Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Don't use Android passkeys!

28-02-2024, 15:02 door Erik van Straten, 32 reacties
Laatst bijgewerkt: 28-02-2024, 15:28
In https://www.security.nl/posting/798699/Passkeys+voor+leken#posting798932 schreef ik onder meer:
08-06-2023, 17:59 door Erik van Straten: [...]
Vervolgens heb ik getest wat er gebeurt als ik die passphase wijzig. Kennelijk moet dat in https://chrome.google.com/sync, onderin staat:
This will clear your Chrome data from your Google Account.
This won't clear any data from your devices.
This will also remove your sync passphrase. You can create a new passphrase.

[CLEAR DATA]
Drukken op die knop verwijderde, zonder expliciete waarschuwing daarvoor, al mijn passkeys.

Na dat verder te hebben onderzocht (en concludeerde dat het reproduceerde en geen stomme fout van mij was) heb ik dat op 11 juni aan Google gemeld, waarna het Chrome team het "probleem heeft gefixed" - doch slechts door de tekst onderin https://chrome.google.com/sync te wijzigen. Daar staat nu (vermoedelijk sinds midden juni):
This will clear your Chrome data that has been saved in your Google Account.
This might clear some data from your devices.

[CLEAR DATA]
Drukken op die knop verwijdert nog steeds, zonder expliciete waarschuwing daarvoor, al mijn passkeys.

Omdat het begin deze maand (ondanks mijn aandringen) nog steeds niet gefixed was, heb ik dit probleem verder wereldkundig gemaakt in https://seclists.org/fulldisclosure/2024/Feb/15.

De "assignee" die ik daarin noem, was/is "agl". Dat is Adam Langley (een bekende, gerespecteerde en invloedrijke persoon in de securitywereld, o.a. vanwege zijn website https://www.imperialviolet.org/).

Via de Mastodon instance "infosec.exchange" heb ik contact met hem gezocht, waarna hij mijn toot beantwoordde (private, niet leesbaar voor de buitenwereld). Daarin legt hij, ruwweg, uit dat het "by design" is dat Google Password Manager volledig cloud-based is, en dat het "dus logisch zou zijn" dat jouw passkeys worden gewist met "clear data".

Ik bestrijd deze hautaine reactie ten zeerste, en vind het bovendien onacceptabel én nergens voor nodig, zoals ik hem antwoordde (nu openbaar) in https://infosec.exchange/@ErikvanStraten/112009232101326416 (op mijn privé antwoord van Feb 27, 2024, 10:09 +0100, heb ik nog geen antwoord ontvangen).

Dat naast gebrekkige documentatie, stompzinnige foutmeldingen en een hele reeks van andere Android passkey problemen, waaronder mogelijk onbruikbaar synchroniseren van passkeys vanaf het éne toestel (dat defect zou kunnen zijn geraak of dat je verloren kunt zijn), via de automatische cloud-"backup" (wat dat kennelijk niet is), naar een ander (mogelijk nieuw) toestel.

Zo heb ik nu twee android apparaten (die ik hierna A1 en A2 noem), en twee passkey-accounts (P1 en P2) op https://passkeys-demo.appspot.com/. Die P1 heb ik op A1 aangemaakt en P2 op A2. Zij synchroniseren wel (op beide toestellen zijn P1 en P2 zichtbaar), maar P2 is onbruikbaar op A1, en P1 is onbruikbaar op A2.

En, voor elke nieuwe passkey die ik aanmaak geldt dit ook. De enige manier om dit probleem, voor de toekomst, op te lossen is drukken op [CLEAR DATA] onderaan https://chrome.google.com/sync - maar dan ben ik, zowel op A1 als op A2, al mijn huidige passkeys kwijt - waar ik zélf géén backup van kan maken (gelukkig heb ik uitsluitend test-passkeys op mijn Android toestellen, maar dat zal niet voor iedereen gelden).

De oorzaak hiervan is dat de private keys van passkeys met een "per apparaat"-symmetrische sleutel worden versleuteld. De bedoeling is dat, als je een tweede (nieuw of bestaand) koppelt aan jouw Google account, gedetecteerd wordt dat het eerste toestel al zo'n symmetrische encryptiesleutel heeft, en dat wordt voorgesteld dat je die kopieert naar jouw nieuwe toestel.

Nb. om veiligheidsredenen moet je daarvoor, naast jouw Google-cloud-wachtwoord, tevens de ontgrendelcode van jouw andere, bron-apparaat invoeren (zelfs dan kan het, onder bepaalde omstandigheden, fout gaan).

Technisch detail: in elk geval die ontgendelcode zelf lijkt géén onderdeel uit te maken van de "transportsleutel" waarmee de symmetrische encryptiesleutel (tijdens transport van het ene naar het andere toestel) wordt versleuteld (het is dus bijvoorbeeld geen HMAC van de ontgrendelcode plus cloudwachtwoord - ik kan hier nader op ingaan maar deze post wordt te lang).

PASSKEY TIPS
Tip #1: Mocht jouw oude Android phone in de plee zijn gevallen o.i.d. en je een nieuwe hebt gekocht, begin dan in elk geval niet met het aanmaken van een nieuwe passkey op dat nieuwe toestel! Wacht totdat de passkeys vanuit de cloud (afkomstig van jouw oude toestel) naar het nieuwe zijn gesynchroniseerd en je hebt vastgesteld dat deze echt werken.

Tip #2 (Deze en de volgende tip gelden voor elk "merk" passkey): Zorg, voor elk account dat je met een passkey beveiligd hebt, voor een alternatieve inlogmethode, bijv. met een (phishable) "rescue code". Check dat deze ook echt werkt, zonder een passkey te hoeven gebruiken. Bewaar rescue codes op een veilige plaats.

Tip #3: Mocht een website, waar je normaal gesproken met een passkey op inlogt, onverwacht melden dat inloggen mislukt is, of (vooraf) melden dat zij t.g.v. een fout de public key van jouw passkey hebben gewist, of met een andere smoes komen waarom je op alternatieve (phishable) manier moet inloggen: trap daar niet zomaar in! Zorg dat je zeker weet dat het om de bedoelde website gaat (vooral als je op een link in een bericht of op een andere website hebt geklikt). Wacht desnoods een dag en probeer het dan opnieuw (er zijn omstandigheden waarbij een nepwebsite met de correcte domeinnaam onterecht een https servercertificaat kan verkrijgen).

CONCLUSIE
Nadat veel mensen slachtoffer werden van account lockouts, na het verlies van (toegang tot) hun oude Android toestel, doordat zij Google Authenticator gebruikten - die, tot ergens vorig jaar, géén backups maakte van de TOTP secrets, maakt Google dezelfde blunder met passkeys. Dus is mijn advies, totdat dit fatsoenlijk gefixed is:

GEBRUIK GEEN ANDROID PASSKEYS /
DO NOT USE ANDROID PASSKEYS


Reden/reason: passkey-protected account lockout risico's/risks.
Reacties (32)
28-02-2024, 15:08 door Erik van Straten
Dit is een follow-up van Passkeys voor leken

Zie https://www.security.nl/posting/798699/Passkeys+voor+leken
28-02-2024, 15:18 door Anoniem
Door Erik van Straten: Dit is een follow-up van Passkeys voor leken

Zie https://www.security.nl/posting/798699/Passkeys+voor+leken

Sneller en veiliger inloggen?
Met de nieuwe passkeys mag je jouw wachtwoorden (eindelijk) vergeten: Hoe werkt een passkey?
door Daniël Verlaan, 28 oktober 2023

https://www.rtlnieuws.nl/nieuws/nederland/artikel/5415263/passkeys-inloggen-einde-van-wachtwoord
28-02-2024, 15:44 door Anoniem
Hmmm waarom zou ik de sleutel van voordeur uberhaupt aan bedrijven geven je op alle manieren proberen te tracken en je privacy schenden.
28-02-2024, 16:11 door Erik van Straten - Bijgewerkt: 28-02-2024, 16:12
Door Anoniem: Met de nieuwe passkeys mag je jouw wachtwoorden (eindelijk) vergeten: Hoe werkt een passkey?
door Daniël Verlaan, 28 oktober 2023

https://www.rtlnieuws.nl/nieuws/nederland/artikel/5415263/passkeys-inloggen-einde-van-wachtwoord
Met alle respect voor Daniël Verlaan, maar zoals zo vaak is dit puur een marketing verhaal: ik zie NUL nadelen of risico's vermeld worden.

Als we een veiliger internet willen, moeten we stoppen met mensen ziekmakende worsten voor te houden. Ook https://dubbelzoveilig.nl en NIS2 zijn ordinaire overheidspropaganda om de steeds verder doorslaande digitalisering te legitimeren.

Zie ook:
https://tweakers.net/nieuws/218918/playstation-network-krijgt-ondersteuning-voor-passkeys.html?showReaction=19644790#r_19644790

https://infosec.exchange/@ErikvanStraten/111989393380873096
en
https://infosec.exchange/@ErikvanStraten/111998323512665986
en vooral
https://infosec.exchange/@ErikvanStraten/112003384954172092

P.S. ik speel met de gedachte om ook hier op security.nl daar een artikel over te schrijven (motivatie toenemend naarmate meer mensen aangeven daar belangstelling voor te hebben).

Een m.i. interessant artikel van Roger A. Grimes over de toenemende faalkans van één van de "authenticatiefactoren": https://www.linkedin.com/pulse/game-changer-biometric-stealing-malware-roger-grimes-ikaze

Over die "factoren" schreef ik "Myth#0: Authentication": https://infosec.exchange/@ErikvanStraten/111991418581543444
28-02-2024, 16:46 door Erik van Straten
Door Anoniem: Hmmm waarom zou ik de sleutel van voordeur uberhaupt aan bedrijven geven je op alle manieren proberen te tracken en je privacy schenden.
Omdat Anoniem van 15:18 suggereert dat dat een goed idee is omdat Daniël Verlaan dat schrijft op rtlnieuws.nl?
28-02-2024, 16:59 door Anoniem
Door Erik van Straten:
Door Anoniem: Hmmm waarom zou ik de sleutel van voordeur uberhaupt aan bedrijven geven je op alle manieren proberen te tracken en je privacy schenden.
Omdat Anoniem van 15:18 suggereert dat dat een goed idee is omdat Daniël Verlaan dat schrijft op rtlnieuws.nl?

