Dit is een follow-up van Passkeys voor leken

Zie https://www.security.nl/posting/798699/Passkeys+voor+leken

Sneller en veiliger inloggen?
Met de nieuwe passkeys mag je jouw wachtwoorden (eindelijk) vergeten: Hoe werkt een passkey?
door Daniël Verlaan, 28 oktober 2023

https://www.rtlnieuws.nl/nieuws/nederland/artikel/5415263/passkeys-inloggen-einde-van-wachtwoord

Hmmm waarom zou ik de sleutel van voordeur uberhaupt aan bedrijven geven je op alle manieren proberen te tracken en je privacy schenden.

Met alle respect voor Daniël Verlaan, maar zoals zo vaak is dit puur een marketing verhaal: ik zie NUL nadelen of risico's vermeld worden.

Als we een veiliger internet willen, moeten we stoppen met mensen ziekmakende worsten voor te houden. Ook https://dubbelzoveilig.nl en NIS2 zijn ordinaire overheidspropaganda om de steeds verder doorslaande digitalisering te legitimeren.

Zie ook:
• https://tweakers.net/nieuws/218918/playstation-network-krijgt-ondersteuning-voor-passkeys.html?showReaction=19644790#r_19644790

• https://infosec.exchange/@ErikvanStraten/111989393380873096
en
• https://infosec.exchange/@ErikvanStraten/111998323512665986
en vooral
• https://infosec.exchange/@ErikvanStraten/112003384954172092

P.S. ik speel met de gedachte om ook hier op security.nl daar een artikel over te schrijven (motivatie toenemend naarmate meer mensen aangeven daar belangstelling voor te hebben).

Een m.i. interessant artikel van Roger A. Grimes over de toenemende faalkans van één van de "authenticatiefactoren": https://www.linkedin.com/pulse/game-changer-biometric-stealing-malware-roger-grimes-ikaze

Over die "factoren" schreef ik "Myth#0: Authentication": https://infosec.exchange/@ErikvanStraten/111991418581543444

Omdat Anoniem van 15:18 suggereert dat dat een goed idee is omdat Daniël Verlaan dat schrijft op rtlnieuws.nl?

Verlaan schreef een uitleg voor leken. Anoniem van 15:18 noteerde daarbij "Sneller en veiliger inloggen?" (vraagteken).

Dan moet je even verder terugkijken. Anoniem van 15:18 quotte mijn post van 15:08 waarin ik verwijs naar mijn artikel getiteld "Passkeys voor leken" van meer dan 4 maanden eerder. Waarin ik trachtte ook alle (mogelijke) nadelen te beschrijven.

Maar kennelijk leest men op security.nl liever eenzijdige marketing-speak.

Gisteravond laat (onze tijd) heeft Adam Langley gereageerd op mijn laatste vragen, zie https://infosec.exchange/@agl/112011473394243083.

Zijn belangrijkste argument voor het onverwacht onherstelbaar wissen van passkeys, als gevolg van het drukken op de knop "clear data" onderin https://chrome.google.com/sync (daar moet je een Google account voor hebben en ingelogd zijn), luidt, ik hoop dat ik dit goed vertaal en verwoord (ik heb wat leestekens toegevoegd):

In mijn antwoord van vandaag (https://infosec.exchange/@ErikvanStraten/112014572855744256) vat ik zijn antwoord, vertaald naar NL, als volgt samen:

Effectief lijkt hij het dus eens met de titel van dit topic (ik ben benieuwd of Sundar Pichai, anderen bij Google, en haar aandeelhouders, daar ook zo over denken).

Vervolgens beargumenteer ik nogmaals hoe absurd ik deze argumenten vind.

Ik ga niet alles vertalen, maar ik beschrijf hieronder enkele risico's van het toestaan dat iemand anders gebruik maakt van jouw Android apparaat - onder jouw eigen account.

Zo wijs ik onder meer op het risico dat een kind of kleinkind, op basis van de leeftijd van de eigenaar van een smartphone of tablet, toegang krijgt tot websites met (alleen al hierom idiote) leeftijdsverificatie.

Het volgende noem ik niet allemaal in mijn reactie: zo iemand moet je voor 100% kunnen vertrouwen, wat in de praktijk ommogelijk is. Want meestal kunnen zij ook namens jou e-mails of andere berichten versturen, en mogelijk kunnen zij bij jouw wachtwoorden, en zeker bij accounts waarop je nog was ingelogd. Als ze de pincode voor jouw bank app of EDIW (*) hebben afgekeken, kunnen zij enorme schade aanrichten, bijv. door een op hun eigen toestel geïnstalleerde bank-app aan jouw bankrekening te koppelen, apps toe te voegen of te vervangen, instellingen te wijzigen en "time traveler attacks" (https://www.security.nl/posting/708673/Risico+%22Authenticator%22+apps) uit te voeren op jouw TOTP-app.

(*) Vanmiddag goedgekeurd door het EP, zie https://security.nl/posting/831757.

Interessant dat je dit er uithaalt. Ik lees het echt heel anders.

