Op Oktane 2023 heeft Okta aangekondigd dat het nu ondersteuning biedt voor Passkeys. Passkeys zijn een techniek die gebruik van wachtwoorden moet gaan vervangen.

Okta's Customer Identity Cloud (voorheen Auth0) maakt per direct ondersteuning van Passkeys beschikbaar voor alle portals en klantgerichte webapplicaties. Okta bouwt daarmee voort op de recente brede beschikbaarheid van Passkeys binnen de ecosystemen van Microsoft, Apple en Google.

Apple heeft door in Juni 2022 de term “Passkey” te munten de online gemeenschap een dienst bewezen. De naam van de onderliggende technische standaard, WebAuthn van het FIDO2 project, spreekt minder aan en resoneert niet. Dat is nu anders door het over Passkeys te hebben.

Passkey is een manier om op een toegankelijke, gebruikersvriendelijke manier in te loggen met asynchrones sleutelparen. Deze vervangen het wachtwoord wat inmiddels algemeen als onveilig wordt onderkend.

Na de aankondiging op Oktane 2023, besloot ik een experiment uit te voeren.

Screen Recording 2023-10-06 at 14.22.35.mov

Wat hier gebeurt is dat ik niet om een wachtwoord wordt gevraagd, maar dat ik een sleutel - die veilig op mijn apparaat staat - gebruik om mezelf te identificeren. Ik bevestig dat de sleutel vrijgegeven mag worden met mijn vingerafdruk op mijn Macbook.

Passkeys brengen dus de onbetwiste technologie van asynchrone sleutelparen en elektronische handtekeningen naar de inlogervaring op een manier die nog toegankelijker en gebruiksvriendelijker is dan het wachtwoord.

Dit is de flow die een inlogpoging doorloopt:

De autorisatieserver (RP) stuurt een bericht ("challenge") naar de computer van de gebruiker. De computer vraagt de gebruiker om de privésleutel vrij te geven voor ondertekening. Op mijn Apple gebeurt dit via verificatie van mijn vingerafdruk, maar dit is afhankelijk van de implementatie. Het bericht ("challenge") wordt ondertekend met de privésleutel en teruggestuurd naar de autorisatieserver. Deze kan met de publieke sleutel waarover hij beschikt controleren of de handtekening klopt. Als dat het geval is, is de inlogpoging geslaagd en wordt de eindgebruiker doorgelaten.