Over inloggen
Over inloggen
Je kunt tegenwoordig op verschillende manieren ergens inloggen:
Inloggen met een wachtwoord (iets wat je weet)
Dit is al jaren de manier: de combinatie van een gebruikersnaam of
e-mailadres en een wachtwoord.
Dit is lastig en niet erg veilig, anderen kunnen op verschillende manieren toegang krijgen tot jouw inloggegevens. de belangrijkste:
door fishing;
door inloggegevens te stelen van organisaties (hacken).
Inloggen met een wachtwoord en een extra gegeven (iets wat je hebt)
Organisaties proberen het inloggen veiliger te maken door je te laten inloggen in twee stappen (2FA):
Eerst vul je jouw e-mailadres en wachtwoord in.
Daarna moet je iets extra's doen, bijvoorbeeld :
een code uit een SMS-je invullen;
de code van een authenticatie-app invullen;
op de link in een e-mail klikken;
op jouw smartphone aangeven dat jij het bent die in wil loggen;
een geverifieerde beveiligingssleutel (Security Key of Dongle)in jouw computer stoppen.
Inloggen met een apparaat waarvan de website weet dat het van jou is
De website kent jouw e-mailadres en plaatst op (bijvoorbeeld) jouw smartphone een code die alleen werkt op dat apparaat en met die website.
Zo weet de website dat jij het bent die in wil loggen en weet jij dat je op de website zit die je bedoelt.
Dit heet Web Authentication (WebAuthn).
WebAuthn maakt gebruik van een toegangssleutel (Passkey): een unieke code (sleutel) die:
op een apparaat van jou (of bij jouw wachtwoordbeheerder) is opgeslagen;
voor iedere account-website combinatie uniek is.
Inloggen met een wachtwoord en 2FA worden hierdoor overbodig.
Het wachtwoord blijft wel nodig als je inlogt op apparaten waarop (nog) geen toegangssleutel staat.
Meer hierover staat op de pagina Passkeys.
Google is in mei 2023 begonnen met de invoering van dit systeem voor de Google-accounts.
Andere bedrijven zijn hier ook mee bezig.
Inloggen via Google, Facebook of Apple
Je kunt op veel websites ook inloggen met jouw Google-account (of jouw account bij Facebook of Apple).
De website waar je dat gebruikt, krijgt dan jouw e-mailadres en naam door van Google.
Je hoeft daar dan geen account aan te maken.
Als je de website niet meer wil gebruiken, hoef je alleen maar de koppeling tussen bijv. Google en de site te verwijderen.
Dit doe je in jouw Google-account.
De wachtwoordbeheerder Bitwarden↗ ondersteunt alle vormen van inloggen:
- Wachtwoord
- Verificatiecode (iedere 30 seconden een nieuwe).
- Passkey
Het beheren van jouw inlogmethodes valt niet altijd mee. Hieronder zie je de mogelijkheden voor mijn Google-account:
Als WebAuthn (het systeem met de toegangssleutels) volledig is ingevoerd, kan het volgende vervallen:
verificatie in 2 stappen (2FA);
wachtwoord;
beveiligingssleutels (zit ingebouwd in veel moderne apparaten);
authenticator (de app die tijdelijke codes maakt);
telefoonnummers voor 2FA;
en wellicht ook back-upcodes.