Bovendien, ik ben enorm blij dat als ik uitlog van een Google apparaat (ik heb zelf een Pixel) dat er niets (of zo min mogelijk) achterblijft op zo'n apparaat.

In dat ligt is ook dit interessant:
Want ik ben als persoon namelijk zeer blij met deze functie, en de reden waarom dit zo ontworpen is.

En volgens mij is dit een discussie met een ander uitgangspunt en doel:

@Anomiem 09:10: dank voor de eerste (zo te zien) inhoudelijke reactie! Ondanks alle virtuele klappen in mijn lange leven ben ik klaarblijkelijk toch nog steeds hartstikke naïef.

De (door mij onverwachte) desinteresse voor mijn topic, tot vanochtend, wordt mogelijk veroorzaakt doordat iedereen, die dat nog niet persoonlijk heeft meegemaakt, ervan overtuigd is dat "account lockout overkomt mij niet". Mogelijk omdat men denkt "je belt of mailt en dan heb je zó jouw
[ Insta | Facebook | Twitter | Github | * ] account weer terug". GLWT...

(Nb. in elk geval heeft jouw reactie bij mij tot dat laatste vallende kwartje geleid, een leermomentje dus, waarvoor dank).

[Vraag 1]: wat bedoel je exact met "als ik uitlog van een Google apparaat"?
a) Uitloggen via de settings in Chrome, of

b) In "Settings" —> "Passwords & Accounts", onder "Accounts for owner" —> [jouw gmail account] —> "Remove account", of

c) Het scherm vergrendelen en niet jouw schermontgrendel-wachtwoord/pincode/veegpatroon verraden, of

d) Het toestel "hard" vergrendelen (kan ook door uitzetten) zodat biometrie voor ontgendelen niet meer werkt, of

e) Switch Android user (*), of

f) Iets anders (wat dan)?

(*) In Android zit - m.i. niet voor niets - de optie voor "multiple users" (bizar genoeg: indien je dat gebruikt, hebben reguliere updates de laatste tijd tot 2 stompzinnige bugs geleid - kennelijk zit dit niet in het testprogramma voor Android updates).

(PS ook ik heb een Pixel, 6 pro, om precies te zijn).

[Vraag 2]: Heb je wel eens heel goed gekeken welke info er op jouw toestel blijft staan als je "uitlogt" (ik weet nog niet precies hoe je dat doet, maar ongeacht)?

[Vraag 3]: Wat bedoel je met "je Sync wachtwoord" (is dat mogelijk de "sync passphrase" die je in Chrome kunt instellen, of bedoel je iets anders - zo ja wat)?

[Vraag 4]: En wat bedoel je met "afgeven":
a) tijdelijk aan iemand die jij betrouwbaar vindt (partner, (klein)kind, collega, ...), of

b) bijv. aan iemand niet vertrouwd door jou, zoals een douane-medewerker, politieagent of berover, of

c) bedoel je iets anders (zo ja, wat)?

Ik ben serieus benieuwd naar jouw antwoorden; ook ik weet ontzettend veel niet en hou er altijd rekening mee dat ik iets over het hoofd zie (ondanks dat ik, in dit geval, m.i. de Koninklijke Weg heb bewandeld door netjes een bug report bij Google in te dienen en veel meer dan 90 dagen te wachten met publicatie; ik voel mij nu extreem geschoffeerd door de manier waarop ik behandeld ben, maar vooral door de wijze waarop Google één van de problemen heeft "gefixed").

Die desinteresse komt bij mij enkel vanwege het feit dat ik o.a. Google/Apple/Microsoft/AWS (prive) de rug heb toegekeerd, geen passkeys gebruik/ga gebruiken die ik niet zelf in een lokale keystore kan bewaren.

Nou op de eerste plaats ga ik over 4 jaar met pensioen en heb mijn hele werkende leven in de IT security gezeten.
Maar, let op: dat zegt natuurlijk helemaal niets Want ik weet natuurlijk ook wel dat ik op mn 20e een boek las, er examen over deed en een uur later geslaagd weer buiten stond. Tegenwoordig ben ik 20 bladzijdes verder en vraag ik me af wat ik ook alweer gelezen heb.

Maar... ik maak voor mijzelf echt een zeer duidelijk onderscheid tussen IT beveiliging en privacy. En daardoor ben ik me ook bewust dat er tussen deze twee gebieden een grote overlap bestaat waarin het een rechtstreeks invloed heeft op de ander. Dat vind ik ook het lastige aan deze site, want tussen alle geopperde zorgen door gaat het vaak om maximale veiligheid OF maximale privacy. En zo werkt het gewoon niet.

Om op je vraag 1 uit te komen: Op een Pixel bedoel is een userswitch en op mijn chromebook worden mijn gebruikersgegevens sowieso niet opgeslagen (moet ik wel elke keer inloggen via een wachtwoordzin van 7 woorden maar vooruit.

Binnen je vraag 3 bedoel ik uiteraard de sync phassphrase. Ook die is bij mij een (andere) wachtwoordzin van 7 woorden. En inderdaad heb ik -net als jij- gemerkt dat als ik deze wijzig op al mijn andere devices de gesynchroniseerde gegevens waren verdwenen.

