Op Oktane 2023 heeft Okta aangekondigd dat het nu ondersteuning biedt voor Passkeys. Passkeys zijn een techniek die gebruik van wachtwoorden moet gaan vervangen.

Okta's Customer Identity Cloud (voorheen Auth0) maakt per direct ondersteuning van Passkeys beschikbaar voor alle portals en klantgerichte webapplicaties. Okta bouwt daarmee voort op de recente brede beschikbaarheid van Passkeys binnen de ecosystemen van Microsoft, Apple en Google.

Apple heeft door in Juni 2022 de term “Passkey” te munten de online gemeenschap een dienst bewezen. De naam van de onderliggende technische standaard, WebAuthn van het FIDO2 project, spreekt minder aan en resoneert niet. Dat is nu anders door het over Passkeys te hebben.

Passkey is een manier om op een toegankelijke, gebruikersvriendelijke manier in te loggen met asynchrones sleutelparen. Deze vervangen het wachtwoord wat inmiddels algemeen als onveilig wordt onderkend.

Na de aankondiging op Oktane 2023, besloot ik een experiment uit te voeren.

Wat hier gebeurt is dat ik niet om een wachtwoord wordt gevraagd, maar dat ik een sleutel - die veilig op mijn apparaat staat - gebruik om mezelf te identificeren. Ik bevestig dat de sleutel vrijgegeven mag worden met mijn vingerafdruk op mijn Macbook.

Passkeys brengen dus de onbetwiste technologie van asynchrone sleutelparen en elektronische handtekeningen naar de inlogervaring op een manier die nog toegankelijker en gebruiksvriendelijker is dan het wachtwoord.

Dit is de flow die een inlogpoging doorloopt:

De autorisatieserver (RP) stuurt een bericht ("challenge") naar de computer van de gebruiker. De computer vraagt de gebruiker om de privésleutel vrij te geven voor ondertekening. Op mijn Apple gebeurt dit via verificatie van mijn vingerafdruk, maar dit is afhankelijk van de implementatie. Het bericht ("challenge") wordt ondertekend met de privésleutel en teruggestuurd naar de autorisatieserver. Deze kan met de publieke sleutel waarover hij beschikt controleren of de handtekening klopt. Als dat het geval is, is de inlogpoging geslaagd en wordt de eindgebruiker doorgelaten.

Er valt in deze situatie geen wachtwoord meer te delen, bewust of onbewust. Daarom wordt passkey ook wel “fishing resistent” genoemd. Het besturingssysteem zorgt ervoor dat de sleutel die gebruikt wordt beschikbaar is op mijn Macbook en mijn iPhone, waardoor ik altijd kan inloggen.

Sterker nog, het geheime deel van de ‘credential’ wordt aangemaakt op een veilige plek op het apparaat van de gebruiker en verlaat dat in principe nooit. Wachtwoorden die over de lijn gaan en bewaard moeten worden aan de kant van het portaal/webapplicatie zijn verleden tijd en kunnen ook niet meer gestolen of gekraakt worden. Dit een kenmerk van werken met asynchrone sleutelparen.

De sterkte van deze manier van inloggen is hoog en vergelijkbaar met andere inlogmethoden die een account via een apparaat aan een persoon koppelen. Dat komt omdat - afhankelijk van de implementatie - de privesleutel wordt bewaard op de “Trusted Platform Module” of “Secure Enclave” (Apple) van het apparaat. Er is dus geen sprake meer van deelbare geheimen, zoals wachtwoorden en OTP-codes.

Er is ook kritiek op Passkeys binnen bepaalde toepassingen. Passkeys kunnen gesynchroniseerd worden over verschillende apparaten van de eigenaar, zoals MacBook en IPhone. Dat is erg gebruikersvriendelijk. Maar als er beleid is om alleen middels bekende, vertrouwde apparaten, te authenticeren dan botst dit. Om die reden is ondersteuning van Passkeys nu beschikbaar in Okta Customer Identity Cloud, maar is Okta Workforce juist voorzien van een mogelijkheid om Passkeys te kunnen weigeren binnen de WebAuthn ondersteuning.

Wil je hulp of advies bij het instellen van Passkeys in je Okta Workforce or CIC implementatie? Neem dan contact op met je CloudGuide consultant of account manager.