De Duitse overheid wil van passkeys een gangbare 2FA (tweefactorauthenticatie)-methode maken en heeft een document gepubliceerd dat hieraan moet bijdragen. Het document bevat adviezen voor het beveiligen van passkey-servers, die voor de implementatie van passkeys vereist zijn. Tot 16 november kan het publiek erop reageren.

Passkeys zouden wachtwoorden moeten vervangen en zijn gebaseerd op de Web Authentication (WebAuthn) standaard. Ze maken gebruik van public key cryptography. Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen.

Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. De passkey-server speelt in dit geheel een belangrijke rol en kan voor verschillende vertrouwensniveaus worden geconfigureerd.

Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, heeft het document "BSI TR-03188: Technische Richtlinie Passkey Server" gepubliceerd (pdf), met daarin allerlei aanbevelingen en configuraties voor passkey-servers. "Het doel is om van passkeys een gangbare 2FA-methode te maken", aldus de Duitse overheidsdienst. Hert nu gepubliceerde document is nog niet definitief. Betrokkenen en geïnteresseerden kunnen er tot 16 november op reageren.

Eerder dit jaar stelde de Britse overheid dat problemen met passkeys breed gebruik van de methode belemmeren. Zo verschilt de ondersteuning en gebruikservaring per platform en programma. Er wordt wel gewerkt aan standaardisering, maar de Britse autoriteiten merkten op dat het nog wel even kan duren voordat deze standaarden overal worden toegepast. Een ander probleem is wanneer gebruikers hun toestel of apparaat verliezen. Ook het migreren van passkeys naar een andere fabrikant of platform zorgt voor problemen.

Er is ook de nodige kritiek op passkeys. Zo waarschuwde Proton dat de manier waarop Apple en Google passkeys hebben geïmplementeerd een valstrik is en alleen bedoeld om mensen in de ecosystemen van de techbedrijven vast te houden. Het risico van vendor lock-in is vaker genoemd. Ook zijn er privacyzorgen