image

Google maakt passkeys standaard inlogmethode voor persoonlijke accounts

dinsdag 10 oktober 2023, 14:40 door Redactie, 6 reacties

Google heeft besloten om passkeys de standaard inlogmethode voor persoonlijke Google-accounts te maken, zo heeft het techbedrijf aangekondigd. De volgende keer dat gebruikers op hun Google-account inloggen verschijnt er een melding om passkeys aan te gaan maken en gebruiken. Google wil hiermee naar eigen zeggen het wachtwoord overbodig maken. Gebruikers krijgen wel de optie om passkeys uit te schakelen en nog met een wachtwoord in te loggen.

Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd.

Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan.

Critici van passkeys waarschuwen al lange tijd voor het risico van vendor lock-in, waarbij gebruikers zijn gebonden aan het platform waarop de passkey wordt gegenereerd.

Reacties (6)
10-10-2023, 15:29 door Anoniem
Google doet zoiets vast omdat ze dan op de een of andere manier meer data kunnen graaien of mensen aan zich kunnen binden. Heb nou niet de illusie dat het ten gunste van de gebruikers is. Die zijn alleen maar een middel.
10-10-2023, 16:55 door Anoniem
Vervangt dit twee-factor login? Ik bedoel 2FA met een SMS-code of met een App..

De Chromebook van mijn vriendin heeft geen vingerafdruklezer. Dus ze zal een gezichtsherkenning of PIN moeten gebruiken. Gaat ze leuk vinden als het verplicht wordt (niet). Ze gaat waarschijnlijk haar geboortedatum gebruiken als PIN zoals ik haar ken. Ik heb liever dat een random PIN wordt afgedwongen.
11-10-2023, 01:08 door Erik van Straten
Door Redactie: Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven.
Dat is niet het geval op een Android device indien de eigenaar dat apparaat aan een Google account heeft gekoppeld. Dat apparaat is dan sowieso ingelogd op dat Google account, maar Chrome niet noodzakelijkerwijs.

Als ik met Chrome bijvoorbeeld https://myaccount.google.com/security open terwijl ik uitgelogd ben, volstaat (voor mij) een druk op de knop "Continue as Erik" op het scherm om in te loggen. Overigens zijn er zaken (bijv. opgeslagen wachtwoorden bekijken) waarvoor ik "echt" moet inloggen, waarvoor ik desgewenst de passkey van het device kan gebruiken; op zo'n moment wordt wel om een vingerafdruk (of schermontgrendelcode) gevraagd. Die "betere authenticatie" blijft maar beperkte tijd geldig.

Je zou kunnen argumenteren dat je, voor "standaard authenticatie" op je Google account, sowieso je toestel hebt moeten ontgrendelen met biometrie of veegpatroon/pincode/wachtwoord. Maar, mede afhankelijk van gebruikersinstellingen, kan zo'n sessie zó lang duren dat ondertussen iemand anders (bijv. één van je jonge kinderen) het toestel in handen kan hebben, zelfs al geruime tijd.

Zo'n device passkey is overigens niet terug te vinden in Google Password Manager (waarin passkeys van de gebruiker worden opgeslagen, en die voor synchronisatie zorgt) en is dus per device uniek.

Als ik op mijn iPhone met de passkey voor mijn Google-account wil inloggen, moet ik wel altijd met biometrie of passcode (de iPhone schermontgrendelcode) authenticeren.

Door Anoniem: Vervangt dit twee-factor login?
Volgens sommigen wel: de private key van een passkey zit in een apparaat dat je in je handen hebt (zodanig dat die private key zelf niet direct toegankelijk is voor de gebruiker en ook niet voor aanvallers) en daarnaast moet je, normaal gesproken, bewijzen dat jij dat apparaat in handen hebt middels biometrie of een pincode.

Een concessie die bij passkeys gedaan wordt (anders dan bij FIDO2 hardware keys) is dat zo'n private key naar andere devices gesynchroniseerd mag kunnen worden.

Door Anoniem: Ik bedoel 2FA met een SMS-code of met een App..
Dat zeker niet, maar dat soort 2FA is nauwelijks zinvol als die op hetzelfde apparaat ontvangen/gegenereerd als ingevoerd worden.

Ook helpt dat soort zwakke 2FA niet tegen phishing-aanvallen met nepwebsites (bijv. met lijkt-op domeinnaam). Het sterkste punt van passkeys is dat daarmee uitsluitend op een website met een specifieke domeinnaam (en uitsluitend via https) kan worden ingelogd, waamee de meest vóórkomende phishing-aanvallen worden tegengegaan.
11-10-2023, 11:52 door Anoniem
Door Erik van Straten:
Door Anoniem: Ik bedoel 2FA met een SMS-code of met een App..
Dat zeker niet, maar dat soort 2FA is nauwelijks zinvol als die op hetzelfde apparaat ontvangen/gegenereerd als ingevoerd worden.

Maar als het doel is een wachtwoord te vervangen door een PIN (met 40% sneller inloggen volgens Google), vervang je dan niet iets wat zich bewezen heeft in het verleden, door iets dat zich nog moet bewijzen in de praktijk. Vervang je de ene 2FA niet door de andere? Schoudersurfen lijkt mij een reëel risico bij een PIN omdat je minder tekens moet afkijken als bij een wachtwoord. En we loggen overal zonder na te denken in op onze smartphone als dat ding begint te piepen.

Anoniem 16:55
11-10-2023, 14:35 door Erik van Straten
Door Anoniem: Maar als het doel is een wachtwoord te vervangen door een PIN
Nee, het doel is wachtwoorden vervangen door biometrie.

Velen beschouwen een PIN als een noodzakelijk kwaad omdat biometrie soms niet werkt (je niet kunt inloggen omdat bijv. de huid van jouw vinger beschadigd is geraakt of als je een blauw oog geslagen bent). Gemakshalve gaat men er hierbij vanuit dat biometrische authenticatie in alle gevallen zodanig betrouwbaar is dat niemand anders dan jij met die biometrie kan inloggen; bij herhaling is echter aangetoond dat dit, op een deel van de apparaten, niet klopt.

Maar sowieso hebben Passkeys nog te kampen met ernstige kinderziektes; ik hoop daar binnenkort meer over te publiceren.

Klein voorbeeld: op mijn iPhone kan ik, gebruikmakend van Safari, met een passkey inloggen op mijn Google account.

Met Chrome op diezelfde iPhone, kan ik op bijvoorbeeld https://passkeys-demo.appspot.com/ inloggen met een passkey die ik met Safari heb aangemaakt (sterker, ik kan met Chrome onder iOS nu ook passkeys aanmaken voor die site en daarmee inloggen, zowel gebruikmakend van Chrome als Safari).

Met een in Safari aangemaakte passkey voor mijn Github account kan ik, zowel met Safari als Chrome, op dat account inloggen.

Echter, met Chrome (op die iPhone) kan ik niet op mijn Google account inloggen, gebruikmakend van de (met Safari aangemaakte) passkey. Google blaast wel erg hard van de toren.

Ongebruikelijk is ook dat je, bij Google, eerst -tijdrovend- jouw emailadres moet invoeren vóórdat je een passkey kunt gebruiken.
15-10-2023, 06:23 door Anoniem
Neem afscheid van Google dat is mijn advies voor deze graaier welke onze privacy totaal niet respecteerd
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.