Verlaan schreef een uitleg voor leken. Anoniem van 15:18 noteerde daarbij "Sneller en veiliger inloggen?" (vraagteken).
28-02-2024, 17:15 door Erik van Straten - Bijgewerkt: 28-02-2024, 17:17
Door Anoniem: Verlaan schreef een uitleg voor leken. Anoniem van 15:18 noteerde daarbij "Sneller en veiliger inloggen?" (vraagteken).
Dan moet je even verder terugkijken. Anoniem van 15:18 quotte mijn post van 15:08 waarin ik verwijs naar mijn artikel getiteld "Passkeys voor leken" van meer dan 4 maanden eerder. Waarin ik trachtte ook alle (mogelijke) nadelen te beschrijven.

Maar kennelijk leest men op security.nl liever eenzijdige marketing-speak.
29-02-2024, 18:37 door Erik van Straten
Gisteravond laat (onze tijd) heeft Adam Langley gereageerd op mijn laatste vragen, zie https://infosec.exchange/@agl/112011473394243083.

Zijn belangrijkste argument voor het onverwacht onherstelbaar wissen van passkeys, als gevolg van het drukken op de knop "clear data" onderin https://chrome.google.com/sync (daar moet je een Google account voor hebben en ingelogd zijn), luidt, ik hoop dat ik dit goed vertaal en verwoord (ik heb wat leestekens toegevoegd):
De andere kant van het verhaal, bij het hebben van live data op apparaten, en het gebruiken van het account als synchronisatiekanaal, bestaat er wijdverbreide verwarring bij gebruikers wanneer zij inloggen op een apparaat en boos zijn zodra zij erachter komen dat hun data achterblijft op dat apparaat zodra zij zijn uitgelogd. Of indien, wanneer iemand anders inlogt op hun apparaat, data van de eigenaar synchroniseert naar het account van die andere gebruiker.

Ik begrijp dat één [gekozen] model niet voor iedereen gaat werken, waarbij Android 14 "pluggable passkey providers" ondersteunt, waardoor niemand vast hoeft te zitten aan Google Password Manager. Echter, GPM-passkeys zijn een conceptueel onderdeel van het account, en het wissen van het account leidt er dus toe dat passkeys worden gewist. [...]

In mijn antwoord van vandaag (https://infosec.exchange/@ErikvanStraten/112014572855744256) vat ik zijn antwoord, vertaald naar NL, als volgt samen:
Als je niet het risico wilt lopen dat je ze kwijtraakt, gebruik dan geen Android passkeys!

Gebruik, in plaats daarvan, een oplossing van een derde partij (dat vereist wel Android 14+)...

Effectief lijkt hij het dus eens met de titel van dit topic (ik ben benieuwd of Sundar Pichai, anderen bij Google, en haar aandeelhouders, daar ook zo over denken).

Vervolgens beargumenteer ik nogmaals hoe absurd ik deze argumenten vind.

Ik ga niet alles vertalen, maar ik beschrijf hieronder enkele risico's van het toestaan dat iemand anders gebruik maakt van jouw Android apparaat - onder jouw eigen account.

Zo wijs ik onder meer op het risico dat een kind of kleinkind, op basis van de leeftijd van de eigenaar van een smartphone of tablet, toegang krijgt tot websites met (alleen al hierom idiote) leeftijdsverificatie.

Het volgende noem ik niet allemaal in mijn reactie: zo iemand moet je voor 100% kunnen vertrouwen, wat in de praktijk ommogelijk is. Want meestal kunnen zij ook namens jou e-mails of andere berichten versturen, en mogelijk kunnen zij bij jouw wachtwoorden, en zeker bij accounts waarop je nog was ingelogd. Als ze de pincode voor jouw bank app of EDIW (*) hebben afgekeken, kunnen zij enorme schade aanrichten, bijv. door een op hun eigen toestel geïnstalleerde bank-app aan jouw bankrekening te koppelen, apps toe te voegen of te vervangen, instellingen te wijzigen en "time traveler attacks" (https://www.security.nl/posting/708673/Risico+%22Authenticator%22+apps) uit te voeren op jouw TOTP-app.

(*) Vanmiddag goedgekeurd door het EP, zie https://security.nl/posting/831757.
01-03-2024, 09:10 door Anoniem
Door Erik van Straten:

Effectief lijkt hij het dus eens met de titel van dit topic (ik ben benieuwd of Sundar Pichai, anderen bij Google, en haar aandeelhouders, daar ook zo over denken).

Interessant dat je dit er uithaalt. Ik lees het echt heel anders.

Bovendien, ik ben enorm blij dat als ik uitlog van een Google apparaat (ik heb zelf een Pixel) dat er niets (of zo min mogelijk) achterblijft op zo'n apparaat.

In dat ligt is ook dit interessant:
Door Erik van Straten: Vervolgens beargumenteer ik nogmaals hoe absurd ik deze argumenten vind.
Want ik ben als persoon namelijk zeer blij met deze functie, en de reden waarom dit zo ontworpen is.

En volgens mij is dit een discussie met een ander uitgangspunt en doel:
Door Erik van Straten:maar ik beschrijf hieronder enkele risico's van het toestaan dat iemand anders gebruik maakt van jouw Android apparaat - onder jouw eigen account.[/qoute]

Want dit is juist wat je kunt voorkomen door uit te loggen van je Google device voordat je hem afgeeft, of achteraf door te wipen via FindMe of (extra optie) het veranderen van je Sync wachtwoord.
01-03-2024, 12:05 door Erik van Straten - Bijgewerkt: 01-03-2024, 12:10
@Anomiem 09:10: dank voor de eerste (zo te zien) inhoudelijke reactie! Ondanks alle virtuele klappen in mijn lange leven ben ik klaarblijkelijk toch nog steeds hartstikke naïef.

De (door mij onverwachte) desinteresse voor mijn topic, tot vanochtend, wordt mogelijk veroorzaakt doordat iedereen, die dat nog niet persoonlijk heeft meegemaakt, ervan overtuigd is dat "account lockout overkomt mij niet". Mogelijk omdat men denkt "je belt of mailt en dan heb je zó jouw
[ Insta | Facebook | Twitter | Github | * ] account weer terug". GLWT...

(Nb. in elk geval heeft jouw reactie bij mij tot dat laatste vallende kwartje geleid, een leermomentje dus, waarvoor dank).

Door Anoniem:
Door Erik van Straten: Effectief lijkt hij het dus eens met de titel van dit topic [...]
Interessant dat je dit er uithaalt. Ik lees het echt heel anders.

Bovendien, ik ben enorm blij dat als ik uitlog van een Google apparaat (ik heb zelf een Pixel) dat er niets (of zo min mogelijk) achterblijft op zo'n apparaat.
[Vraag 1]: wat bedoel je exact met "als ik uitlog van een Google apparaat"?
a) Uitloggen via de settings in Chrome, of

b) In "Settings" —> "Passwords & Accounts", onder "Accounts for owner" —> [jouw gmail account] —> "Remove account", of

c) Het scherm vergrendelen en niet jouw schermontgrendel-wachtwoord/pincode/veegpatroon verraden, of

d) Het toestel "hard" vergrendelen (kan ook door uitzetten) zodat biometrie voor ontgendelen niet meer werkt, of

e) Switch Android user (*), of

f) Iets anders (wat dan)?

(*) In Android zit - m.i. niet voor niets - de optie voor "multiple users" (bizar genoeg: indien je dat gebruikt, hebben reguliere updates de laatste tijd tot 2 stompzinnige bugs geleid - kennelijk zit dit niet in het testprogramma voor Android updates).

(PS ook ik heb een Pixel, 6 pro, om precies te zijn).

Door Anoniem: In dat licht [<—edited] is ook dit interessant:
Door Erik van Straten: Vervolgens beargumenteer ik nogmaals hoe absurd ik deze argumenten vind.
Want ik ben als persoon namelijk zeer blij met deze functie, en de reden waarom dit zo ontworpen is.
[Vraag 2]: Heb je wel eens heel goed gekeken welke info er op jouw toestel blijft staan als je "uitlogt" (ik weet nog niet precies hoe je dat doet, maar ongeacht)?

Door Anoniem: En volgens mij is dit een discussie met een ander uitgangspunt en doel:
Door Erik van Straten: maar ik beschrijf hieronder enkele risico's van het toestaan dat iemand anders gebruik maakt van jouw Android apparaat - onder jouw eigen account.
Want dit is juist wat je kunt voorkomen door uit te loggen van je Google device voordat je hem afgeeft, of achteraf door te wipen via FindMe of (extra optie) het veranderen van je Sync wachtwoord.
[Vraag 3]: Wat bedoel je met "je Sync wachtwoord" (is dat mogelijk de "sync passphrase" die je in Chrome kunt instellen, of bedoel je iets anders - zo ja wat)?

[Vraag 4]: En wat bedoel je met "afgeven":
a) tijdelijk aan iemand die jij betrouwbaar vindt (partner, (klein)kind, collega, ...), of

b) bijv. aan iemand niet vertrouwd door jou, zoals een douane-medewerker, politieagent of berover, of

c) bedoel je iets anders (zo ja, wat)?

Ik ben serieus benieuwd naar jouw antwoorden; ook ik weet ontzettend veel niet en hou er altijd rekening mee dat ik iets over het hoofd zie (ondanks dat ik, in dit geval, m.i. de Koninklijke Weg heb bewandeld door netjes een bug report bij Google in te dienen en veel meer dan 90 dagen te wachten met publicatie; ik voel mij nu extreem geschoffeerd door de manier waarop ik behandeld ben, maar vooral door de wijze waarop Google één van de problemen heeft "gefixed").
01-03-2024, 12:18 door majortom - Bijgewerkt: 01-03-2024, 12:20
Door Erik van Straten: @Anomiem 09:10: dank voor de eerste (zo te zien) inhoudelijke reactie! Ondanks alle virtuele klappen in mijn lange leven ben ik klaarblijkelijk toch nog steeds hartstikke naïef.

