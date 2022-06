Arm, arm brein. Naast andermans verjaardagen, Duitse voorzetsels en twaalf provincies met hoofdsteden moet je ook nog eens stapels wachtwoorden bedenken en onthouden. Bank. Bioscoop. Facebook. Netflix. Nieuwssite. Reisbureau. Webwinkel. Alles heeft een account en het leven zit vol logins.

Het wachtwoord is een beroerde oplossing voor een fundamenteel probleem van onlinediensten: hoe bewijs je wie er aan de andere kant van de lijn zit? Wachtwoorden worden vergeten, gephished, ontfutseld en verhandeld. Met 1q2w3e (nummer zeven op de lijst van meest gebruikte wachtwoorden) kun je niet meer aankomen. Hergebruik van wachtwoorden is een doodzonde, toch doet iedereen het.

Dan nu het goede nieuws. De drie grootste aanbieders van consumententechnologie – Apple, Google en Microsoft – willen dat je je wachtwoorden vergeet. Dat doen zij namelijk ook. De techbedrijven bedachten iets beters om je online accounts mee te beveiligen: de beveiligingssleutel of passkey.

Het is een beveiligingsmethode die vooral IT-professionals gebruiken, met een losse usb-sleutel bijvoorbeeld. Nu krijgen consumenten op grote schaal beschikking over hetzelfde gereedschap. Apple kondigde vorige week aan datbeveiligingssleutels vanaf dit najaar in nieuwe besturingssystemen voor iPhones en MacBooks zitten. De andere techgiganten volgen snel.

Hoe werken die sleutels? Bij het aanmaken van een account voor bijvoorbeeld een app, moet je nog wel een gebruikersnaam verzinnen. Maar een wachtwoord is niet nodig; in plaats daarvan maakt de software één cryptografisch sleutelpaar aan: een publieke en een privésleutel. De publieke sleutel gaat naar de app, de privésleutel staat op jouw telefoon of computer – en kan door niemand gelezen worden.

Zodra je inlogt stuurt de publieke sleutel een rekensommetje dat alleen jouw privésleutel kan oplossen. Duizelt het? Alle complexiteit blijft achter de schermen. Er is alleen een vingerafdruk of gezichtsscan nodig. Dat gaat sneller dan op zoek gaan naar je wachtwoord of aanvinken dat je voor de zoveelste keer je wachtwoord vergeten bent.

Apple bewaart beveiligingssleutels in iCloud, zodat je ze op meerdere Apple-apparaten kunt gebruiken. Het werkt met een QR-code ook op Windows-computers. De sleutels zijn gebaseerd op een open standaard, WebAuthn, en ontwikkeld in de FIDO Alliantie. Die club sleutelt al tien jaar aan een alternatief voor het wachtwoord. Alle grote webbrowsers, banken (ING), sociale media (Twitter, Meta) en webwinkels (Amazon) doen er aan mee. Zelfs Netflix.

De beveiligingssleutel is dus niet Apples uitvinding, maar het helpt wel als ’s werelds grootste hardwareverkoper zijn schouders achter deze techniek zet. In dit geval kan Apple zijn marktmacht ten goede gebruiken.

Ik heb te veel vaporware en slideware gezien (uitvindingen die niet verder komen dan de Powerpointpresentatie) om niet meteen te juichen bij grote technische beloften. Maar de invoering van beveiligingssleutels is een monumentale upgrade.

Het wachtwoord is een van die bouwstenen van het web die al sinds het eerste begin los zit. Als een Jenga-toren die harder wankelt naarmate je hoger komt. Er zijn trucs om dat gebrek te maskeren – wachtwoordmanagers, extra tijdelijke codes, versleutelde databases – maar die zijn ook fraudegevoelig. Inloggen met een wachtwoord blijft kwetsbaar. De beveiligingssleutels vormen een solide basis om verder te bouwen en het criminelen lastiger te maken om je online identiteit te misbruiken.

Al is het einde in zicht, wachtwoorden zullen niet meteen verdwijnen. Maar het zullen er steeds minder worden. Zodat je hoofd weer ruimte heeft voor verjaardagen en Duitse rijtjes.

Marc Hijink schrijft op deze plek over technologie. Twitter: @MarcHijinkNRC.

