Microsoft biedt consumenten nu de mogelijkheid om in te loggen op Microsoft-diensten met passkeys. Hiermee wil het bedrijf een alternatief bieden voor het gebruik van kwetsbare wachtwoorden en MFA, dat te omzeilen is.
Microsoft is al een aantal jaar bezig met het vinden van een (veiliger) alternatief voor het inloggen met wachtwoorden op zijn diensten of omgevingen. Zo introduceerde het gezichtsherkenning onder de naam Windows Hello voor het inloggen op Windows 10 in 2015.
De afgelopen jaren heeft Microsoft wachtwoordloze technologie verder aangepast aan de nieuwe FIDO-standaarden. Ook beloofde het in 2022 samen met Google en Apple over te stappen naar passkeys van de FIDO Alliance. Google maakte het inloggen met passkeys al vorig jaar de standaard inlogmethode. Inmiddels maakt 16 procent van Google-accounts er gebruik van.
Lees meer: Zijn passkeys de toekomst voor onze online veiligheid?
Inloggen met passkeys
De overstap van Microsoft heeft er nu geresulteerd in dat de eigen klanten per direct passkeys kunnen gebruiken. Inloggen op Microsoft 365-apps, maar bijvoorbeeld ook Copilot, kan dus nu via passkeys. Dezelfde functionaliteit voor de mobiele applicaties van Microsoft komt in de komende weken beschikbaar.
Als consumenten met passkeys willen inloggen, kunnen zij beheerders vragen hiervoor hun Microsoft Entra ID (het voormalige Microsoft Active Directory) aan te passen. Dat ondersteunt de functionaliteit voor passkeys die zijn gehost op een hardwarematige security key of in de Microsoft Authenticator-app.
Keypair nodig voor ontsleuteling
Passkeys worden gezien als de toekomst van wachtwoordloos inloggen. Bij het gebruik van passkeys worden twee unieke sleutels gebruikt; een cryptografische ‘key pair’. Eén sleutel (private key) is opgeslagen op het device en wordt bewaakt via een biometrische identificatie of een PIN-code.
De andere sleutel (een public key) blijft in de betreffende app of website waarop met een passkey wordt ingelogd aanwezig. Beide onderdelen zijn nodig om in te loggen.
Passkeys worden ook wel resistent tegen phishing genoemd, omdat de combinatie alleen geldt voor inloggen op een website of app waarvoor die specifiek is aangemaakt. Inloggen op kwaadaardige websites is daardoor niet mogelijk.
Lees ook: Wat zijn Passkeys? Authenticatie zonder menselijke tussenkomst