De (door mij onverwachte) desinteresse voor mijn topic, tot vanochtend, wordt mogelijk veroorzaakt doordat iedereen, die dat nog niet persoonlijk heeft meegemaakt, ervan overtuigd is dat "account lockout overkomt mij niet". Mogelijk omdat men denkt "je belt of mailt en dan heb je zó jouw
[ Insta | Facebook | Twitter | Github | * ] account weer terug". GLWT...
Die desinteresse komt bij mij enkel vanwege het feit dat ik o.a. Google/Apple/Microsoft/AWS (prive) de rug heb toegekeerd, geen passkeys gebruik/ga gebruiken die ik niet zelf in een lokale keystore kan bewaren.
01-03-2024, 12:48 door Anoniem
Door Erik van Straten:

Ik ben serieus benieuwd naar jouw antwoorden; ook ik weet ontzettend veel niet en hou er altijd rekening mee dat ik iets over het hoofd zie (ondanks dat ik, in dit geval, m.i. de Koninklijke Weg heb bewandeld door netjes een bug report bij Google in te dienen en veel meer dan 90 dagen te wachten met publicatie; ik voel mij nu extreem geschoffeerd door de manier waarop ik behandeld ben, maar vooral door de wijze waarop Google één van de problemen heeft "gefixed").

Nou op de eerste plaats ga ik over 4 jaar met pensioen en heb mijn hele werkende leven in de IT security gezeten.
Maar, let op: dat zegt natuurlijk helemaal niets Want ik weet natuurlijk ook wel dat ik op mn 20e een boek las, er examen over deed en een uur later geslaagd weer buiten stond. Tegenwoordig ben ik 20 bladzijdes verder en vraag ik me af wat ik ook alweer gelezen heb.

Maar... ik maak voor mijzelf echt een zeer duidelijk onderscheid tussen IT beveiliging en privacy. En daardoor ben ik me ook bewust dat er tussen deze twee gebieden een grote overlap bestaat waarin het een rechtstreeks invloed heeft op de ander. Dat vind ik ook het lastige aan deze site, want tussen alle geopperde zorgen door gaat het vaak om maximale veiligheid OF maximale privacy. En zo werkt het gewoon niet.

Om op je vraag 1 uit te komen: Op een Pixel bedoel is een userswitch en op mijn chromebook worden mijn gebruikersgegevens sowieso niet opgeslagen (moet ik wel elke keer inloggen via een wachtwoordzin van 7 woorden maar vooruit.

Binnen je vraag 3 bedoel ik uiteraard de sync phassphrase. Ook die is bij mij een (andere) wachtwoordzin van 7 woorden. En inderdaad heb ik -net als jij- gemerkt dat als ik deze wijzig op al mijn andere devices de gesynchroniseerde gegevens waren verdwenen.

Volgens gaat dit (jouw conversatie met Google) vooral om het feit dat jij erachter kwam dat je Passkeys waren verdwenen na wijziging passphrase. Correct me if i am wrong. En daarvan zeg ik: dat is geen bug, dat is goddank een feature! Dat je daarna een tijd moet wachten totdat je devices weer zijn gesynchroniseerd, is a part of the job.

Ik heb overigens nog even gekeken naar de specifieke text: "Hiermee worden de Chrome- en ChromeOS-gegevens gewist die zijn opgeslagen in je Google-account. Hierdoor worden sommige gegevens van je apparaat gewist. Hiermee verwijder je ook je wachtwoordzin voor synchronisatie." Ik denk dan: allemachtig, Google heeft serieus nagedacht over IT security (Dat Google niet zo goed omgaat met privacy is dus de hele andere discussie die ik hierboven al aanhaalde).

In de aanbestedingen wereld is het altijd weer een 'gedoetje' hoe je de exit-strategie hanteerd als je van IT leverancier (of cloud oplossing) wisselt. Hoe weet je zeker dat de verlatende leverancier de persoonsgegevens netjes verwijderd zoals de AVG aangeeft.

Google doet dit gewoon. Heel vervelend dat je dan even niet bij je Passkeys kan maar dat is dan maar even zo.

Dat gezegd hebbende, denk ik, dat als je niet heel duidelijk stelt wat voor jou de belangrijkste factor is (beveiliging of privacy) dat je het door jouw gewenste resultaat voor het ene doel gaat gebruiken om het andere doel geregeld te krijgen. En dan ga ik nog een stap verder: wil je niet dat de overheid van alles van je weet of wil je niet dat 'bigtech' van alles van je weet. Want dat zijn in privacyland ook twee totaal verschillende doelen.
01-03-2024, 13:07 door Erik van Straten
Door majortom: Die desinteresse komt bij mij enkel vanwege het feit dat ik o.a. Google/Apple/Microsoft/AWS (prive) de rug heb toegekeerd, geen passkeys gebruik/ga gebruiken die ik niet zelf in een lokale keystore kan bewaren.
Volkomen begrijpelijk en gerespecteerd, ik bedoelde niet zozeer reguliere (niet trollende) reageerders van deze site, maar de (technische / security geörienteerde) media - zoals deze site, tweakers.net en zeer veel buitenlandse. Te weinig "sensationeel" vermoed ik, "we bestaan in de eerste en enige plaats om te scoren, dus niet om mensen fatsoenlijk te informeren".

Als mosterd vér na de maaltijd (heeft Joost net ontdekt waar Abraham die bitterballensaus haalt?), groot "nieuws", OMG: https://nos.nl/artikel/2510923-amerikaanse-overheid-kan-bij-e-mail-van-nederlandse-overheden-en-kritieke-bedrijven. Onnieuws dat wél ASAP wordt nagekakeld (https://security.nl/posting/831808).
02-03-2024, 01:07 door Erik van Straten
Door Anoniem: Om op je vraag 1 uit te komen: Op een Pixel bedoel is een userswitch
Dan verdwijnt er niets van jouw smartphone. Jouw data wordt (hopelijk, dankzij de juiste permissies) ontoegankelijk gemaakt. De andere gebruiker kan overigens allerle instellingen wijzigen. Na een userswitch en terug ziet "mijn" gboard er ineens anders uit (zelfs zonder dat ik, in het anders account, aan de instellingen daarvan had gezeten).

Ik heb nog niet getest wat er gebeurt als ik, na zo'n user-switch (wat overigens bijna niemand doet) gebruik ga maken van passkeys. Sowieso lijkt mijn smartphone dan ontkoppeld van mijn gmail account (daar gebruikt Android een "device bound" passkey voor, waar er mogelijk meerdere van kunnen bestaan - uitzoekwerk).

Door Anoniem: en op mijn chromebook worden mijn gebruikersgegevens sowieso niet opgeslagen (moet ik wel elke keer inloggen via een wachtwoordzin van 7 woorden maar vooruit.
Los van hoe onhandig dat is (en naast jou bijna niemand doet): er zijn, vziw, veel meer mensen met Android smartphones en Android tablets dan Chromebooks. Die sowieso een ander OS hebben: ik schreef NIET "Don't use ChromeOS passkeys!".

Ik ga verder uit van Android (ik heb zelfs geen Chromebook).

Door Anoniem: Binnen je vraag 3 bedoel ik uiteraard de sync phassphrase. Ook die is bij mij een (andere) wachtwoordzin van 7 woorden. En inderdaad heb ik -net als jij- gemerkt dat als ik deze wijzig op al mijn andere devices de gesynchroniseerde gegevens waren verdwenen.
"Detail": alle via Chrome opgeslagen wachwoorden staan dan nog lokaal opgeslagen. Die kun je terugvinden door in GPM op jouw account-icoontje te drukken, dan (onder "Google") op de regel met jouw account te drukken, en dan te kiezen voor:
Manage passwords on this device
Locally saved Chrome passwords
Merk op dat links van bovenstaande tekst een "cloud" met een schuine streep erdoor te zien is.

Als je op die regel drukt en "Continue" kiest, zie je nu rechtsboven die wolk met schuine streep erdoor terug. In de "psgina" zelf zie je uitsluitend wachtwoorden, terwijl jouw passkeys (als je die zonet had) nergens meer te zien zijn.

Door Anoniem: Volgens gaat dit (jouw conversatie met Google) vooral om het feit dat jij erachter kwam dat je Passkeys waren verdwenen na wijziging passphrase. Correct me if i am wrong.
Wrong.

Eén van de aanleidingen om op "Clear data" onderaan https://chrome.google.com/sync te drukken, zijn de instructies te vinden in https://support.google.com/chrome/answer/165139.

Sowieso kom je al in grotere problemen als je "Device encryption" (https://support.google.com/accounts/answer/11350823, zeer verwarrend, device is al encrypted, bedoeld worden hier o.a. wachtwoorden) conbineert met een sync passphrase; als daarbij iets fout gaat (als ik me goed herinner kun je dan die sync passphrase niet meer resetten) ontkom je er niet aan om op "clear data" te drukken.

Dat combineren is geen gek idee, want "device encryption" betreft uitsluitend passkeys en passwords, niet alle andere via de cloud gesyncte data - die Google dan gewoon kan meekijken.

Ook staat er, in GPM —> settings —> Set up on-device encryption —> Next , onder meer:
Once on-device encryption is set up, you can't remove it
Bangmakerij, met "clear data" is dat weer weg (inclusief al jouw passkeys).

Bovendien kwam ik, na het testen met het drukken op GPM —> settings —> Don't use screen lock (in een poging om niet werkende passkeys weer werkend te krijgen, ik hoopte dat hierdoor de encryption key gewist zou worden, waarna ook die gesynced zou kunnen worden vanaf mijn andere toestel) vaak in een situatie terecht met totaal onduidelijke foutmeldingen en geen enkele passkey nog werkend, wat alleen maar op te lossen viel door op "clear data" te drukken.

Daarnaast beschreef ik (op FD) een bug in https://passwords.google.com/ waardoor je passkeys kwijt kunt raken, én ik schreef dat ik nu 2 Android smartphones heb waartussen de passkeys synchroniseren, maar die ik alleen kan gebruiken op het toestel waarop ze zijn aangemaakt. Dit kan ik alleen fixen door op "clear data" te drukken (met als gevolg: alle passkeys foetsie).

