Moneybird, een online boekhoudpakket voor het MKB en ZZP’ers, introduceert een nieuwe authenticatiemethode die de tweefactorauthenticatie (2FA) van het boekhoudpakket op termijn vervangt: de passkey. Passkeys maken gebruik van Webauthn-technologie en bieden een veilige manier om in te loggen op apps en websites.
Ze vervangen zwakke wachtwoorden door biometrische authenticatietechnieken, zoals een vingerafdruk of gezichtsherkenning (FaceID). De technologie wordt stapsgewijs uitgerold onder de Moneybird-gebruikers en is binnen twee weken beschikbaar voor iedereen in alle moderne webbrowsers en telefoons.
Moneybird is daarmee de eerste Nederlandse aanbieder van een boekhoudpakket met een geïntegreerde, zakelijke betaalrekening waarbij men vanaf elk device eenvoudig kan inloggen met een passkey. Dat is belangrijk, want veel Moneybird-gebruikers doen hun boekhouding op uiteenlopende devices: van pc’s tot smartphones. Het goedkeuren van betalingen verloopt via Adyen SCA en blijft alleen mogelijk in de mobiele app.
2FA was voor de implementatie van de passkey de beste manier om het Moneybird-account te beveiligen. De gebruiker logt in met zijn of haar gebruikersnaam en wachtwoord, waarna Moneybird om een code vraagt die in een authenticator app verschijnt. Vaak is dit een zescijferige code die elke 30 seconden wordt ververst. Veel bedrijven zijn in de afgelopen jaren overgestapt op 2FA, omdat het een extra laag beveiliging biedt.
Het risico van de 2FA-methode is dat een code gelekt kan worden, net zoals gebruikersnamen en wachtwoorden. Dat kan gebeuren als bijvoorbeeld per ongeluk wordt ingelogd op een phishing-website of als apparaten onbeheerd worden achtergelaten. Zijn de gegevens gelekt, dan kan er alsnog worden ingebroken op accounts. Moneybird biedt betaalrekeningen en -passen aan en is daardoor mogelijk een aantrekkelijk doelwit voor hackers om inloggegevens en codes te onderscheppen.
De implementatie van de passkey versterkt de beveiliging, maar vergemakkelijkt het inlogproces ook omdat je niet te maken hebt met een extra app en tijdelijke codes. Ook worden processen zoals het wijzigen van het wachtwoord en 2FA-herstelprocedures vereenvoudigd en veiliger gemaakt. Phishing wordt vrijwel onmogelijk omdat er een persoonlijke component wordt gebruikt. Er zijn geen wachtwoorden of codes die onderschept kunnen worden. Moneybird gaat de 2FA-codes op termijn uitfaseren. Gebruikers wordt gevraagd om, naast hun gebruikersnaam en wachtwoord, passkeys in te stellen om hun account te beschermen.
“Voor de gebruiker is onze implementatie van passkeys misschien niet zo spannend, omdat die al bekend is met deze functionaliteit. Elke telefoon heeft deze optie tegenwoordig. Maar alle security-experts in de wereld zijn het eens over de veiligheid van passkeys. Daarom is het des te meer gaaf dat we deze technologie gaan gebruiken en we de gebruiker een extra beveiligde app kunnen aanbieden”, aldus Edwin Vlieg, oprichter van Moneybird.
