Nieuws
image

Britse NCSC: passkeys veiliger dan traditionele MFA

vrijdag 24 april 2026, 10:43 door Redactie, 11 reacties

Passkeys bieden betere bescherming dan traditionele multifactorauthenticatie (MFA), zo stelt de Britse overheid in een nieuw document. Volgens het Britse National Cyber Security Centre (NCSC) zijn alle traditionele MFA-methodes, zoals wachtwoorden gecombineerd met sms-codes, e-mailcodes, time-based One Time Passwords (TOTP) gegenereerd door apps of fysieke tokens en push-approvals, inherent kwetsbaar voor phishing.

FIDO2-credentials, waaronder passkeys, zijn volgens het Britse NCSC even veilig of veiliger dan traditionele MFA tegen alle veelvoorkomende aanvallen die in het wild worden waargenomen. Wanneer "user verification" (bijvoorbeeld biometrics) onderdeel van de inlogprocedure is, is FIDO2-authenticatie een vorm van multifactorauthenticatie, aldus de Britse overheidsinstantie. Omdat FIDO2 het hergebruiken van credentials voorkomt, zijn grootschalige aanvallen tegen goed geïmplementeerde passkeys onwaarschijnlijk, stelt het NCSC

Het NCSC merkt op dat passkeys niet zonder risico's zijn. Zo kunnen passkeys (cross-device) worden gesynchroniseerd via bijvoorbeeld een cloud platform. Dit wordt soms gepresenteerd als een nieuw risico, maar de meeste mensen maken al gebruik van soortgelijke platforms voor het synchroniseren van wachtwoordmanagers, e-mail en authenticator-apps, zo laat het NCSC weten.

Een ander veel gehoord kritiekpunt is dat passkeys geen echte multifactorauthenticatie zijn. Het NCSC stelt dat dit wel het geval is. Wanneer "user verification" onderdeel van de inlogprocedure is, is FIDO2-authenticatie multifactorauthenticatie. "Meerdere factoren hoeven niet over verschillende, afzonderlijke apparaten te zijn verdeeld; bij veel traditionele vormen van multifactorauthenticatie worden alle factoren al via één telefoon aangeboden", aldus het NCSC.

Het NCSC adviseert mensen om waar mogelijk passkeys te gebruiken. Wanneer passkeys niet worden ondersteund, is traditionele MFA een belangrijke back-up. "Op bredere schaal zorgt de overstap naar phishingbestendige authenticatie ervoor dat een van de hardnekkigste oorzaken van cyberincidenten wordt aangepakt. De technologie is volwassen, de standaarden liggen vast en invoering biedt nu een praktische kans om de beveiliging van zowel gebruikers als organisaties te verbeteren", besluit de Britse overheidsinstantie.

Reacties (11)
Reageer met quote
Vandaag, 11:26 door BadAss.Sx
Trap hier niet in, beste mensen. passkeys is alleen maar in het leven geroepen zodat de veiligheidsdiensten makkelijker bij jouw data kunnen.
Reageer met quote
Vandaag, 11:46 door Anoniem
Door BadAss.Sx: Trap hier niet in, beste mensen. passkeys is alleen maar in het leven geroepen zodat de veiligheidsdiensten makkelijker bij jouw data kunnen.
Waar haal jij die wijsheid vandaan?
Reageer met quote
Vandaag, 11:49 door majortom
Het NCSC merkt op dat passkeys niet zonder risico's zijn. Zo kunnen passkeys (cross-device) worden gesynchroniseerd via bijvoorbeeld een cloud platform. Dit wordt soms gepresenteerd als een nieuw risico, maar de meeste mensen maken al gebruik van soortgelijke platforms voor het synchroniseren van wachtwoordmanagers, e-mail en authenticator-apps, zo laat het NCSC weten.
Wat een kromme redenering: een risico is geen risico omdat gebruikers die risico's toch al lopen. Het risico is daarmee niet weg,

Passkeys zijn gewoon ondingen. Er worden lock-ins gecreeerd (hetzijn bij de Google's/Apple's, hetzij bij online password managers). Als je eens in een (sandbox) omgeving zit waarbij het niet mogelijk is om de password manager plugin te gebruiken, dan kun je gewoon niet meer inloggen op zo'n site.