Ik heb LETTERLIJK de situatie meegemaakt dat ik dat tweede toestel aan mijn gmail account koppelde, waarna er iets fout ging: er werd NIET om de ontgrendelcode van mijn eerste toestel gevraagd, maar in plaats daarvan werd er een NIEUWE encryptiesleutel gegenereerd. Kennelijk werden daarna de passkeys (met versleutelde private keys) gesynchroniseerd. Al die passkeys (de niet versleutelde metadata) waren zichtbaar op mijn tweede toestel, maar geen enkele van die passkeys was bruikbaar - omdat de private keys met een andere sleutel (namelijk die op het eerste toestel) waren versleuteld dan op het tweede toestel staat.

Dat betekent dus dat je het risico loopt dat als jouw Pixel in de plee valt, en je een nieuwe koopt, vanuit de cloud gesynchroniseerde ("gebackupte") passkeys wel zichtbaar zijn maar niet werken op jouw nieuwe toestel. En dat kun je dan niet meer fixen.

Overigens heeft Adam bevestigd dat dit kan gebeuren, en dat dit een bug is waaraan gewerkt wordt (sterker, ik heb in de 2e helft van 2023 meerdere wijzigingen gezien die dit probeerden te fixen, maar zonder succes). De vraag is of dat überhaupt kan; het is m.i. een ontwerpfout om per device (-account?) een encryptiesleutel te maken, i.p.v. per gmail account (Apple lijkt dit wel per iCloud account te doen).

Door Anoniem: En daarvan zeg ik: dat is geen bug,
Klopt, het is een puinhoop.

Door Anoniem: dat is goddank een feature! Dat je daarna een tijd moet wachten totdat je devices weer zijn gesynchroniseerd, is a part of the job.
Wut? Sync gaat snel, maar alle passkeys zijn verdwenen!

Door Anoniem: Ik heb overigens nog even gekeken naar de specifieke text: "Hiermee worden de Chrome- en ChromeOS-gegevens gewist die zijn opgeslagen in je Google-account. Hierdoor worden sommige gegevens van je apparaat gewist. Hiermee verwijder je ook je wachtwoordzin voor synchronisatie." Ik denk dan: allemachtig, Google heeft serieus nagedacht over IT security (Dat Google niet zo goed omgaat met privacy is dus de hele andere discussie die ik hierboven al aanhaalde).
De tekst "Hierdoor worden sommige gegevens van je apparaat gewist." heb je "aan mij" en aan Adam te danken. Tot medio juni stond er dat er GEEN gegevens op je apparaat zouden worden gewist. Adam heeft die tekst gewijzigd n.a.v. mijn bugreport (en dat is, vziw, het enige dat hij gedaan heeft).

Door Anoniem: Heel vervelend dat je dan even niet bij je Passkeys kan maar dat is dan maar even zo.
Kun je eigenlijk wel lezen? Het is niet "even" maar PERMANENT. Al jouw passkeys zijn verdwenen. Voorgoed. Van al jouw devices.
02-03-2024, 11:20 door Anoniem
Dank voor deze (wel) heldere en conrete uiteenzetting.

Door Erik van Straten:
Kun je eigenlijk wel lezen? Het is niet "even" maar PERMANENT. Al jouw passkeys zijn verdwenen. Voorgoed. Van al jouw devices.[/quote

Het probleem is niet dat ik niet kan lezen, maar ik probeer het security risico te ontdekken. Ik durf te beweren dat er geen security risico bestaat, maar dat het gaat om gebruikersongemak. Ik lees namelijk nergens dat je Passkeys ineens zouden zijn gecompromitteerd:

Door Erik van Straten: ik schreef dat ik nu 2 Android smartphones heb waartussen de passkeys synchroniseren, maar die ik alleen kan gebruiken op het toestel waarop ze zijn aangemaakt. Dit kan ik alleen fixen door op "clear data" te drukken (met als gevolg: alle passkeys foetsie).

Dit is veel meer een mitigerende maatregel dan een security issue. Je Passkeys zijn niet overdraagbaar van het ene naar het andere toestel. Dat is meer veilig dan dat het onveilig is.

Voor diegenen die twee Pixels tegelijkertijd wil gebruiken is het wel lastig, dat geef ik zo toe.
02-03-2024, 20:28 door Erik van Straten
Door Anoniem:Dank voor deze (wel) heldere en conrete uiteenzetting.
Graag gedaan. Tip: druk niet meteen "Reageren" maar eerst op "Preview" en kijk de reactie na. Dan had je gezien dat je "[quote" niet met een ']' had afgesloten.

Door Anoniem:
Door Erik van Straten:
Kun je eigenlijk wel lezen? Het is niet "even" maar PERMANENT. Al jouw passkeys zijn verdwenen. Voorgoed. Van al jouw devices.
Het probleem is niet dat ik niet kan lezen, maar ik probeer het security risico te ontdekken.
Geen toegang meer hebben tot een account IS een security-issue.

Het is lastig discussiëren voor mij als ik niet weet dat anderen de meest basale aspecten van informatiebeveiliging niet kennen.

De (m.i. algemeen) bekende IB (IndormatieBeveiliging) -criteria voor informatie zijn:

BIV = Beschikbaarheid, Integriteit, Vertrouwelijkheid (https://nl.wikipedia.org/wiki/BIV-classificatie).
Engels: CIA = Confidentiality, Integrity, Availability.

Gebruikelijk is het om de risico's in te schatten van de onbeschikbaarheid-, naast inbreuken op de vertrouwelijkheid en integriteit (niet corrupt zijn) van informatie.

Onbedoeld verlies van toegang tot gegevens is zélfs een datalek, zie https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/wat-is-een-datalek.

Het kunnen "kwijtraken" van passkeys, is -indirect- meestal ook een vertrouwelijkheidsrisico. Want, indien er een significante kans bestaat dat je één t/m al jouw passkeys kwijtraakt (*), zouden account-verstrekkers een alternatief moeten bieden om alsnog in te kunnen loggen. Bijna altijd geldt dan echter:

1) Je bent phishable. Daarmee is het voordeel van passkeys meestal foetsie.

2) Zo'n alternatieve inlogmethode blijkt, in de praktijk, vooral na verloop van tijd, ombetrouwbaar. Mensen geven bijv. emailadressen of telefoonnummers op, doch nemen later een ander emailadres of een ander telefoonnummer (iets dat vooral i.r.t. scheidingen vaker kan vóórkomen, zie de eerstvolgende link hieronder), en vergeten dat door te geven aan alle partijen die dergelijke gegevens nog geregistreerd hebben staan. Of zij noteren "ergens" een "rescue code" maar vergeten waar, of raken dat papiertje kwijt.

(*) Je kunt zélf géén backups maken van passkeys. Daarmee is het, als je zelf niks doet waarvan het klip en klaar is dat dit tot verlies van één tot al jouw passkeys leidt, voor 100% de verantwoordelijkheid van Google dat jij geen enkele van jouw paaskeys -ongewild- kwijtraakt.

Je kunt op internet zat verhalen vinden van mensen die niet zo succesvol zijn (vooral bij account-hijack is het voor de account-aanbieder de vraag wie wie is). Mensen zijn de foto's van hun kinderen of hun handel kwijt.

Lees hier het verhaal van Amy - die de toegang tot haar Instagram account kwijtraakte (en uitsluitend omdat zij een journaliste kende, die er het volgende over schreef, haar account weer terugkreeg): https://arstechnica.com/tech-policy/2024/01/meta-verification-proved-useless-and-my-family-is-still-locked-out-of-instagram/.

Meer links:
https://www.bleepingcomputer.com/news/security/lastpass-users-furious-after-being-locked-out-due-to-mfa-resets/

https://www.theregister.com/2023/03/24/microsoft_geolocation_fail_uzbekistan/

• Nederlandstalig: https://web.archive.org/web/20230330175223/https://radar.avrotros.nl/nieuws/item/kunstenaar-lucienne-55-voelt-enorme-leegte-na-instagram-hack-ik-had-echt-iets-opgebouwd/

• In de 2e Youtube video genoemd onder "Dilemma: PIN, wachtwoord of biometrie?" in https://security.nl/posting/798960 kun je, op het einde van de video, een radeloze man zien wien's Apple ID (en daarmee zijn hele "digitale leven") is gekaapt; zie dat maar eens terug te krijgen.

• Conor Gilsenan in https://infosec.exchange/@conorgil/109542076290811160 (zie ook https://www.security.nl/posting/778668/TOTP+Authenticators+drama).

• Deze noemde ik ook aan Adam Langley: kijk naar de negatieve reacties in https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2.

Account lockout kan een hap uit jouw identiteit betekenen, en kan als erger worden ervaren dan dat jouw gpersoonsegevens op straat belanden.
02-03-2024, 21:30 door Anoniem
Ik snap het probleem niet zo. Je hoeft die Google rommel niet te gebruiken tenslotte. Chrome is ook niet nodig om te gebruiken en qua authenticators zijn er ook voldoende alternatieven die wel backups kunnen maken.
Ik snap niet dat mensen zich zo afhankelijk maken van een Google of een Apple. Gebruik gewoon een fysieke passkey en stop eens met dat Gmail of andere Google meuk. Je doet het jezelf aan als je jezelf zo afhankelijk maakt van Big Tech.
02-03-2024, 22:54 door Anoniem
Door Erik van Straten:

Account lockout kan een hap uit jouw identiteit betekenen, en kan als erger worden ervaren dan dat jouw gpersoonsegevens op straat belanden.

Het kwijtraken van een passkey zorgt niet voor een accountlockout.
Voor een accountlockout moet er sprake zijn van onzorgvuldig accountbeheer door de eigenaar van dat account.

