Nieuws
image

Bitwarden voorziet browser-extensie van support voor passkeys

donderdag 2 november 2023, 10:49 door Redactie, 4 reacties

Bitwarden heeft support voor passkeys aan de browser-extensie van de wachtwoordmanager toegevoegd, tot ongenoegen van gebruikers die ondersteuning ook in de mobiele app wilden. Met Bitwarden 2023.10.0 is het mogelijk om passkeys in de wachtwoordkluis op te slaan en die vervolgens via de browser-extensie te gebruiken om in te loggen.

Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft en moeten wachtwoorden overbodig maken. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd.

Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan.

Verschillende wachtwoordmanagers ondersteunen inmiddels passkeys of hebben support hiervoor aangekondigd. Op Reddit en Hacker News reageren veel Bitwarden-gebruikers teleurgesteld dat de support voor passkeys alleen in de browser-extensie aanwezig is en niet in de mobiele app. Wanneer dit zal worden toegevoegd is nog onbekend. Bitwarden organiseert op 9 november een webcast over 'Bitwarden and Passkeys'.

Reacties (4)
Reageer met quote
02-11-2023, 11:40 door Anoniem
Nou, nou, paswoorden overbodig maken is een groot woord, ze zijn bijvoorbeeld (onder andere) onmisbaar voor offline versleutelde opslag, maak een lang en ingewikkeld genoeg wachtwoord aan en het is zelfs goed beveiligd tegen quantumaanvallen. (Deze vereisen een wachtwoord ongeveer twee keer zo lang als een standaard veilig wachtwoord, dus waar men eerst 20-tekens invoerde is het belangrijk om daar 40-tekens van te maken, al zijn er weinig mensen die het doel zijn van staatsgerichte quantumaanvallen, en die computers hebben hackers bepaald niet thuis staan. (Vereist superkoeling en een paar miljard euro)
Gebruik een goede wachtwoord manager voor lange wachtwoorden (zorg voor een goede beveiliging voor zulke apps en houd deze offline op een apart apparaat) en een password generator voor aanmaak van een sterk wachtwoord.
Reageer met quote
02-11-2023, 16:33 door Anoniem
Ik las hierover op Tweakers. Wat een spannende ontwikkeling is dit! Zoals ik het zie wordt de TPM van je lokale device niet gebruikt, maar wordt de hele afhandeling van de TPM ge-emuleerd in de Bitwarden browser extensie. Anders zou deze oplossing niet portable zijn naar andere apparaten.

De plugin zal dus niet om je PIN, vingerafdruk of gezichtsscan vragen. Het geeft de site waarop je wilt inloggen met Passkey gewoon de data die het verwacht en de site kan niet detecteren dat dit in software in een plugin gebeurt en niet in de TPM van je CPU zoals de bedoeling is van Apple, Microsoft en Google.

Dat is dus hoe ik het begrijp, had hier zelf op moeten komen dat dit zou gebeuren.

Bitwarden maakt Passkey overbodig :-D
Reageer met quote
03-11-2023, 00:36 door Anoniem
2 dagen geleden al een update hier over gezien, maar helaas is de extension nog niet goedgekeurd door mozilla... dus de nieuwe versie nog niet kunnen installeren.
Reageer met quote
14-01-2024, 16:30 door Anoniem
Passkeys opslaan in een soort container - evt. op de cloud? Is dat niet ondermijnend voor de veiligheid?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure