Wat is wachtwoordloos (passwordless)?
In de volksmond is “wachtwoordloos” een afkorting voor “wachtwoordloze authenticatie (passwordless authentication)”.
De informatie die gebruikers kunnen verstrekken voor authenticatie kan hoofdzakelijk in drie typen worden gecategoriseerd:
- Iets dat de gebruiker weet, zoals wachtwoorden, wachtwoordherstelvragen en -antwoorden (vaak zijn vragen en antwoorden gebaseerd op persoonlijke ervaringen uit het verleden).
- Iets dat de gebruiker heeft, zoals een mobiele telefoon, Eenmalig wachtwoord (One-time password, OTP) , of hardware token.
- Iets dat de gebruiker is, zoals vingerafdrukken, gezichtsherkenning en andere biometrische identificatiemiddelen.
Wachtwoordloze authenticatie (passwordless authentication) is een authenticatiemethode die gebruikers in staat stelt om in te loggen op computersystemen zonder een wachtwoord of een andere kennisgebaseerde geheim te hoeven invoeren (of onthouden). In de meest voorkomende implementaties moeten gebruikers hun gebruikersidentificatie (gebruikersnaam, e-mailadres, telefoonnummer, etc.) invoeren en vervolgens het authenticatieproces voltooien door op andere manieren veilig bewijs van identiteit te leveren.
Waarom wachtwoordloze authenticatie (passwordless authentication) gebruiken?
Hoewel het gebruik van wachtwoorden geleidelijk afneemt, worden ze wereldwijd nog steeds veel gebruikt. De belangrijkste reden is dat op wachtwoorden gebaseerde systemen het gemakkelijkst en goedkoopst te implementeren zijn.
Bovendien zijn wachtwoorden de belangrijkste oorzaak van datalekken. Om ze gemakkelijker te onthouden, gebruiken veel mensen vaste patronen in hun wachtwoorden, zoals het gebruik van verjaardagen of lettercombinaties van een numeriek toetsenbord voor puur numerieke wachtwoorden. Dit maakt het kraken van wachtwoorden veel eenvoudiger. In werkelijkheid gebruiken veel mensen onbewust hetzelfde wachtwoord op meerdere platforms, wat het risico op wachtwoordcompromis verder vergroot.
Last but not least, wachtwoorden zijn lastig voor gebruikers: ze zijn moeilijk te onthouden en omslachtig te beheren. Om te voorkomen dat ze een uniform wachtwoord in alle scenario’s gebruiken, hebben gebruikers speciale tools nodig om verschillende wachtwoorden vast te leggen. Bovendien, omdat wachtwoorden op verschillende plaatsen worden gebruikt, moeten ze mogelijk constant worden opgezocht. Dit vormt een aanzienlijke overlast voor het gebruik van wachtwoorden.
Aan de andere kant zijn wachtwoordloze technologieën zoals biometrie of OTP zeer handig en gebruiksvriendelijk. Idealiter zouden gebruikers op elk moment en overal direct kunnen authenticeren met hun biometrie. In de huidige wereld, waar mobiele telefoons onmisbaar zijn, kan alle verificatie met betrekking tot “iets dat de gebruiker heeft” meestal via de telefoon worden gedaan.
Wat is het verschil tussen wachtwoordloze authenticatie (passwordless authentication) en multi-factor authenticatie (MFA)?
Wachtwoordloze authenticatie (passwordless authentication) en Multifactor authenticatie (Multi-factor authentication, MFA) worden soms in vergelijkbare contexten genoemd. Daarom is het noodzakelijk om deze twee termen afzonderlijk te definiëren en het verschil ertussen te begrijpen:
- Wachtwoordloze authenticatie vervangt op wachtwoorden gebaseerde authenticatie door andere factoren.
- MFA verwijst naar het gebruik van twee of meer authenticatiefactoren om de identiteit van een gebruiker te verifiëren.
“Factoren” zijn serieus de drie verschillende typen autorisatie-informatie die we eerder hebben genoemd. Bijvoorbeeld, als een gebruiker alleen een e-mailadres + OTP gebruikt tijdens authenticatie, is dit een factor die verband houdt met “iets dat de gebruiker heeft”, en we kunnen de authenticatie van de gebruiker als wachtwoordloos beschouwen.
Veelvoorkomende MFA-implementaties omvatten het gebruik van een tweede (wachtwoordloze) authenticatiefactor om een wachtwoord te versterken, maar MFA kan ook volledig wachtwoordloos zijn. Bijvoorbeeld, een applicatie kan een vingerafdruk gebruiken als de eerste authenticatiefactor en e-mailadres + OTP als de tweede authenticatiefactor.
Wat is het verschil tussen wachtwoordloos (passwordless) en SSO?
Op basis van de eerdere definitie van wachtwoordloos (passwordless), is Single sign-on (SSO) een type wachtwoordloze methode (gebruikers hebben/bezitten een account voor SSO-provider).
Bovendien hebben SSO-provideraccounts over het algemeen een hoge beveiliging. Naast gebruikersnamen en wachtwoorden, vereisen de meeste gevallen verplichte MFA om ervoor te zorgen dat gebruikers volledige controle over het account hebben. MFA omvat vaak het gebruik van wachtwoordloze factorverificatie, waaronder maar niet beperkt tot passkeys, OTP’s en vingerafdrukken.