De BIV is hier dus ook helemaal niet van toepassing.
03-03-2024, 00:06 door Erik van Straten - Bijgewerkt: 03-03-2024, 00:22
Door Anoniem: Ik snap het probleem niet zo. Je hoeft die Google rommel niet te gebruiken tenslotte. Chrome is ook niet nodig om te gebruiken en qua authenticators zijn er ook voldoende alternatieven die wel backups kunnen maken.
Ik snap niet dat mensen zich zo afhankelijk maken van een Google of een Apple. Gebruik gewoon een fysieke passkey en stop eens met dat Gmail of andere Google meuk. Je doet het jezelf aan als je jezelf zo afhankelijk maakt van Big Tech.
Weer zo'n anonieme expert met een reactie waar de negativiteit van af spat en waar helemaal niemand iets aan heeft:

• Gebruik geen Google rommel

• Gebruik Chrome niet

• Zoek zelf maar uit welke Authenticators (die geen van allen phishingproof zijn) "wel backups kunnen maken". In mijn eigen woorden: wel voldoende veilig en privacyvriendelijk backups van TOTP gegevens maken (zowel de secrets als de metadata).

• Gebruik geen Apple spullen

• Gebruik gewoon een fysieke passkey (alleen bestaan die niet)

• Gebruik geen gmail of andere Google meuk

Huawei dus?

Als jij het allemaal zo goed weet, begin dan je eigen draad en schrijf een handleiding - vooral voor die ca. 4 miljoen Nederlanders met geen of onvoldoende taal- en/of digitale vaardigheden. Waarin je beschrijft hoe zij, zonder big tech, hun digitale leven wél privacy-vriendelijk en cybersecure zouden kunnen inrichten.

En dat niet door te schrijven wat zij allemaal niet moeten doen (zoals je hierboven doet, en waar letterlijk noemand iets aan heeft), maar door wél te schrijven wat zij, op z'minst, allemaal wél zouden moeten doen om jouw fantastische digitale wereld na te bootsen.

Nb., fysieke passkeys bestaan niet, en mocht je (voor de meeste mensen ombruikbare) FIDO2 hardware keys bedoelen, vertel er dan meteen eerlijk bij wat alle nadelen daarvan zijn. En doe dat ook van alle andere niet gangbare hard- en software die je aanraadt in die handleiding.

(Voordat je roept dat ook ik in deze draad negatief ben: ik heb al meerdere keren geschreven dat het gebruiken van een wachtwoordmanager, die de domeinnaam checkt, behoorlijk in de buurt komt van de veiligheid van passkeys - maar dan zonder de nadelen daarvan - vorige week nog hier: https://infosec.exchange/@ErikvanStraten/112000236716777105).

P.S. ik ga niet mijn adem inhouden totdat jij, in een eigen draad, uiteen hebt gezet hoe dan wél (de adem inhouden tot jouw eerstvolgende flutreactie raad ik ook niemand aan, maar de overlevingskansen zijn dan een stuk groter).
03-03-2024, 19:46 door Anoniem
ja, ooit een keer achter gekomen met een chromebook... na een aantal password updates zonder in te loggen op de chromebook bleek er maar 3 te synchen.. dus 4 keer ww veranderen voordat je CB aanging, en dan was je alles kwijt.
04-03-2024, 12:05 door Anoniem
waarom zou ik de sleutel van voordeur uberhaupt aan bedrijven geven je op alle manieren proberen te tracken en je privacy schenden.
Die vraag impliceert dat je het niet helemaal begrijpt.

Een hardwardware security key -zoals een fingerprint of een FIDO2 token- gebruiken -net zoals SSH- een secret key en een public key. Met de secret key sign je een challange, en dat resultaat moet aan de remote zijde geverifieerd worden d.m.v. een public key. Die alvorens dus wel bekend moest zijn.

Nemen wij nu jouw vraag "waarom zou ik de sleutel van voordeur uberhaupt aan bedrijven geven je op alle manieren proberen te tracken en je privacy schenden".

A: je geeft niet de sleutel van de voordeur.
B: zonder public key kan niet geverifieerd of jij het bent.
05-03-2024, 00:38 door Erik van Straten
Door Anoniem: [...]
Een hardwardware security key -zoals een fingerprint of een FIDO2 token- gebruiken -net zoals SSH- een secret key en een public key. Met de secret key sign je een challange, en dat resultaat moet aan de remote zijde geverifieerd worden d.m.v. een public key. Die alvorens dus wel bekend moest zijn.

Nemen wij nu jouw vraag "waarom zou ik de sleutel van voordeur uberhaupt aan bedrijven geven je op alle manieren proberen te tracken en je privacy schenden".

A: je geeft niet de sleutel van de voordeur.
B: zonder public key kan niet geverifieerd of jij het bent.
Het is niet zo simpel.

Wat je met die "fingerprint" bedoelt weet ik niet, maar bij de meeste FIDO2 hardware tokens kun je de private keys die daarin zijn opgeslagen niet exporteren. Maar of dat helpt, "hangt er van af".

FIDO2 hardware sleutels (zoals Yubikeys)
Het voordeel daarvan is dat, zolang die fysieke sleutel in jouw bezit is, niemand anders die private keys kan misbruiken. Helaas betekent dit niet dat je niet misleid kunt worden.

Je kunt zo'n FIDO2 hardware key alleen veilig gebruiken indien:

• Geen van de client-apparaten die je gebruikt gecompromitteerd (kwaadaardig) is (want dan kun je, op jouw toestel, gefopt worden met de website waar je op inlogt), én

• Je niet inlogt op een nepsite die onterecht een https servercertificaat heeft verkregen voor de, in de adresbalk van jouw browser, getoonde domeinnaam.

Eén van de vele nadelen van FIDO2 hardware sleutels, waaruit je ook zelf geen private keys kunt exporteren, is dat ook jijzelf daar geen backup van kunt maken. En je dus zelf voor een "plan B" moet zorgen dat beschrijft hoe je weer toegang krijgt tot jouw accounts bij verlies of defect raken van zo'n hardware sleutel.

Passkeys
Uit https://developers.google.com/identity/passkeys/faq#what_happens_if_a_user_loses_their_device:
What happens if a user loses their device?
Passkeys created on Android are backed up and synced with Android devices that are signed in to the same Google Account, in the same way as passwords are backed up to the password manager.

That means user's passkeys go with them when they replace their devices. To sign into apps on a new phone, all the user needs to do is to verify themselves with their existing device's screen lock.

"E2EE" cloud backups
Google (en Apple, en cloud-gebaseerde wachtwoordmanagers) zul je moeten vertrouwen met gegevens in de cloud, ook al claimen zij E2EE (End to End Encryption) - dus versleuteling op het toestel, opslag in en/of transport via "de cloud", terug naar hetzelfde toestel of transport naar een ander toestel (omdat je er tegelijkertijd twee hebt, of een nieuw toestel hebt ter vervanging van het eerste - waarbij, na restore, op die toestellen wordt "ontsleuteld").

Daarbij kunnen er drie problemen optreden:

1) AitM op toestel
Op jouw toestel of toestellen "draait" een besturingssysteem, software dus, van een leverancier die jij zult moeten vertrouwen. Dit geldt OOK bij het gebruik van FIDO2 hardware keys! Die software op jouw toestel kan, net als "echte" malware, jou voor de gek houden door jou andere dingen te laten zien dan zou moeten, en/of invoer van jou (zoals een URL) te wijzigen.

2) Web-server gebaseerde AitM
Gehackte server of echt een andere server dan bedoeld, doch met een onterecht uitgegeven https servercertificaat (door hacken van DNS-record(s), uitgebreide DNS-aanval, BGP-hijack, of een AitM tussen de server met het uit DNS gehaalde IP-adres en de feitelijke server. Of een DNS hack (zoals een toevoeging aan jouw hosts file) plus een fout rootcertificaat toegevoegd op jouw toestel (of PC).

3) Na verliies van (toegang tot) toestel
Stel dat je jouw toestel in de trein laat liggen, dat het toestel gestolen wordt of dat het irreparabel kapot gaat. Na het aanschaffen van een nieuw toestel, zul je waarschijnlijk de cloud-backup (indien die gemaakt is) op dat nieuw toestel willen "terugzetten". Daarbij heb je natuurlijk geen toegang meer tot de "secure enclave" van jouw oude toestel (met daarin, zo veilig als mogelijk, opgeslagen geheimen zoals een key chain en/of neural hashes van vingerafdrukken). Er zijn dan maar 3 "dingen":

(a) Cloud wachtwoord
Jouw wachtwoord voor toegang tot jouw cloud-account met de backup (al dan niet voorzien van MFA, zoals een e-mail adres bij een andere provider, of een alternatief telefoonnummer);

(b) Ontgrendelcode
De scherm-ontgrendelcode van jouw oude smartphone;

(c) De cloud-backup zelf.

Cloud HSM (marketing speak)
Google claimt dat zij over een soort "cloud HSM's" (HSM = Hardware Security Module) beschikt waarin gegevens waartoe haar medewerkers geen toegang tot zouden hebben. Echter, als jij een cloud-backup wilt restoren op een nieuw toestel (dat nog van niks "weet"), ontkom je er niet aan om zeker "(a)" en mogelijk "(b)" naar een partij zoals Google te sturen.

Dus, ook al zou Google over "onkraakbare" HSM's beschikken: linksom of rechtsom moet je "(b)", en eventueel "(a)", via één of meer servers van Google, naar die HSM sturen - ervan uitgaande dat je geen https verbinding tot en met zo'n HSM hebt. Maar zelfs als dat zo zou zijn, weet je dat niet (zeker) - alleen al vanwege het feit dat Google zelf haar eigen certificaten uitgeeft.

Met andere woorden, in zo'n situatie kan Google, als zij dat wil, of daartoe gedwongen wordt (*), als een Attacker in the Middle, met de door jou verstrekte "(a)" en evt. "(b)", de cloud-backup op een toestel in het bezit van (een werknemer van) Google "terugzetten" (restoren).

(*) Bijvoorbeeld in het kader van Section 702 van de FISA wetgeving van de VS. Gebruikelijk is dat een partij als Google MOET zwijgen over zo'n "verzoek" (feitelijk een eis). Ook maakt het niet uit of de Google server met jouw backup in de VS of in Noord Holland staat.

Conclusie
Online is de situatie totaal onvergelijkbaar met een "offline" voordeursleutel.