Een ander veel gehoord kritiekpunt is dat passkeys geen echte multifactorauthenticatie zijn. Het NCSC stelt dat dit wel het geval is. Wanneer "user verification" onderdeel van de inlogprocedure is, is FIDO2-authenticatie multifactorauthenticatie.
Ook weer zo'n onzinopmerking. Natuurlijk is het niet hetzelfde als MFA. De toegang tot je passkey-kluis wordt wellicht beschermd door een extra factor (password. pin of biometrisch), maar als de password-kluis wordt gehackt liggen gewoon je account gegevens op straat (zoals ook met traditioneel username/password en wachtwoordkluis het geval is).
Reageer met quote
Vandaag, 11:53 door Anoniem
Een ander veel gehoord kritiekpunt is dat passkeys geen echte multifactorauthenticatie zijn.
Hebben (sleutels), Weten (Wachtwoorden), en Zijn (biometrie).

Account namen en e-mails zijn vaak wel te achterhalen.
Wachtwoord = weten
Passkey = hebben

Als je passkey ook biometrie nodig is (zoals vingerafdruk, zie Nitrokey), dan is het "diefstalveilig".
Politie kan dit afdwingen. (Staat mij bij dat politie juridisch middel voor unlocked van telefoons met vingerafdrukscanner)

Ik zou het eerder als TOTP laten fungeren icm wachtwoord (wachtwoord in password manager, TOTP in hardware device)
Reageer met quote
Vandaag, 12:09 door Anoniem
Als je passkeys in de cloud opslaat om te synchroniseren over al je devices, dan is dat net zo (on)veilig als een wachtwoordkluis in de cloud. Of het nou een passkey of een wachtwoord is, je kan er mee inloggen na een diefstal daarvan.

Als je passkeys niet in de cloud opslaat maar alleen op je device, dan kan je niet meer inloggen als dat device stuk of gestolen is. Voor een bedrijf is dat niet erg, maar voor een thuisgebruiker van bijvoorbeeld Windows wel. Zie maar dat je weer toegang krijgt tot al je data.

Wie controleert nog het hangslotje voordat je je credentials intikt? Of is dat helemaal overbodig geworden door Let's Encrypt (waar voor mij niets aan te zien is behalve de domeinnaam van de site waar je op zit). Ik heb dyslexie, dus het controleren van Let's Encrypt certificaten kan nog wel eens mis gaan bij mij. Een site als deze of de belastingdienst is veel beter voor mij.

Dus eerst het hangslotje verstoppen. En dan klagen dat mensen niet meer weten op welke site ze zitten..
Reageer met quote
Vandaag, 12:13 door BadAss.Sx
Door Anoniem:
Door BadAss.Sx: Trap hier niet in, beste mensen. passkeys is alleen maar in het leven geroepen zodat de veiligheidsdiensten makkelijker bij jouw data kunnen.
Waar haal jij die wijsheid vandaan?

Logisch nadenken. En ga nu niet doen alsof dit niet speelt.
Reageer met quote
Vandaag, 12:23 door accountofthaha
Door BadAss.Sx:
Door Anoniem:
Door BadAss.Sx: Trap hier niet in, beste mensen. passkeys is alleen maar in het leven geroepen zodat de veiligheidsdiensten makkelijker bij jouw data kunnen.
Waar haal jij die wijsheid vandaan?

Logisch nadenken. En ga nu niet doen alsof dit niet speelt.

En ga nu niet doen alsof wij totaal geen idee hebben wat je bedoeld, en dat - tenminste ik - wel geïnteresseerd ben in bronnen.

Zo ga je geen discussies winnen. Gewoon een opmerking droppen, met een nogal hard verwijt, en dan verwachten dat wij het wel snappen?
Reageer met quote
Vandaag, 13:03 door BadAss.Sx
Door accountofthaha:
Door BadAss.Sx:
Door Anoniem:
Door BadAss.Sx: Trap hier niet in, beste mensen. passkeys is alleen maar in het leven geroepen zodat de veiligheidsdiensten makkelijker bij jouw data kunnen.
Waar haal jij die wijsheid vandaan?

Logisch nadenken. En ga nu niet doen alsof dit niet speelt.

En ga nu niet doen alsof wij totaal geen idee hebben wat je bedoeld, en dat - tenminste ik - wel geïnteresseerd ben in bronnen.

Zo ga je geen discussies winnen. Gewoon een opmerking droppen, met een nogal hard verwijt, en dan verwachten dat wij het wel snappen?

