Dank voor de reacties!
Bij punt 1 had ik, achteraf bezien, kunnen toevoegen dat u dat "ijzersterke unieke wachtwoord", per web-account, nooit hoeft over te tikken (laat staan zelf te onthouden).
Het idee achter passkeys (en wachtwoordmanagers in het algemeen) is dat u het onthouden van sterke wachtwoorden
delegeert naar uw toestel(len) en software daarop, of naar een
online wachtwoordmanager.
Terzijde / merk op: dat "delegeren" is natuurlijk niet zonder risico's voor u: als een aanvaller toegang krijgt tot één van uw toestellen, of een cloud-back-up daarvan op haar of zijn toestel kan "terugzetten" (restoren), dan heeft u in één keer een enorm probleem.
Het alternatief, voor elk van de vaak vele accounts,
zelf een uniek sterk wachtwoord {a} onthouden, is onmenselijk en kansloos. Mits je goed nadenkt en de juiste maatregelen neemt, lijkt delegeren toch het beste van twee kwaden.
{a}: In
https://security.nl/posting/798727 beschreef ik gisteravond wat T-Mobile.nl onder een "sterk wachtwoord" verstaat (dat is om te janken).
Als u, met een passkey, wilt inloggen op een web-account, ontsluit u de juiste inloggegevens voor die site door uw passkeymanager (of wachtwoordmanager) te "ontgrendelen".
Bij passkeys gebeurt dat meestal door het invoeren van een PINcode of (optioneel, in plaats van een PINcode) door het laten scannen van uw gezicht of een vingertopje (bij een wachtwoordmanager moet u meestal een wachtwoord invoeren, alhoewel ook zij steeds vaker een PINcode of biometrie ondersteunen
om dat -dan verstopte- wachtwoord te ontsluiten).
Schematisch ziet dat er, met zowel een smartphone als een tablet (die onderling worden gesynchroniseerd), uit als volgt:
Passkey VRIJ- | Feitelijk inloggen
GEVEN om in | op webservers
te loggen op | gebeurt met (voor de
webservers | user onzichtbare)
| passkeys
PINcode
of .---. user-ID +
Face-ID | ° | passkey 1 .----------.
•>| |>• • • • • •>| web- |
• | | •>| server 1 |
• '---' • '----------'
• ^ •
• | back-up + •
• | synchr. •
• v •
• .--------. • user-ID +
• | cloud- | • passkey 1
O >• | server | •
/|\>• '--------' •
/ \ • ^ •
• | back-up + •
• | synchr. •
• v •
• .----------. •
• | |>• •
•>|o | .----------.
PINcode | |> • • •>| web- |
of '----------' user- | server 2 |
vingerafdruk ID + '----------'
passkey 2
Indien de passkey-gegevens volledig zijn gesynchroniseerd tussen uw twee apparaten (via de cloudserver) kunt u natuurlijk ook
met uw smartphone inloggen op "webserver 2" (dat laten zien in het plaatje werd te rommelig).
Voor techneuten: in de praktijk zit hier meestal minstens één extra stap tussen: met de PINcode of biometrie wordt één sterk wachtwoord (dat u niet in alle gevallen te weten komt), en dat meestal is opgeslagen in een secure enclave of TPM op uw apparaat, vrijgegeven. Dat wordt dan vervolgens gebruikt om toegang te krijgen tot de passkeydatabase, of database van een reguliere wachtwoordmanager.
Onthouden (of opschrijven en onthouden waar)In de praktijk moet u ten minste de volgende geheimen
zelf onthouden (ik hoop dat ik niks vergeet):
1) Ontgrendelcode: PINcode of wachtwoord (bij voorkeur geen veegpatroon) per apparaat. Desgewenst kunt u op alle apparaten
dezelfde code gebruiken. Het m.i. grootste risico hierbij is dat iemand, die uw code afkijkt (wat veel lastiger is bij het gebruik van biometrie), op
al uw apparaten kan inloggen.
Maar als die apparaten sowieso (deels) worden gesynchroniseerd, maakt het nauwelijks uit of een kwaadwillende toegang op één van uw, of al uw, apparaten kan krijgen. Dit risico lijkt mij zeer klein in verhouding tot het gebruiksgemak plus het lagere risico op vergeten van zo'n PINcode.
2) Een uniek sterk wachtwoord voor het cloud-account van uw apparaten: uw Apple-ID, gmail-adres of Microsoft account. Indien van uw toestel(len) back-ups naar cloud-server worden gemaakt en/of gegevens worden gesynchroniseerd, is het van essentieel belang dat u dit account grondig beveiligt met een sterk wachtwoord en eventueel 2FA. Genoemde cloudproviders hameren hier ondertussen redelijk op, en proberen zoveel mogelijk te voorkómen dat u dit wachtwoord vaak moet invoeren (met het risico op het vergeten daarvan).
Indien u, bijvoorbeeld als gevolg van diefstal, defect raken, inbraak, brand, omgeslagen boot etc. de toegang tot uw toestel (of alle gekoppelde toestellen) verliest, dan volgt (onnodig) vaak een tweede drama: naast dat u uw toestel(len) kwijt bent, blijkt u ook niet meer te kunnen inloggen op uw cloud-account (onder meer nodig om een back-up op een nieuw toestel "terug" te kunnen zetten).