Linksom of rechtsom ontkom je er niet aan dat je bij online inloggen allerlei partijen, zoals hardware fabrikanten en software-leveranciers, zult moeten vertrouwen (partijen die, op hun beurt, zelf ook weer allerlei derde partijen kunnen vertrouwen, enzovoorts - zonder dat jij weet wie dat zijn, laat staan dat je daar invloed op kunt uitoefenen).

Ook als je FIDO2 hardware keys gebruikt waar private keys niet uit geëxporteerd kunnen worden, ben je v.w.b. de beveiliging (denk aan het risico op identiteitsfraude) afhanfankelijk van een onbekend aantal partijen waarbij je van een deel daarvan mogelijk nog nooit gehoord hebt. Mijn eerste (en laatste) Yubikey bleek overigens een ernstige kwetsbaarheid te bevatten en kon niet geüpdated worden. Ik kon hem omruilen maar had er geen zin meer in (ik heb dat ding als een relikwie bewaard).
05-03-2024, 13:11 door Anoniem
Door Erik van Straten:
Door Anoniem: [...]
A: je geeft niet de sleutel van de voordeur.
B: zonder public key kan niet geverifieerd of jij het bent.
Het is niet zo simpel.

OK, als je er een lang verhaal van maakt, dan vis ik er (ditmaal) wel de essentie uit:

Door Erik van Straten:meeste FIDO2 hardware tokens kun je de private keys die daarin zijn opgeslagen niet exporteren.
Kortom, je zegt alsnog hetzelfde als hetgeen ik al eerder zei:
A: je geeft niet de sleutel van de voordeur.

Door Erik van Straten: Helaas betekent dit niet dat je niet misleid kunt worden.
Dat is een ander onderwerp dan mijn statements, die je aan het "tegenspreken" bent.

Door Erik van Straten: Passkeys created on Android are backed up and synced with Android devices that are signed in to the same Google Account, in the same way as passwords are backed up to the password manager.
Ik ben er vrij zeker van dat dat optioneel is.
Kun je op een Google-loze GrapheneOS telefoon dan geen biometrische FIDO2 gebruiken?
(hetgeen -speulatief- dan alsnog via grapheneos.org zou kunnen gaan)

Door Erik van Straten: To sign into apps on a new phone, all the user needs to do is to verify themselves with their existing device's screen lock.
Kan het zijn dat we het hier niet over de werkelijke hardware token zelf hebben, maar Google Authenticator tokens welke door meerdere hardware tokens (middels screenlock) geauthenticeert kan worden?

Door Erik van Straten: Gehackte server of echt een andere server dan bedoeld, doch met een onterecht uitgegeven https servercertificaat (door hacken van DNS-record(s), uitgebreide DNS-aanval, BGP-hijack, of een AitM tussen de server met het uit DNS gehaalde IP-adres en de feitelijke server. Of een DNS hack (zoals een toevoeging aan jouw hosts file) plus een fout rootcertificaat toegevoegd op jouw toestel (of PC).
Nee, inderdaad ja, laat ik maar geen FIDO2 gebruiken dan.
(ja, dat is ironie, of beter: badwater & baby).

Door Erik van Straten: Stel dat je jouw toestel in de trein laat liggen, dat het toestel gestolen wordt of dat het irreparabel kapot gaat ... Er zijn dan maar 3 "dingen"
Slechts 3?

Door Erik van Straten:
Conclusie
Online is de situatie totaal onvergelijkbaar met een "offline" voordeursleutel.
Conclusie je was het dus toch wel met mij eensch:
A: je geeft niet de sleutel van de voordeur.
En, in geval van biometrie, is zo'n digitale sleutel een stuk minder bruikbaar dan een metalen fysieke sleutel.

Door Erik van Straten: Yubikey bleek overigens een ernstige kwetsbaarheid te bevatten en kon niet geüpdated worden. Ik kon hem omruilen maar had er geen zin meer in (ik heb dat ding als een relikwie bewaard).
Dat is de enige juiste strategie. Sedert Hearthbleed gebruik ik geen enkele OpenSSL meer. En elke BGP en DNS applicatie die ooit een critical had, verban ik eveneens voor eeuwig uit mijn digitale leven.
Erik, je bent echt wel intelligent, maar nu doe je je toch echt slimmer voor dan je werkelijk bent.

Als Android keys niet OK zijn, en Yubikey evenmin, heb je dan wel eens gekeken naar
https://www.nitrokey.com/
https://www.solokeys.com/
https://www.kensington.com/c/products/data-protection/fingerprint-security-keys/
Of ben je werkelijk van mening dat jouw credo "niet gebruiken" ook een serieus goed advies is voor grote organisaties?
In mijn optiek is een werkelijke hardware key een effectieve methode om password sharing te voorkomen en keylogging danwel sniffing danwel brute-force attacks te elimineren (middels de challenge/response). Hetgeen in mijn optiek een groter gewicht in de schaal legt, dan jouw niet-te-ontkennen tegenargumenten.
06-03-2024, 10:34 door Erik van Straten
Door Anoniem: Kortom, je zegt alsnog hetzelfde als hetgeen ik al eerder zei:
A: je geeft niet de sleutel van de voordeur.
Klopt.

Maar de maker van de door jou gebruikte browser (en die van plug-ins) heeft de sleutel van jouw achterdeur, de maker van het besturingssysteem die van jouw tuindeuren, de makers van de door jou gebruikte hardware die van jouw keukenraam, en de makers van mogelijk op jouw apparatuur geïnstalleerde kwaadaardige software die mag wat jij mag hebben een boomstam waarmee ze jouw voordeur kunnen laten versplinteren, en als jij op een nepsite met de juiste domeinnaam inlogt (denkbaar in verschillende scenario's) slaan ze met een grotere ijzeren bal aan een ketting de voorgevel van jouw huis eruit.

Door Anoniem:
Door Erik van Straten: Helaas betekent dit niet dat je niet misleid kunt worden.
Dat is een ander onderwerp dan mijn statements, die je aan het "tegenspreken" bent.
Ik probeer "slechts" alle potentiële risico's in kaart te brengen en te beschrijven.

Door Anoniem:
Door Erik van Straten: Passkeys created on Android are backed up and synced with Android devices that are signed in to the same Google Account, in the same way as passwords are backed up to the password manager.
Ik ben er vrij zeker van dat dat optioneel is.
Sja, als Google iets beweert en ik constateer dat het zo werkt (alleen niet betrouwbaar), dan zal jij het wel beter weten (overigens zonder verifieerbare feiten te verstrekken, dus kennelijk gebaseerd op de mening van jouw onderbuik). Geniet ervan (dan doet tenminste nog iemand dat).

Door Anoniem: Kun je op een Google-loze GrapheneOS telefoon dan geen biometrische FIDO2 gebruiken?
(hetgeen -speulatief- dan alsnog via grapheneos.org zou kunnen gaan)
Ik heb geen idee.

Jij valt mij aan op mijn posting over risico's van Android passkeys, waarvan het (omdat zij een Google cloud account vereisen) niet voor de hand ligt dat jij die op whatever-not-Android OS gaat gebruiken. Waarna ik jou erop probeer te wijzen dat oplossingen zonder risico's niet bestaan, wat jij lijkt te bestrijden.

Door Anoniem: Kan het zijn dat we het hier niet over de werkelijke hardware token zelf hebben, maar Google Authenticator tokens welke door meerdere hardware tokens (middels screenlock) geauthenticeert kan worden?
Google Authenticator is een TOTP app (heeft niets met passkeys o.i.d. te maken en is niet phishing-resistant).

Door Anoniem: Nee, inderdaad ja, laat ik maar geen FIDO2 gebruiken dan.
(ja, dat is ironie, of beter: badwater & baby).
[...]
Slechts 3?
[...]
Conclusie je was het dus toch wel met mij eensch:
A: je geeft niet de sleutel van de voordeur.
En, in geval van biometrie, is zo'n digitale sleutel een stuk minder bruikbaar dan een metalen fysieke sleutel.

Erik, je bent echt wel intelligent, maar nu doe je je toch echt slimmer voor dan je werkelijk bent.
Dank.

Door Anoniem: Als Android keys niet OK zijn, en Yubikey evenmin, [...]
Of ben je werkelijk van mening dat jouw credo "niet gebruiken" ook een serieus goed advies is voor grote organisaties?
Mijn credo luidt anders: wees je bewust van alle (rest-) risico's, en weeg ook de (praktische) nadelen mee van alle mogelijke oplossingen.

Door Anoniem: In mijn optiek is een werkelijke hardware key een effectieve methode om password sharing te voorkomen en keylogging danwel sniffing danwel brute-force attacks te elimineren (middels de challenge/response). Hetgeen in mijn optiek een groter gewicht in de schaal legt, dan jouw niet-te-ontkennen tegenargumenten.
(Nee-schuddend) Je hebt gelijk, schat.
06-03-2024, 13:35 door Anoniem
Door Erik van Straten: Maar de maker van de door jou gebruikte browser (en die van plug-ins) heeft de sleutel van jouw achterdeur, de maker van het besturingssysteem die van jouw tuindeuren, de makers van de door jou gebruikte hardware die van jouw keukenraam, en de makers van mogelijk op jouw apparatuur geïnstalleerde kwaadaardige software die mag wat jij mag hebben een boomstam waarmee ze jouw voordeur kunnen laten versplinteren, en als jij op een nepsite met de juiste domeinnaam inlogt (denkbaar in verschillende scenario's) slaan ze met een grotere ijzeren bal aan een ketting de voorgevel van jouw huis eruit.

Om bij jouw beeldspraak te blijven;
ik zie het niet gebeuren dat heel huisbezittend Nederland (incl. paleisjes), nu zelf de kozijnen gaat schuren, in de grondverf zetten, opnieuw schuren en uiteindelijk schilderen. En ook de steiger maar zelf opbouwd en afbreekt.
Want tja, zelfs die schilder van Villa Drakenstein in Wassenaar kan foto's lekken, nog voordat je er met je gezin intrekt.
Het Korps Mariniers als tuinman hebben, is blijkbaar nodig, maar niet iedereen heeft zulke privileges, en zal praktische concessies moeten plegen.