Ah, meneer wilt bronnen zien en dus niet in staat om zijn eigen brein eens aan het werk te zetten. De cancelcultuur, want geen bronnen.

Ik hoef geen discussies te winnen, want na 14 jaar langs de zijlijn roepen dat men eens wat strikter met hun eigen privacy moeten omgaan, creeer je wel een dikke huid tegen mensen zoals u. Wat kan mij het bommen of u me gelooft of niet?

Maar als gediplomeerd digitaal particulier onderzoeker heb ik al de nodige bronnen versleten in de afgelopen 14 jaar waaruit ik met zekerheid kan concluderen dat deze passkey gekte niet alleen maar bedoelt is om de mensen te helpen.

Daarbij hanteer ik 2 regels: 1. alles wat digitaal is, is te hacken en 2. bezit jij niet de private keys van een aangeboden encrypted service, dan is het ook niet encrypted ook. Hoe mooi ze het ook brengen.
Reageer met quote
Vandaag, 13:08 door meidoorn
Trap hier niet in, beste mensen. passkeys is alleen maar in het leven geroepen zodat de veiligheidsdiensten makkelijker bij jouw data kunnen.

Kort antwoord: nee, een passkey is normaal gesproken niet door veiligheidsdiensten in het leven geroepen om makkelijker bij jouw data te komen. De reden is omdat er sprake is van asymmetrische cryptografie.


Passkeys zijn gebaseerd op public-key cryptografie (asymmetrische encryptie). Dat betekent dat er twee sleutels zijn:

1) een privésleutel (blijft veilig op jouw apparaat, zoals je telefoon of laptop)
2) een publieke sleutel (staat op de server van de dienst waarbij je inlogt)

De privésleutel:

A) verlaat je apparaat niet
B) wordt meestal beveiligd door biometrie of een pincode
C) is niet toegankelijk voor websites, bedrijven of externe partijen

Zelfs als een veiligheidsdienst toegang zou krijgen tot de servers van een bedrijf, zien ze alleen de publieke sleutel. Daarmee kun je niet inloggen of de privésleutel reconstrueren.

Wanneer zou het wél kunnen?

Er zijn een paar uitzonderingen of zwakkere plekken:

A. Toegang tot jouw apparaat

Als iemand (bijv. een opsporingsdienst) fysiek toegang krijgt tot je ontgrendelde toestel, kunnen ze mogelijk jouw accounts gebruiken zolang ze toegang hebben.

B. Cloud-synchronisatie
Sommige passkeys worden gesynchroniseerd via diensten zoals iCloud Keychain of Google Password Manager. Die zijn end-to-end versleuteld, maar in theorie kan wetgeving of een kwetsbaarheid invloed hebben op hoe veilig dat blijft.

C. Wetgeving en dwang
In sommige landen kunnen autoriteiten je verplichten je apparaat te ontgrendelen (bijv. met een pincode). Biometrie (vingerafdruk/gezicht) ligt juridisch soms anders.

Belangrijk om te begrijpen: een passkey is juist ontworpen om:

1) phishing onmogelijk te maken
2) wachtwoordlekken waardeloos te maken
3) centrale opslag van geheime data te vermijden

Daarom zijn ze in de praktijk veiliger dan traditionele wachtwoorden.
Reageer met quote
Vandaag, 13:29 door accountofthaha
Door BadAss.Sx:
Door accountofthaha:
Door BadAss.Sx:
Door Anoniem:
Door BadAss.Sx: Trap hier niet in, beste mensen. passkeys is alleen maar in het leven geroepen zodat de veiligheidsdiensten makkelijker bij jouw data kunnen.
Waar haal jij die wijsheid vandaan?

Logisch nadenken. En ga nu niet doen alsof dit niet speelt.

En ga nu niet doen alsof wij totaal geen idee hebben wat je bedoeld, en dat - tenminste ik - wel geïnteresseerd ben in bronnen.

Zo ga je geen discussies winnen. Gewoon een opmerking droppen, met een nogal hard verwijt, en dan verwachten dat wij het wel snappen?

Ah, meneer wilt bronnen zien en dus niet in staat om zijn eigen brein eens aan het werk te zetten. De cancelcultuur, want geen bronnen.

Ik hoef geen discussies te winnen, want na 14 jaar langs de zijlijn roepen dat men eens wat strikter met hun eigen privacy moeten omgaan, creeer je wel een dikke huid tegen mensen zoals u. Wat kan mij het bommen of u me gelooft of niet?

Maar als gediplomeerd digitaal particulier onderzoeker heb ik al de nodige bronnen versleten in de afgelopen 14 jaar waaruit ik met zekerheid kan concluderen dat deze passkey gekte niet alleen maar bedoelt is om de mensen te helpen.

Daarbij hanteer ik 2 regels: 1. alles wat digitaal is, is te hacken en 2. bezit jij niet de private keys van een aangeboden encrypted service, dan is het ook niet encrypted ook. Hoe mooi ze het ook brengen.

Doe je eigen onderzoek. Dat is zo makkelijk om te zeggen, omdat dit meestal betekend dat de persoon die dit zegt totaal geen verstand heeft van zaken, geen bronnen heeft of niet gelooft in de bronvermelding die andere aandragen. Ofwel: een bewijs van zwakte.

Als jij wat zegt, en begint met een verwijt, dan leg je ook daadwerkelijk uit waarom je dat vindt, waarom dat verwijt waar is. Jouw mening, input en point of view doet ertoe, maar alleen als wij snappen wat je bedoeld en niet lukraak wat zegt wat misschien niet klopt. Om iemand te qouten die wel verstand van zaken had: "Trust. But verify."
Reageer met quote
Vandaag, 13:43 door BadAss.Sx
Door accountofthaha:
Door BadAss.Sx:
Door accountofthaha:
Door BadAss.Sx:
Door Anoniem:
Door BadAss.Sx: Trap hier niet in, beste mensen. passkeys is alleen maar in het leven geroepen zodat de veiligheidsdiensten makkelijker bij jouw data kunnen.
Waar haal jij die wijsheid vandaan?

Logisch nadenken. En ga nu niet doen alsof dit niet speelt.

En ga nu niet doen alsof wij totaal geen idee hebben wat je bedoeld, en dat - tenminste ik - wel geïnteresseerd ben in bronnen.

Zo ga je geen discussies winnen. Gewoon een opmerking droppen, met een nogal hard verwijt, en dan verwachten dat wij het wel snappen?

Ah, meneer wilt bronnen zien en dus niet in staat om zijn eigen brein eens aan het werk te zetten. De cancelcultuur, want geen bronnen.

Ik hoef geen discussies te winnen, want na 14 jaar langs de zijlijn roepen dat men eens wat strikter met hun eigen privacy moeten omgaan, creeer je wel een dikke huid tegen mensen zoals u. Wat kan mij het bommen of u me gelooft of niet?

Maar als gediplomeerd digitaal particulier onderzoeker heb ik al de nodige bronnen versleten in de afgelopen 14 jaar waaruit ik met zekerheid kan concluderen dat deze passkey gekte niet alleen maar bedoelt is om de mensen te helpen.

Daarbij hanteer ik 2 regels: 1. alles wat digitaal is, is te hacken en 2. bezit jij niet de private keys van een aangeboden encrypted service, dan is het ook niet encrypted ook. Hoe mooi ze het ook brengen.

Doe je eigen onderzoek. Dat is zo makkelijk om te zeggen, omdat dit meestal betekend dat de persoon die dit zegt totaal geen verstand heeft van zaken, geen bronnen heeft of niet gelooft in de bronvermelding die andere aandragen. Ofwel: een bewijs van zwakte.

Als jij wat zegt, en begint met een verwijt, dan leg je ook daadwerkelijk uit waarom je dat vindt, waarom dat verwijt waar is. Jouw mening, input en point of view doet ertoe, maar alleen als wij snappen wat je bedoeld en niet lukraak wat zegt wat misschien niet klopt. Om iemand te qouten die wel verstand van zaken had: "Trust. But verify."

Haha blabla, nou het heeft mij anders geen windeieren gelegd. Ik ben al vanaf mijn 43ste met pensioen. Ook het resultaat van logisch nadenken. En voor de duidelijkheid, alles wat ik heb gezegd bleek 10 jaar later te kloppen. Noem het visionair, ik noem het logisch nadenken. En het boeit me niet meer of mensen me geloven of niet. Degene die me kennen lachen hard om de reacties die u en anderen me geven. Men wilt graag geleid worden dmv bronnen en waarheden, maar de meeste bronnen zijn ook nog eens gesubsidieerde bronnen om maar iets te sturen. Gewoon logisch nadenken, simpel.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components