Stelt u zich voor, aan de hand van bovenstaand "plaatje", dat u beide apparaten kwijt bent: hoe logt u dan in op uw cloud-account (en alle andere web-accounts)? Nb. om deze reden kunt u
NIET uitsluitend een passkey gebruiken voor dit account: u heeft dan een toestel met die passkey nodig (kip/ei probleem). Denkbaar is wel dat u hier zowel een passkey als een recovery-code (zie punt 3 hieronder) voor heeft.
Tip: probeer in te loggen op de website van uw cloud-account
vanaf een veilig maar niet gekoppeld apparaat, en kijk waar u tegenaan loopt! (Denk aan een SMS ontvangen op een telefoonnummer waar u op dat moment niet 'bij kunt"). Herhaal dit regelmatig, want op het gebied van inloggen verandert er voortdurend vanalles op het internet.
Voorkom dat u met account-lockout te maken krijgt. Mede omdat cybercriminelen toegang tot uw cloud-account proberen te krijgen door te claimen dat zij u zijn, en hun toestel is gestolen, zijn de "big tech" providers er meestal niet happig op om u te helpen: in zo'n situatie kunnen zij u onvoldoende betrouwbaar onderscheiden van een cybercrimineel. Zie ook punt 3 hieronder.
3) Een "recovery-code" voor het cloud-account van uw apparaten (herstelcode, soms "rescue-code" genoemd): laat deze aanmaken en bewaar deze op een veilige en "terugvindbare" plaats. Overweeg ook een toegangsmogelijkheid voor nabestaanden of voor het geval dat u om andere redenen (tijdelijk) "handelingsonbekwaam" wordt.
4) Een uniek sterk wachtwoord op uw e-mailaccount (indien dit niet tevens uw cloud-account is): omdat uw e-mailaccount in bijna alle gevallen voor wachtwoord-herstel wordt gebruikt, is het superbelangrijk dat kwaadwillenden geen toegang krijgen tot uw mailbox.
Als hen dat wel lukt, kunnen zij op websites waar u accounts heeft, aangeven dat zij "uw wachtwoord zijn vergeten", waarna zij, via een link in de mail die men in zo'n situatie meestal ontvangt, toegang krijgen tot dat webaccount. Daarna kunnen zij uw wachtwoord (en andere gegevens) wijzigen.
Nb. indien uw e-mailaccount
niet tevens uw "toestel-cloud-account" is, kunt u dit wachtwoord natuurlijk in een wachtwoordmanager opslaan (of, zodra dat mogelijk is, daar een passkey voor gebruiken).
5) Mogelijk een uniek sterk wachtwoord voor versleuteling van back-ups in de cloud: bijv. Apple gebruikt een mij onbekende methode om de meest gevoelige informatie (o.a. "keychain") op uw iPhone of iPad versleuteld in de "iCloud" te back-uppen.
Apple (en de NSA etc.) hebben potentieel toegang tot uw iCloud-account (waarop u inlogt met uw Apple-ID). Apple kan ook uw wachtwoord daarvoor achterhalen (dat voert u immers in op
hun server). Het enige dat Apple (naar eigen zeggen) niet kent, is de PINcode voor uw iDevice(s) - maar dat is meestal veel te zwak voor veilige versleuteling van data.
Omdat het mogelijk moet zijn om een back-up te kunnen "terug" zetten op een nieuw toestel (na verlies van alle oude toestellen), kan er geen gebruik worden gemaakt van een sterk wachtwoord opgeslagen in een secure (hardware) enclave op uw verloren gegane toestel(len). Als ik het goed begrijp heb je daarom, voor de volledig "E2EE" back-ups die Apple recentelijk introduceerde, een aanvullend "
lokaal" sterk wachtwoord nodig (ik heb dit zelf nog niet getest).
Nb. Apple waarschuwt er (terecht) voor dat, indien u van E2EE back-ups gebruik maakt, zij u op geen enkele manier meer kunnen helpen indien u zo'n wachtwoord vergeet. Deze E2EE back-ups lijken mij daarom hooguit uit iets voor nerds of mensen die ernstig gevaar lopen (zoals sommige journalisten).
6) Optionele wachtwoordmanager: gebruik een
lang uniek sterk wachtwoord voor het versleutelen van (de database van) uw wachtwoordmanager - vooral als de database in de cloud en/of op zelf (niet sterk versleutelde) eigen media wordt geback-upped.
BiometrieHier valt veel over te zeggen maar deze posting is alweer erg lang. Wellicht kom ik hier in een andere bijdrage op terug.
Kortom:• Beveilig uw toestel(len), cloud-account(s) en e-mailaccount grondig. Of we het nu leuk vinden of niet: in rap toenemende mate vertegenwoordigen onze digitale apparaten en cloud-accounts onze
identiteit, waardoor de waarde ervan -ook voor cybercriminelen- snel stijgt.
Vangnetten voor slachtoffers van identiteitsfraude zijn er nauwelijks, en als ze bestaan zijn ze onvoorspelbaar qua betrouwbaarheid. Ook rechters oordelen dat het uw eigen verantwoordelijkheid is om uw digitale identiteit goed te beschermen; big tech heeft zich uitgebreid ingedekt tegen eventuele aansprakelijkheid (voorbeeld:
https://www.security.nl/posting/798595/T-Mobile+hoeft+diefstal+van+17_500+euro+aan+crypto+na+sim-swap+niet+te+vergoeden).
• Denk na over, en test, of u slachtoffer van account-lockout (buitensluiten) zou worden - vergelijkbaar met de voordeur achter u dichttrekken terwijl de sleutel binnen ligt.