Door Erik van Straten: Helaas betekent dit niet dat je niet misleid kunt worden.
Dat is een ander onderwerp dan mijn statements, die je aan het "tegenspreken" bent.
Ik probeer "slechts" alle potentiële risico's in kaart te brengen en te beschrijven.

Welke je vervolgens koppelt aan Android, als ware al die potentiële risico's daar ineens uniek van toepassing zijn / passkeys ineens geen voordelen meer hebben om genoemde risico's tenminste te verlagen i.p.v. het utopische elimineren.

Dat blijven nog steeds twee verschillende onderwerpen, en dus anders dan mijn statements, die je aan het "tegenspreken" was, en achteraf toch wel mee eensch was.

Wat overigens nog niet genoemd is, zijn websites en apps die de passkey ineens als enige factor gaan gebruiken i.p.v. een extra factor. Heb ik ook nog wel een "mening" over, waar we het vast hartgrondig over eens zullen zijn.

Door Erik van Straten: dan zal jij het wel beter weten (overigens zonder verifieerbare feiten te verstrekken, dus kennelijk gebaseerd op de mening van jouw onderbuik). Geniet ervan (dan doet tenminste nog iemand dat).
Ik was ook altijd stampvoetend boos als mama zei: dat zul je later wel begrijpen.
Nee, ik zal het niet beter weten: ik weet zeker dat jij zelf ook wel beter weet.

Door Erik van Straten:
Kun je op een Google-loze GrapheneOS telefoon dan geen biometrische FIDO2 gebruiken?
(hetgeen -speulatief- dan alsnog via grapheneos.org zou kunnen gaan)
Ik heb geen idee.
Aha, dus je weet niet niet of Android keys ook niet via Google kunnen lopen.
Maar je brand ze maar bij voorbaat maar af, want je had een nare ervaring met Google's cloud.

En Yubikeys zijn helemaal ruk, omdat er ooit een vulnerability in een bepaalde versie zat gerelateerd aan een specifiek protocol.
Dus je brand heel FIDO2 maar af, want ze beveiligen je niet tegen "alle potentiële risico's".

Inderdaad kun je hardware keys verliezen. Zoals je ook wachtwoorden kunt vergeten - of zoals die nog veel makkelijker in verkeerde handen vallen dan een hardware key.
Toch, die Google passKEY Cloud waar je een nare ervaring mee had, is tot dusver wel heel wat betrouwbaarder dan alle "fantastische" passWORD storage oplossingen, nietwaar?

Is jouw alternatief dan zoveel beter - in een praktijk alwaar niet iedereen autist is, maar er mensen bestaan die menselijke trekjes tonen?

Door Erik van Straten:
Jij valt mij aan op mijn posting over risico's van Android passkeys, waarvan het (omdat zij een Google cloud account vereisen) niet voor de hand ligt dat jij die op whatever-not-Android OS gaat gebruiken. Waarna ik jou erop probeer te wijzen dat oplossingen zonder risico's niet bestaan, wat jij lijkt te bestrijden.
Onjuist, en onzinnig om tegen te verweren.
Lees het gewoon maar opnieuw, dan hoef ik het niet te herhalen.
Lees wat je wil, of lees het eens met een andere blik vanuit een realistisch perspectief.
Wanneer je kwalificaties als "aanval" wil geven, dan zou ik zeggen dat ik poog een spiegel voor te houden, omdat je zelf ook wel beseft dat je nogal graag bewust een bord voor je kop houdt en een balk in je oog hebt terwijl je over splinters meimert.

Of ben je werkelijk van mening dat jouw credo "niet gebruiken" ook een serieus goed advies is voor grote organisaties?
Mijn credo luidt anders: wees je bewust van alle (rest-) risico's, en weeg ook de (praktische) nadelen mee van alle mogelijke oplossingen.
Typisch. Dat is niks anders dan mijn credo. In die lijn vind ik passkeys fantastisch, vooral omdat dat bewustzijn een utopie is in grote organisaties zonder militaire dicipline of daaraan grenzend.

In mijn optiek is een werkelijke hardware key een effectieve methode om password sharing te voorkomen en keylogging danwel sniffing danwel brute-force attacks te elimineren (middels de challenge/response). Hetgeen in mijn optiek een groter gewicht in de schaal legt, dan jouw niet-te-ontkennen tegenargumenten.
(Nee-schuddend) Je hebt gelijk, schat.
Ik blijf benieuwd naar jou alternatief, schat.

En nu we in dit stadium van intieme koosnaampjes zitten...
laten we dan -naast beginnen- ook eens eindigen met onzinnige beeldspraak:

Geen enkele condoomfabrikant kan 100% garanderen dat er niks mis is met hun fysieke product.
Condooms kun je vergeten. Condooms kun je verliezen. Andere mensen kunnen jouw condooms gebruiken.
Condooms bieden geen 100% garantie dat je geen SOA oploopt.
Er bestaan allerlei SOA's, risicos "die in kaart te brengen" zijn.
En in de toekomst zou dat nog wel eens meer kunnen worden, zogeheten "rest risico's".
Laten we dus vooral dus geen condooms gebruiken, want ze zijn slechter dan een slechte oplossing.
Helemaal die van EuroGlider want die hadden ooit een transparante en doortastende recall.
06-03-2024, 16:59 door Erik van Straten
Ongefundeerd stellen dat A beter is dan B vind ik kortzichtig.

Vergelijkingen maken a.d.h.v. verf en condooms, bij herhaling claimen dat ik "100% veilig" zou willen, liegen dat ik "Yubikeys ruk vind" en de kennelijke stelling dat "onbeschikbaarheid" (account lock-out) géén security-risico inhoudt, zijn m.i. geen steekhoudende argumenten (maar, wie ben ik). Sterker, m.i. torpederen zij een potentieel zinvolle discussie (waar ik -toegegeven- te lang in ben meegegaan).

De wereld is niet zwart/wit; niks is zonder risico's en zonder nadelen. De keuze van een inlogmethode hangt mede af van ieders persoonlijke situatie en de "waarde" van elk van diens webaccounts (zowel voor de betrokkene als voor aanvallers). Hoe meer voordelen en nadelen (waaronder risico's en potentiële kwetsbaarheden) van (de beschikbare) inlogmethodes men kent, hoe gefundeerder de keuze is die men daartussen kan maken.

Ik laat het verder aan de lezers (en eventuele reageerders) van security.nl over om te oordelen wie hier de grootste onzin uitkraamt: de drie anoniemen (mogelijk één en dezelfde reageerder hierboven) van 01-03-2024, 12:48 en 05-03-2024, 13:11 (gisteren) en 06-03-2024,13:35 (vandaag) - of ik (in elke reactie van mij hierboven).

In elk geval laat ik mij niet verder trollen; m.i. heb ik meer dan voldoende mijn best gedaan om mijn stellingen te onderbouwen.
06-03-2024, 18:18 door Anoniem
Door Erik van Straten: Ongefundeerd stellen dat A beter is dan B vind ik kortzichtig.

Vergelijkingen maken a.d.h.v. verf en condooms, bij herhaling claimen dat ik "100% veilig" zou willen, liegen dat ik "Yubikeys ruk vind" en de kennelijke stelling dat "onbeschikbaarheid" (account lock-out) géén security-risico inhoudt, zijn m.i. geen steekhoudende argumenten (maar, wie ben ik). Sterker, m.i. torpederen zij een potentieel zinvolle discussie (waar ik -toegegeven- te lang in ben meegegaan).

De wereld is niet zwart/wit; niks is zonder risico's en zonder nadelen. De keuze van een inlogmethode hangt mede af van ieders persoonlijke situatie en de "waarde" van elk van diens webaccounts (zowel voor de betrokkene als voor aanvallers). Hoe meer voordelen en nadelen (waaronder risico's en potentiële kwetsbaarheden) van (de beschikbare) inlogmethodes men kent, hoe gefundeerder de keuze is die men daartussen kan maken.

Ik laat het verder aan de lezers (en eventuele reageerders) van security.nl over om te oordelen wie hier de grootste onzin uitkraamt: de drie anoniemen (mogelijk één en dezelfde reageerder hierboven) van 01-03-2024, 12:48 en 05-03-2024, 13:11 (gisteren) en 06-03-2024,13:35 (vandaag) - of ik (in elke reactie van mij hierboven).

In elk geval laat ik mij niet verder trollen; m.i. heb ik meer dan voldoende mijn best gedaan om mijn stellingen te onderbouwen.

Of het zijn gewoon 3 verschillende anoniemen.

Als iemand van menig is dat Hardware Passkeys onbruikbaar zijn omdat je de Private Key niet kunt exporteren naar een bestaand of whatever, haak ik echt af.

We zitten hier niet om alles overhoop te gooien voor gebruikers ongemak van één persoon.
06-03-2024, 22:11 door Anoniem
Door Anoniem:
Door Erik van Straten: Ongefundeerd stellen dat A beter is dan B vind ik kortzichtig.

Vergelijkingen maken a.d.h.v. verf en condooms, bij herhaling claimen dat ik "100% veilig" zou willen, liegen dat ik "Yubikeys ruk vind" en de kennelijke stelling dat "onbeschikbaarheid" (account lock-out) géén security-risico inhoudt, zijn m.i. geen steekhoudende argumenten (maar, wie ben ik). Sterker, m.i. torpederen zij een potentieel zinvolle discussie (waar ik -toegegeven- te lang in ben meegegaan).

De wereld is niet zwart/wit; niks is zonder risico's en zonder nadelen. De keuze van een inlogmethode hangt mede af van ieders persoonlijke situatie en de "waarde" van elk van diens webaccounts (zowel voor de betrokkene als voor aanvallers). Hoe meer voordelen en nadelen (waaronder risico's en potentiële kwetsbaarheden) van (de beschikbare) inlogmethodes men kent, hoe gefundeerder de keuze is die men daartussen kan maken.

Ik laat het verder aan de lezers (en eventuele reageerders) van security.nl over om te oordelen wie hier de grootste onzin uitkraamt: de drie anoniemen (mogelijk één en dezelfde reageerder hierboven) van 01-03-2024, 12:48 en 05-03-2024, 13:11 (gisteren) en 06-03-2024,13:35 (vandaag) - of ik (in elke reactie van mij hierboven).

