image

Wachtwoordmanager LastPass krijgt later dit jaar support voor passkeys

donderdag 22 juni 2023, 15:17 door Redactie, 5 reacties

Wachtwoordmanager LastPass krijgt later dit jaar support voor passkeys, zo heeft het vandaag bekendgemaakt. Een exacte datum is nog niet gegeven. Gebruikers kunnen straks passkeys in hun LastPass Vault maken, opslaan en gebruiken. Doordat LastPass in de cloud draait zijn de passkeys vanaf meerdere apparaten te gebruiken. Eerder kondigden ook andere wachtwoordmanagers, zoals Bitwarden en 1Password, ondersteuning voor passkeys aan.

Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft en moeten wachtwoorden overbodig maken. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd.

Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan.

Critici van passkeys waarschuwen al lange tijd voor het risico van vendor lock-in, waarbij gebruikers zijn gebonden aan het platform waarop de passkey wordt gegenereerd.

Reacties (5)
22-06-2023, 15:43 door Anoniem
Hiervoor is al langer iets beschikbaar: TLS client-side certificates!
Het zorgt ervoor dat de beveiligde verbinding enkel opgezet word als de identiteit van de cliënt geverifieerd kan worden.

Dit zou betekenen dat na het eerste keer aan te melden, je nooit meer in hoeft te loggen.
Cookies zijn dan niet nodig, en er zijn geen wachtwoorden of sessietokens die uit kunnen lekken.
(enkel jouw public key, want je private key verlaat nooit jouw browser)
23-06-2023, 08:41 door Anoniem
Nagenoeg elke vorm van beveiliging bestaat uit een keten. Ook passkeys zijn niet sterker dan de zwakste schakel.

Passkeys voor leken
06-06-2023, 17:43 door Erik van Straten

https://www.security.nl/posting/798699/Passkeys+voor+leken
23-06-2023, 09:53 door Anoniem
Door Anoniem: Hiervoor is al langer iets beschikbaar: TLS client-side certificates!
Het zorgt ervoor dat de beveiligde verbinding enkel opgezet word als de identiteit van de cliënt geverifieerd kan worden.

Dit zou betekenen dat na het eerste keer aan te melden, je nooit meer in hoeft te loggen.
Cookies zijn dan niet nodig, en er zijn geen wachtwoorden of sessietokens die uit kunnen lekken.
(enkel jouw public key, want je private key verlaat nooit jouw browser)
En hoe is het veilig om ten alle tijden ingelogd te zijn. Laat je je deur van je kluis ook 24/7 onbeheerd openstaan omdat je weet dat het jouw kluis is? Of doe je hem toch dicht omdat als er ingebroken wordt je misschien niet wilt dat ze binnen een seconde er bij kunnen.
23-06-2023, 10:58 door Anoniem
Door Anoniem:
Door Anoniem: Hiervoor is al langer iets beschikbaar: TLS client-side certificates!
Het zorgt ervoor dat de beveiligde verbinding enkel opgezet word als de identiteit van de cliënt geverifieerd kan worden.

Dit zou betekenen dat na het eerste keer aan te melden, je nooit meer in hoeft te loggen.
Cookies zijn dan niet nodig, en er zijn geen wachtwoorden of sessietokens die uit kunnen lekken.
(enkel jouw public key, want je private key verlaat nooit jouw browser)
En hoe is het veilig om ten alle tijden ingelogd te zijn. Laat je je deur van je kluis ook 24/7 onbeheerd openstaan omdat je weet dat het jouw kluis is? Of doe je hem toch dicht omdat als er ingebroken wordt je misschien niet wilt dat ze binnen een seconde er bij kunnen.
Private key opslaan is net zo veilig als je wachtwoord opslaan.
Desnoods stop je een wachtwoord op dat private key, maar dat is hetzelfde als een master password voor je browser.

En natuurlijk hoef je niet altijd gebruik te maken van dezelfde private key.
Je zou zelfs meerdere identiteiten kunnen hebben.
Dan kan als de website aangeeft authenticatie nodig te hebben de browser jou vragen welke identiteit je wilt gebruiken.
26-06-2023, 15:39 door Anoniem
Lastpass?? Na alles wat er is gebeurd? Het verbaast me nog dat het bestaat.
Mijn advies is om een (FOSS) offline wachtwoordmanager te gebruiken, geen online service, maak daarbij wel een backup van het versleutelde bestand.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.