Zoals gebruikelijk loopt Apple altijd een beetje achter als het gaat om webstandaarden. Hoewel ze op WWDC aangekondigd hebben dat op MacOS de FIDO2 security keys ondersteuning gaan krijgen in Safari, had ik toch op meer gehoopt. Volgens mij is het zo dat Chrome op MacOS zelf al TouchID gebruikt als platform authenticator. Het zou mooi zijn als Apple dit zelf navolgt en ook in iOS beschikbaar maakt als platform authenticator. Dan zou net als op Android's (met Play services) de telefoon als security key kunnen fungeren en zijn er geen fysieke apparaatjes (bluetooth, usb, nfc) meer nodig. (Dat blijft wel een beetje een utopie omdat je altijd een backup/recovery wilt hebben en dat het makkelijkste gaat zijn om een USB sleuteltje ergens in een kluis te leggen)

Leuk dat Google nu zijn telefoons via bluetooth als security key beschikbaar maakt, maar verder kan ik mij natuurlijk niet voorstellen dat iemand met 2 telefoons gaat rondlopen hier voor. Tenzij je echt wil commiteren aan de advanced protection en dan op je iPhone bij je email wil, mogelijk kon dat hier voor niet.

Ik vraag mij echter af of deze techniek zo ook gebruikt kan worden om mee in te loggen bij Window Hello. Dat zou wel echt een game changer zijn voor het gehele roaming verhaal van security keys.

Dus als ik het goed begrijp moet ik eerst een Android phone naast mijn Iphone kopen om dit voor elkaar te krijgen? Wie bedenkt zoiets? Google blijkbaar.

Ja, als je je Androidtelefoon als beveiligingssleutel wilt gebruiken, moet je eerst een Androidtelefoon kopen. Begrijpend lezen is ook een kunst.

Dit heeft niets met begrijpend lezen te maken, want anoniem had het goed begrepen.

Het ongeloof, ook bij mij, komt er op neer dat het niet logisch is dat iemand met een iPhone, ook nog een android telefoon gaat meeslepen om op een google account te kunnen inloggen. Misschien zijn ze er, maar dat zal toch echt een grote uitzondering zijn.

Onzin. Je had best wel door kunnen hebben dat dit een geval 'versteld staan' is van de absurditeit die hier gebracht wordt mits je het begrijpend gelezen had :)

Bericht staat weer vol met Google's eigenbelang:
1. De suggestie er een Androïd-smartfoon bij te nemen. (Androïd is van Google)
2. Van beide telefoons te weten komen wie de owner is en wat ie er zo al mee doet. (data voor de BigBrother database)

Maar ze verkopen het alsof alleen jij er een "onmisbaar" voordeel bij zou hebben.
Typisch Google.

Ja en nee:


Kunnen betekent niet moeten. Je kan ook SMS (zal wel met iPhone werken en werkt ook met niet-smartphones), of Titan Key, of mogelijk nog andere 2-factor mogelijkheden gebruiken. Maar als nog een optie meer kan je nu dus - als je dat zou willen, je iPhone verifiëren met je Android phone. Ik kan niet direct scenarios bedenken dat dit nu zo'n enorme toeloop zal veroorzaken, maar dat is een andere discussie.

Daar hebben ze (Microsoft) dit https://www.theverge.com/2017/4/18/15345300/microsoft-account-no-password-authenticator-app-feature toch al voor?

Het grote voordeel van de FIDO2 standaard die Google nu beschikbaar maakt is dat deze bescherming bied tegen phishing. Voorwaarde daar voor is dat er een vertrouwd kanaal moet zijn tussen de security key en het apparaat waar je inlogt. Normaal gebeurt dat via USB, NFC of bluetooth (in dit geval dus via bluetooth).

De app die je beschrijft lijkt te werken met een push notificatie naar de telefoon. Daarmee is er geen vertrouwd kanaal meer tussen de 'security key' (telefoon) en pc waar je inlogt, immers is het een berichtje vanuit de cloud. Als je een melding op je telefoon krijgt moet je dus maar hopen dat die afkomstig is van de PC waar jij zelf wilt inloggen en niet van een PC in de kamer naast je. Daarmee is er dus ruimte om phishing uit te voeren. De Microsoft app (push login) bied dus niet dezelfde bescherming als de oplossing waar Google nu mee komt.

Maakt dat het onderscheid wat duidelijker?

Ik hoop dus dat ze nu de laatste hand leggen aan de implementaties die ook een bluetooth connectie opzetten tussen Windows apparaten en Android apparaten mogelijk maakt (en dan op termijn iOS als Apple ook zo ver is). De game changer zou zijn om EN de phishing bescherming te bieden EN het gebruikersgemak van inloggen op je telefoon zoals dat met de push notificatie nu ook al werkt. De struggle lijkt mij er in te gaan zitten hoe je de bluetooth connectie moet gaan opzetten met een onbekende PC en/of onbekende mobiel. Binnen Chrome hebben ze dat gedaan (Cloud Assisted BLE of CaBLE), maar dat werkt natuurlijk alleen maar omdat Google beide kanten in beheer heeft. (Iets met pincodes via de cloud naar de telefoon pushen waarna hij automatisch een bluetooth connectie op zet met de PC zodat de browser de telefoon direct kan gebruiken als security key om in te loggen. Dat werkt alleen omdat Google weet dat je wil inloggen en direct naar jou telefoon iets kunnen pushen, Microsoft heeft niet het voordeel dat ze 'eventjes' een bericht naar je telefoon kunnen pushen)

Nee hoor. Het is een eenmalige veilige 'handshake' om de authenticatie app op je telefoon te koppelen. Daarna is het een met vaste tijdsintervallen veranderende code.

Het zal vooral bedoeld zijn voor degene die een iPad hebben en een android telefoon.
Of een iPhone en een op android draaiende tablet.