tot gebruikersaccounts

Bescherming bij toegang tot Apple Account

Om te voorkomen dat onbevoegden toegang krijgen, moet voor elke Apple Account die gebruikmaakt van iCloud-sleutelhanger twee-factor-authenticatie worden gebruikt. Als een gebruiker een nieuwe passkey probeert te registreren en twee-factor-authenticatie niet heeft geconfigureerd, zal automatisch worden gevraagd om twee-factor-authenticatie te configureren.

Om voor de eerste keer in te loggen op een nieuw apparaat zijn twee gegevens vereist: het wachtwoord van de Apple Account en een verificatiecode van zes cijfers die op de vertrouwde apparaten van de gebruiker wordt weergegeven of naar een vertrouwd telefoonnummer wordt gestuurd.

Meer informatie over twee-factor-authenticatie

Beveiligingen bij toegang tot iCloud-sleutelhanger

Er is een extra beschermingslaag ingebouwd om te voorkomen dat een ongeautoriseerd apparaat toegang krijgt tot de iCloud-sleutelhanger van een gebruiker. Wanneer een gebruiker iCloud-sleutelhanger voor het eerst inschakelt, stelt het apparaat een vertrouwenscirkel vast en creëert het een synchronisatie-identiteit voor zichzelf die bestaat uit een uniek sleutelpaar dat is opgeslagen in de sleutelhanger van het apparaat.

Nieuwe apparaten die zich aanmelden bij iCloud, worden op een van de volgende twee manieren gesynchroniseerd met de iCloud-sleutelhanger:

  • Door te koppelen met en gesponsord te worden door een bestaand iCloud-sleutelhangerapparaat of

  • Door iCloud-sleutelhangerherstel te gebruiken.

Herstelbeveiliging

Passkey-synchronisatie biedt gemak en maakt herstelopties overbodig bij verlies van een enkel apparaat. Het is echter ook belangrijk dat passkeys kunnen worden hersteld, zelfs als alle bijbehorende apparaten verloren zijn gegaan. Passkeys kunnen worden hersteld via iCloud-sleutelhangerbewaring, dat ook wordt beschermd tegen brute-force-aanvallen, zelfs door Apple.

iCloud-sleutelhanger bewaart de sleutelhangergegevens van een gebruiker bij Apple zonder dat Apple de wachtwoorden en andere gegevens die erin staan kan lezen. De sleutelhanger van de gebruiker wordt met een sterke toegangscode versleuteld, en de bewaringsservice geeft alleen een kopie van de sleutelhanger als aan een strenge reeks voorwaarden is voldaan.

Om een sleutelhanger te herstellen, moeten gebruikers zich authenticeren met hun iCloud-account en -wachtwoord, en reageren op een sms die naar het geregistreerde telefoonnummer wordt gestuurd. Nadat de gebruikers zich hebben geauthenticeerd en hebben geantwoord, moeten ze hun toegangscode voor het apparaat invoeren. iOS, iPadOS en macOS staan slechts 10 authenticatiepogingen toe. Na meerdere mislukte pogingen wordt de record vergrendeld en moet de gebruiker Apple Support bellen om meer pogingen te krijgen. Na de tiende mislukte poging wordt de bewaringsrecord vernietigd.

Optioneel kunnen gebruikers een accountherstelcontact configureren om ervoor te zorgen dat ze altijd toegang hebben tot hun account, zelfs als ze het wachtwoord van hun Apple Account of de toegangscode voor het apparaat vergeten.

Lees hoe je een herstelcontact configureert

Meer informatie

Lees meer over Apple Account-beveiliging en iCloud-sleutelhangerbeveiliging in de Platform Security Guide

Publicatiedatum: