‘Inloggen met passkey werkt niet bij alle vormen van phishing’
Dit is een expertquote van Jelle Wieringa, Security Awareness Advocate, KnowBe4
U kunt dit bericht, of delen hiervan gebruiken op uw kanalen, met vermelding van de naam van de expert en organisatie. Aanleiding: Inloggen met een passkey is ‘de beste bescherming tegen phishing’ | Tech | AD.nl
Met de passkeys-functie bieden steeds meer techbedrijven een veiliger alternatief voor wachtwoorden. De Fraudehelpdesk stelt zelfs dat het de beste bescherming is tegen phishing. Dat is onjuist, omdat passkeys niet bestand zijn tegen alle vormen van phishing. Daar is een combinatie van veiligheidsmaatregelen voor nodig. Zo wordt de rol van mensen in het beschermen van hun eigen data of die van hun werkgever heimelijk onderschat.
Natuurlijk is het waar dat passkeys-technologie in potentie veiliger is dan het gebruik van wachtwoorden. Al is het maar omdat mensen nog altijd hetzelfde, vaak eenvoudig te kraken wachtwoord gebruiken op meerdere websites en applicaties.
Sommige cybercriminelen verleiden mensen via een phishingmail om te klikken op een kwaadaardige link die ze zogenaamd naar de website van bijvoorbeeld hun bank loodst. En wanneer ze hier inloggen, kunnen cybercriminelen de inloggegevens makkelijk opslaan.
Met passkeys-technologie is authenticatie veiliger: mensen kunnen inloggen door te klikken op een login-bevestigingsbericht, een veegpatroon of het checken van een vingerafdruk via hun eigen smartphone of een ander apparaat. Alleen daarom is het al een veiliger alternatief voor wachtwoordgebruik en multi-factor authenticatie waarbij wordt gewerkt met gegenereerde keycodes of SMS-berichten.
Maar cybercriminelen passen phishing op verschillende manieren toe. Neem bijvoorbeeld Business Email Compromise (BEC)-aanvallen. Bij deze vorm van social engineering doet een cybercrimineel zich in een e-mail voor als de CEO of een HR-manager van een bedrijf die zogenaamd een urgent verzoek heeft. Bijvoorbeeld voor het delen van belangrijke informatie of het storten van een geldbedrag op een rekeningnummer.
Door zaken zoals het e-mailadres, afzender, onderwerp en tone of voice zo realistisch mogelijk te maken, manipuleren ze hun slachtoffers. En tegen dit soort phishingmails biedt passkeys-technologie geen bescherming.
Kortom, mensen moeten niet alleen vertrouwen op technologie zoals passkeys, maar ook kennis hebben over én zich bewust zijn van de tactieken van cybercriminelen om veilig gedrag te kunnen vertonen. Alleen zo kunnen we de kans verkleinen dat cybercriminelen hun slag kunnen slaan.
