Over de beveiliging van passkeys
Passkeys zijn een vervanging voor wachtwoorden. U kunt er sneller mee inloggen, ze zijn gemakkelijker te gebruiken en veel veiliger.
Passkeys zijn een vervanging voor wachtwoorden. Hiermee kunt u zich bij websites en apps aanmelden zonder een wachtwoord te gebruiken. Dat is niet alleen handiger, maar ook veiliger. Passkeys zijn een op standaarden gebaseerde technologie die, in tegenstelling tot wachtwoorden, bestand is tegen phishing, altijd sterk is en zo is ontworpen dat er geen gedeelde geheimen zijn. Ze vereenvoudigen de accountregistratie voor apps en websites, zijn gebruiksvriendelijk, werken op al uw Apple apparaten en zelfs op apparaten die niet van Apple zijn en die zich binnen handbereik bevinden.
Beveiliging van inloggegevens
Passkeys zijn gebaseerd op de standaard Web Authentication, of WebAuthn, die cryptografie met openbare sleutels gebruikt. Tijdens de accountregistratie maakt het besturingssysteem een uniek cryptografisch sleutelpaar aan om te koppelen aan een account voor de app of website. Deze sleutels worden door het apparaat gegenereerd, veilig en uniek, voor elke account.
Een van deze sleutels is openbaar en wordt op de server opgeslagen. Deze openbare sleutel is niet geheim. De andere sleutel is privé en is nodig om daadwerkelijk in te loggen. De server komt nooit te weten wat de privésleutel is. Op Apple apparaten met Touch ID of Face ID kunnen ze worden gebruikt om het gebruik van de passkey te autoriseren, waarmee de gebruiker vervolgens bij de app of website wordt geauthenticeerd. Er wordt geen gedeeld geheim overgedragen en de server hoeft de openbare sleutel niet te beschermen. Hierdoor zijn passkeys een zeer sterke en gebruiksvriendelijke manier van inloggen die erg goed bestand is tegen phishing. En platformleveranciers hebben binnen de FIDO Alliance samengewerkt om ervoor te zorgen dat passkey-implementaties compatibel zijn met de verschillende platforms en op zoveel mogelijk apparaten kunnen werken.
Synchronisatiebeveiliging
Passkeys zijn ontworpen om handig en toegankelijk te zijn vanaf alle apparaten die regelmatig worden gebruikt. Passkeys worden gesynchroniseerd tussen de apparaten van een gebruiker met behulp van iCloud-sleutelhanger.
iCloud-sleutelhanger maakt gebruik van end-to-end-encryptie met sterke cryptografische sleutels die niet bekend zijn bij Apple. Het aantal is beperkt om brute-force-aanvallen te voorkomen, zelfs vanuit een geprivilegieerde positie op de cloudback-end. De sleutels kunnen worden hersteld, zelfs als de gebruiker alle apparaten kwijtraakt.
Apple heeft iCloud-sleutelhanger en sleutelhangerherstel zo ontworpen dat de passkeys en wachtwoorden van een gebruiker in de volgende gevallen nog steeds worden beschermd:
De Apple ID-account van een gebruiker die met iCloud wordt gebruikt, is gehackt
iCloud is gehackt door een externe aanval of een medewerker
Een derde partij heeft toegang tot gebruikersaccounts
Beveiligingen bij toegang tot een Apple ID-account
Om te voorkomen dat onbevoegden toegang krijgen, moet voor elke Apple ID die gebruikmaakt van iCloud-sleutelhanger twee-factor-authenticatie worden gebruikt. Als een gebruiker een nieuwe passkey probeert te registreren en twee-factor-authenticatie niet heeft geconfigureerd, zal automatisch worden gevraagd om twee-factor-authenticatie te configureren.
Om voor de eerste keer in te loggen op een nieuw apparaat zijn twee gegevens vereist: het wachtwoord van de Apple ID en een verificatiecode van zes cijfers die op de vertrouwde apparaten van de gebruiker wordt weergegeven of naar een vertrouwd telefoonnummer wordt gestuurd.
Meer informatie over twee-factor-authenticatie
Beveiligingen bij toegang tot iCloud-sleutelhanger
Er is een extra beschermingslaag ingebouwd om te voorkomen dat een ongeautoriseerd apparaat toegang krijgt tot de iCloud-sleutelhanger van een gebruiker. Wanneer een gebruiker iCloud-sleutelhanger voor de eerste keer inschakelt, maakt het apparaat een vertrouwenscirkel aan en creëert het een synchronisatie-identiteit voor zichzelf die bestaat uit een uniek sleutelpaar dat is opgeslagen in de sleutelhanger van het apparaat.
Nieuwe apparaten die zich aanmelden bij iCloud, worden op een van de volgende twee manieren gesynchroniseerd met de iCloud-sleutelhanger:
Door te koppelen met en gesponsord te worden door een bestaand iCloud-sleutelhangerapparaat of
Door iCloud-sleutelhangerherstel te gebruiken.
Herstelbeveiliging
Passkey-synchronisatie biedt gemak en maakt herstelopties overbodig bij verlies van een enkel apparaat. Het is echter ook belangrijk dat passkeys kunnen worden hersteld, zelfs als alle bijbehorende apparaten verloren zijn gegaan. Passkeys kunnen worden hersteld via iCloud-sleutelhangerbewaring, dat ook wordt beschermd tegen brute-force-aanvallen, zelfs door Apple.
iCloud-sleutelhanger bewaart de sleutelhangergegevens van een gebruiker bij Apple zonder dat Apple de wachtwoorden en andere gegevens die erin staan kan lezen. De sleutelhanger van de gebruiker wordt met een sterke toegangscode versleuteld, en de bewaringsservice geeft alleen een kopie van de sleutelhanger als aan een strenge reeks voorwaarden is voldaan.
Om een sleutelhanger te herstellen, moeten gebruikers zich authenticeren met hun iCloud-account en -wachtwoord, en reageren op een sms die naar het geregistreerde telefoonnummer wordt gestuurd. Nadat de gebruikers zich hebben geauthenticeerd en hebben geantwoord, moeten ze hun toegangscode voor het apparaat invoeren. iOS, iPadOS en macOS staan slechts 10 authenticatiepogingen toe. Na meerdere mislukte pogingen wordt de record vergrendeld en moet de gebruiker Apple Support bellen om meer pogingen te krijgen. Na de tiende mislukte poging wordt de bewaringsrecord vernietigd.
Optioneel kunnen gebruikers een accountherstelcontact configureren om ervoor te zorgen dat ze altijd toegang hebben tot hun account, zelfs als ze het wachtwoord van hun Apple ID of de toegangscode voor het apparaat vergeten.
Lees hoe u een accountherstelcontact configureert
Meer informatie
Lees meer over Apple ID-beveiliging en iCloud-sleutelhangerbeveiliging in de Platform Security Guide
