UITGELEGD: Hoe Microsoft, Apple en Google ons van paswoorden willen verlossen

“Er is geen twijfel: mensen zullen steeds minder gebruik gaan maken van paswoorden. Ze zijn nu eenmaal niet geschikt om iets deftig te beveiligen”, het is een vrij vertaalde uitspraak van Bill Gates uit 2004. Toen al voorspelde de man het einde van het paswoord, maar elke internetgebruiker heeft er toch nog ongeveer 38 te onthouden op dit moment. Het duurde namelijk even voor de tijd er rijp voor was, maar nu is het eindelijk zover.

Microsoft, Apple en Google ondersteunen de FIDO-alliantie. Ze zullen kort samengevat allemaal dezelfde technologie gebruiken die paswoorden overbodig maakt. Hoe ze dat doen? Door volop in te zetten op biometrie: vingerafdrukken en gezichtsherkenning, zeg maar. Of de pincode waarmee je je toestellen nu al ontgrendelt.

“De bedoeling is om in de toekomst op eender welke applicatie of website te kunnen inloggen zonder een paswoord in te geven”, zegt Nico Sienaert, cyberveiligheidsspecialist bij Microsoft. “De uitdaging was standaardisering. Maar er is nu een akkoord tussen al deze spelers om samen te werken zodat er op dezelfde manier op applicaties en websites kan ingelogd worden zonder een paswoord in te geven.”

Over 't algemeen is de regel bij computerspecialisten: hoe makkelijker je kan inloggen, hoe minder veilig het is. FIDO probeert dat min of meer te ontkrachten. Het staat voor ‘Fast IDentity Online’. FIDO gebruikt een virtuele sleutelkast op bijvoorbeeld je smartphone waarin het sleutels opslaat die toegang geven tot je apps en favoriete websites. Die sleutels krijg je als gebruiker niet te zien, ze worden pas bovengehaald als je je identificeert op je toestel.

Wil je nu inloggen bij een website ,dan geef je doorgaans een paswoord in. Maar zodra FIDO geïntegreerd is, kan je dat met je vingerafdruk of met gezichtsherkenning doen. Achter de schermen wordt een virtuele sleutel uit jouw sleutelkast gebruikt om in te loggen bij die website, maar daar merk je zelf niet veel van. Het systeem is simpel en veilig. Het combineert namelijk twee beveiligingsstappen: je gebruikt een sleutel om in te loggen (vroeger was dat je paswoord) én je identiteit wordt gecontroleerd om zeker te zijn dat die sleutel wel van jou is.

Zowel Microsoft, Google als Apple gebruiken al systemen om paswoordloos in te loggen voor hun eigen apps en websites. Maar nu zullen ze die op elkaar afstemmen. Bovendien werken ze binnenkort systemen uit om ervoor te zorgen dat je bij verlies van een toestel toch snel weer kan inloggen bij al je websites en apps. Door je sleutels te bewaren op hun eigen servers (in de cloud) en die vervolgens naar je nieuwe toestel te sturen bijvoorbeeld.

“Een paswoord kan je vergeten of kan geraden worden”, zegt Sienaert. “Dus dit is absoluut een meerwaarde. Het is lastig om een tijdstip te kleven op wanneer het zover is, maar het is een kwestie van maanden zodra er een werkende, eenvormige oplossing is afgesproken.”

Dat is maar goed ook, want phishing is een gigantisch probleem. Hackers slagen er ook steeds vaker in om databases vol gebruikersnamen en paswoorden te stelen. Vervolgens bieden ze die soms te koop aan. Via websites als haveibeenpwned.com kan je checken of jouw gegevens daar ook bij zijn.

Paswoordloos inloggen is dus ook iets waar heel wat gebruikers naar uitkijken. Je hebt namelijk minder kans dat criminelen je accounts kunnen hacken: “Hackers breken niet in, ze loggen in. Ze zijn dus steeds op zoek naar paswoorden”, aldus Sienaert. “Door paswoordloos te gaan is het gevaar op phishing en andere technieken om paswoorden te stelen vele malen kleiner.”

Het werkt écht. Wat influencers aanprijzen, kopen we: 1 op 3 Belgen volgt hun advies (+)

Uitgelegd in 127 seconden: wat zijn cryptomunten nu echt en hoe gebruik je ze?