In elk geval laat ik mij niet verder trollen; m.i. heb ik meer dan voldoende mijn best gedaan om mijn stellingen te onderbouwen.

Of het zijn gewoon 3 verschillende anoniemen.

Als iemand van menig is dat Hardware Passkeys onbruikbaar zijn omdat je de Private Key niet kunt exporteren naar een bestaand of whatever, haak ik echt af.

We zitten hier niet om alles overhoop te gooien voor gebruikers ongemak van één persoon.

Nieuwe reaguurder : inderdaad.
Erik zit weer 's in de Erik-modus - een gigantische aantal details , en mist de grote lijn - construeert of ervaart één nadeel-scenario, en concludeert dat het concept voor alles en iedereen volkomen onbruikbaar is.
07-03-2024, 13:11 door Anoniem
Door Erik van Straten: Ongefundeerd stellen dat A beter is dan B vind ik kortzichtig
Als het al ongefundeerd was, dan was het nog altijd een "A is minder slecht dan B".

Door Erik van Straten: Vergelijkingen maken a.d.h.v. verf en condooms, bij herhaling claimen dat ik "100% veilig" zou willen, liegen dat ik "Yubikeys ruk vind" en de kennelijke stelling dat "onbeschikbaarheid" (account lock-out) géén security-risico inhoudt, zijn m.i. geen steekhoudende argumenten (maar, wie ben ik). Sterker, m.i. torpederen zij een potentieel zinvolle discussie (waar ik -toegegeven- te lang in ben meegegaan).

Iemand begon met voordeur, niet ik.
Jij bracht de achterdeur, tuindeuren, keukenraam, een boomstam, een verplinterde voordeur, en een grotere ijzeren bal aan een ketting die voorgevel van jouw huis eruit sloopt.
Nu verwijt je mij -in een security topic- mijn metafoor met nota bene een voorbehoedsmiddel.

Je herhaalt zèlf dat je "100% veilig" schijnt te wensen.

"Yubikeys ruk" wijkt nauwelijks af van -jouw woorden- "relikwie" waar je "geen zin meer in had".
Spat niet bijster veel enthousiasme van af.

Ik beaam mijzelf dat een account lock-out inderdaad géén security-risico is - mits je een alternatief hebt danwel andere opties voor een vlotte oplossing. Het is een gewenst en acceptabel ongemak.

Ik torperdeer geen potentieel zinvolle discussie.
Ik torperdeer zinloze whataboutism, waarvan ik direct wist dat dat onhoudbaar was, al kost dat 3x tijdverspilling aan beide zijden.

Trollen is iets anders dan de momenten waar ik ironie toepastte.
Trollen is iets anders dan het met elkaar oneens zijn - of beter: niet volledig eens zijn.
Het woord trollen ervaar ik als beledigend, of teminste van weinig wederzijds respect.
Beetje opzichtig om nu te suggereren dat ik enkel schrijf om U te provoceren, en -ondanks mijn inbreng- mijn motief sabotage van een zinvolle discussie zou zijn.

Ikzelf gebuik de Yubikey sinds generatie 2, nog voor het Amerikaanse belang er kwam. Dus ik gok zo'n 15 jaar nu.
Inmiddels ook Kensington en ja, Android passkeys. Ik ben geen salesman, noch een fanboy.
Maar vind het concept brilliant. Tenzij je het als enige factor gaat gebruiken, hetgeen bij biometrie dus al niet meer geldt.
Als zowel gebruiker en vooral operator daarvan de voordelen trotseren, maar blijven klagen over duistere praktijken op het internet, tja, daar vind ik jouw kwalificatie "kortzichtig" bijpassend, want aan inzicht schort het niet.

Door Erik van Straten: In elk geval laat ik mij niet verder trollen; m.i. heb ik meer dan voldoende mijn best gedaan om mijn stellingen te onderbouwen.
Onderbouwen? Dat was dan niet in deze fase:
In mijn optiek is een werkelijke hardware key een effectieve methode om password sharing te voorkomen en keylogging danwel sniffing danwel brute-force attacks te elimineren (middels de challenge/response). Hetgeen in mijn optiek een groter gewicht in de schaal legt, dan jouw niet-te-ontkennen tegenargumenten.
Door Erik van Straten: (Nee-schuddend) Je hebt gelijk, schat.
Ik blijf benieuwd naar jou alternatief, schat.
08-03-2024, 09:04 door Erik van Straten
Door Anoniem: Iemand begon met voordeur, niet ik.
Ook ik niet, maar "Anoniem". Hoe moet ik weten wie welke anoniem is, zonder op overgevoelige wintertenen te trappen?

Met in elk geval wel als overeenkomst dat al jullie anoniemen, notabene op een security site, niets willen horen over security-risico's (waarvan ik aanraad om deze voor ieders persoonlijke situatie te wegen). En voor mensen die daar wel in geïnteresseerd zijn, o.a. door mijn woorden te verdraaien, al mijn topics saboteren.

Geen wonder dat het, met zulke anonieme ego's, een steeds grotere security-puinhoop wordt op internet. What else can I say?
08-03-2024, 13:34 door Anoniem
Door Erik van Straten:
Door Anoniem: Iemand begon met voordeur, niet ik.
Ook ik niet, maar "Anoniem". Hoe moet ik weten wie welke anoniem is, zonder op overgevoelige wintertenen te trappen?
Het is irrelevant welk naamje aan welke mening hangt of ontbreekt.
Chronologisch:
- iemand bracht een metafoor.
- iemand weerlegt dat.
- jij breidt 'm nogal uitgebreid uit.
- waarop iemand reageert.
Vervolgens klaag je over metaforen.
Het probleem zit niet in de metafoor.

Door Erik van Straten: Vergelijkingen maken a.d.h.v. verf en condooms ... m.i. torpederen zij een potentieel zinvolle discussie (waar ik -toegegeven- te lang in ben meegegaan).
Verder zie ik niemand overgevoelig klagen.

Overigens jouw woord "torperderen" is ook een metafoor. En zeer treffend.
Je tegenargumenten zijn kruit noch lood.
Of zoals ik al -met wederom een metafoor- eerder zei: brengen te weinig tegengewicht in de schaal.

Door Erik van Straten: Met in elk geval wel als overeenkomst dat al jullie anoniemen, notabene op een security site, niets willen horen over security-risico's (waarvan ik aanraad om deze voor ieders persoonlijke situatie te wegen). En voor mensen die daar wel in geïnteresseerd zijn, o.a. door mijn woorden te verdraaien, al mijn topics saboteren.
Al mijn topics saboteren?
Neen, voor zover ik weet heb ik je slecht eenmaal ergens van repliek gedient. Enkel alhier in dit topic.
Woorden verdaaien?
Zoiets als: "al jullie anoniemen, notabene op een security site, niets willen horen over security-risico's" ..?
Of kwalificaties als "troll" en "saboteur" ...?
Je bent aan het afleiden.

Door: mij "Yubikeys ruk" wijkt nauwelijks af van -jouw woorden- "relikwie" waar je "geen zin meer in had".
Spat niet bijster veel enthousiasme van af.
Het zijn toch niet de woorden waaruit je zou concluderen dat U een Yubikey weet te waarderen.

Door Erik van Straten: Geen wonder dat het, met zulke anonieme ego's, een steeds grotere security-puinhoop wordt op internet. What else can I say?
Je kunt van alles roepen.
Maar niet dat passkeys vermeden moeten worden omdat ze niet elke vorm van aanvalsvector volledig elimineren.
Of omdat het vervelend is wanneer je die verliest, dan de authenticatie wat lastiger kan gaan.

Wat wij allen kunnen vaststellen is dat het nogal evident is dat passkeys problemen aanzienlijk reduceren.
Daarnaast dat hetgeen jij toedicht aan (Android + Google), niet een uniek probleem is bij enkel Android passkeys - of een probleem is bij (Android - Google).
Geef toe dat we het globaal allang eens waren, dan zijn we klaar.
En laat vooral dat niet-anonieme ego daarbij niet in de weg zitten.

Door Erik van Straten: niets willen horen over security-risico's
Ehm, niet willen horen, of niet kunnen horen?
Door Erik van Straten: (Nee-schuddend) Je hebt gelijk, schat.
Ik blijf benieuwd naar jou alternatief, schat.
08-03-2024, 14:18 door Erik van Straten
M.i. interesante teleurstellende gebruikerservaringen met Passkeys, opgetekend door Josh Grossman in https://joshcgrossman.com/2024/02/08/one-does-not-simply-implement-passkeys/ (lang, met veel screenshots), daaruit:
Experimentation Summary
So what is the summary of this experiment?

• First of all, I want to reiterate once again that none of this is critical of Kayak.com, they have made a good-faith effort to make this work but they aren’t responsible for the surrounding ecosystem issues.

• There is currently a lot of confusing UX around passkeys, even for very basic operations. Different combinations of browsers and devices lead to a variety of different (and sometimes unpredictable) user journeys.

• Creating a passkey on a device (and using it on that device) is relatively slick although the weird UX differences still apply.

• Once you start trying to use an account on multiple devices, the UX really breaks down. Passkeys don’t synchronise where you might expect them to synchronise and the QR code flow that is supposed to work around that appears to be unusable on my device and maybe all OnePlus devices…

• Most places that talk about Passkeys assume that you are using a biometric mechanism like face or fingerprint to use a passkey which in theory should provide proof your are physically present. However, the FIDO Alliance (the main industry body that defined the passkey standard) clearly says that this may be a biometric or a device PIN. Practically speaking, on my Android phone I could use my phone pattern instead of a biometric so that eliminates proof of presence and instead relies on the complexity of your pattern or your your PIN or whatever. I don’t think this is a passkey specific thing but it is worth considering when you talk about using biometrics.

• At pretty much every stage of this experiment, I could have fallen back on to a code being sent to my email address. In some cases, I was forced to fall back on to this.

• Ecosystem improvements will probably require Operating System upgrades. For example, 3rd party password managers which would probably greatly simplify the cross-device ecosystem will only be supported by Android 14+ which was only released very recently.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.