Het National Cyber Security Centre (NCSC) uit het Verenigd Koninkrijk heeft aangekondigd dat het passkeys gaat aanbevelen als veiligere vervanging voor traditionele wachtwoorden zodra een dienst deze ondersteunt. Wanneer passkeys niet beschikbaar zijn, adviseert het NCSC het gebruik van tweestapsverificatie (2SV). Deze aanbeveling werd gedeeld tijdens CYBERUK 2026 in Glasgow en zal geleidelijk worden opgenomen in de bestaande richtlijnen.

Deze beslissing is gebaseerd op uitgebreid overleg met websites, app-ontwikkelaars, technologiebedrijven en de FIDO Alliance, gecombineerd met diepgaand technisch en sociotechnisch onderzoek door het NCSC. In een recent gepubliceerd rapport vergelijkt het NCSC de beveiliging van traditionele multi-factor authenticatie (MFA/2SV) met FIDO2-credentials, waaronder passkeys, vanuit het perspectief van individuele gebruikers.

Het onderzoek analyseert de kwetsbaarheden in verschillende fasen van het gebruik van authenticatiemiddelen, zoals creatie, opslag, gebruik, synchronisatie, intrekking en herstel. Daarbij ligt de focus op de meest voorkomende aanvalsmethoden in de praktijk, zoals phishing, hergebruik van credentials en sessiekaping. Uit deze analyse blijkt dat alle traditionele MFA-methoden, waaronder wachtwoorden gecombineerd met sms-codes, e-mailcodes, tijdgebaseerde eenmalige wachtwoorden (OTP) en pushmeldingen, vatbaar zijn voor phishingaanvallen.

FIDO2-credentials, waaronder passkeys, bieden daarentegen een gelijkwaardige of hogere mate van beveiliging tegen deze veelvoorkomende aanvallen. Wanneer gebruikersverificatie vereist is bij het inloggen, geldt FIDO2-authenticatie als multi-factor authenticatie. Omdat FIDO2 het hergebruik of doorsturen van credentials moeilijk maakt, zijn grootschalige aanvallen op correct geïmplementeerde passkeys onwaarschijnlijk. Passkeys bieden daarmee een sterkere bescherming dan traditionele MFA of 2SV, mits ondersteund door de dienst.

Het NCSC gaat ook in op veelgestelde vragen over passkeys. Zo kunnen passkeys via platformdiensten gesynchroniseerd worden tussen apparaten, wat vergelijkbaar is met cloud-synchronisatie van wachtwoordmanagers en authenticatie-apps. De beveiliging hangt hierbij af van de sterkte van de authenticatie van het synchronisatieaccount, iets wat bij veel MFA-oplossingen al wordt toegepast. Daarnaast bevestigt het NCSC dat passkeys multi-factor zijn wanneer gebruikersverificatie plaatsvindt, omdat ze iets bezitten (de cryptografische sleutel) combineren met iets wat ze weten of zijn. Dit hoeft niet op meerdere apparaten te gebeuren, wat ook bij traditionele MFA vaak het geval is.

Hoewel traditionele MFA effectief kan zijn, blijft het kwetsbaar voor phishing omdat geheime gegevens of goedkeuringen tijdens een sessie onderschept kunnen worden. Passkeys elimineren deze aanvalsvector door cryptografisch te binden aan de legitieme dienst. Het NCSC benadrukt dat passkeys het meest effectief zijn wanneer ze verstandig worden geïmplementeerd en gebruikt, waarbij gebruikers afhankelijk blijven van de beveiliging van hun apparaten.