Volgens gaat dit (jouw conversatie met Google) vooral om het feit dat jij erachter kwam dat je Passkeys waren verdwenen na wijziging passphrase. Correct me if i am wrong. En daarvan zeg ik: dat is geen bug, dat is goddank een feature! Dat je daarna een tijd moet wachten totdat je devices weer zijn gesynchroniseerd, is a part of the job.

Ik heb overigens nog even gekeken naar de specifieke text: "Hiermee worden de Chrome- en ChromeOS-gegevens gewist die zijn opgeslagen in je Google-account. Hierdoor worden sommige gegevens van je apparaat gewist. Hiermee verwijder je ook je wachtwoordzin voor synchronisatie." Ik denk dan: allemachtig, Google heeft serieus nagedacht over IT security (Dat Google niet zo goed omgaat met privacy is dus de hele andere discussie die ik hierboven al aanhaalde).

In de aanbestedingen wereld is het altijd weer een 'gedoetje' hoe je de exit-strategie hanteerd als je van IT leverancier (of cloud oplossing) wisselt. Hoe weet je zeker dat de verlatende leverancier de persoonsgegevens netjes verwijderd zoals de AVG aangeeft.

Google doet dit gewoon. Heel vervelend dat je dan even niet bij je Passkeys kan maar dat is dan maar even zo.

Dat gezegd hebbende, denk ik, dat als je niet heel duidelijk stelt wat voor jou de belangrijkste factor is (beveiliging of privacy) dat je het door jouw gewenste resultaat voor het ene doel gaat gebruiken om het andere doel geregeld te krijgen. En dan ga ik nog een stap verder: wil je niet dat de overheid van alles van je weet of wil je niet dat 'bigtech' van alles van je weet. Want dat zijn in privacyland ook twee totaal verschillende doelen.

Volkomen begrijpelijk en gerespecteerd, ik bedoelde niet zozeer reguliere (niet trollende) reageerders van deze site, maar de (technische / security geörienteerde) media - zoals deze site, tweakers.net en zeer veel buitenlandse. Te weinig "sensationeel" vermoed ik, "we bestaan in de eerste en enige plaats om te scoren, dus niet om mensen fatsoenlijk te informeren".

Als mosterd vér na de maaltijd (heeft Joost net ontdekt waar Abraham die bitterballensaus haalt?), groot "nieuws", OMG: https://nos.nl/artikel/2510923-amerikaanse-overheid-kan-bij-e-mail-van-nederlandse-overheden-en-kritieke-bedrijven. Onnieuws dat wél ASAP wordt nagekakeld (https://security.nl/posting/831808).

Dan verdwijnt er niets van jouw smartphone. Jouw data wordt (hopelijk, dankzij de juiste permissies) ontoegankelijk gemaakt. De andere gebruiker kan overigens allerle instellingen wijzigen. Na een userswitch en terug ziet "mijn" gboard er ineens anders uit (zelfs zonder dat ik, in het anders account, aan de instellingen daarvan had gezeten).

Ik heb nog niet getest wat er gebeurt als ik, na zo'n user-switch (wat overigens bijna niemand doet) gebruik ga maken van passkeys. Sowieso lijkt mijn smartphone dan ontkoppeld van mijn gmail account (daar gebruikt Android een "device bound" passkey voor, waar er mogelijk meerdere van kunnen bestaan - uitzoekwerk).

Los van hoe onhandig dat is (en naast jou bijna niemand doet): er zijn, vziw, veel meer mensen met Android smartphones en Android tablets dan Chromebooks. Die sowieso een ander OS hebben: ik schreef NIET "Don't use ChromeOS passkeys!".

Ik ga verder uit van Android (ik heb zelfs geen Chromebook).

"Detail": alle via Chrome opgeslagen wachwoorden staan dan nog lokaal opgeslagen. Die kun je terugvinden door in GPM op jouw account-icoontje te drukken, dan (onder "Google") op de regel met jouw account te drukken, en dan te kiezen voor:
Merk op dat links van bovenstaande tekst een "cloud" met een schuine streep erdoor te zien is.

Als je op die regel drukt en "Continue" kiest, zie je nu rechtsboven die wolk met schuine streep erdoor terug. In de "psgina" zelf zie je uitsluitend wachtwoorden, terwijl jouw passkeys (als je die zonet had) nergens meer te zien zijn.

Wrong.

Eén van de aanleidingen om op "Clear data" onderaan https://chrome.google.com/sync te drukken, zijn de instructies te vinden in https://support.google.com/chrome/answer/165139.

Sowieso kom je al in grotere problemen als je "Device encryption" (https://support.google.com/accounts/answer/11350823, zeer verwarrend, device is al encrypted, bedoeld worden hier o.a. wachtwoorden) conbineert met een sync passphrase; als daarbij iets fout gaat (als ik me goed herinner kun je dan die sync passphrase niet meer resetten) ontkom je er niet aan om op "clear data" te drukken.

Dat combineren is geen gek idee, want "device encryption" betreft uitsluitend passkeys en passwords, niet alle andere via de cloud gesyncte data - die Google dan gewoon kan meekijken.

Ook staat er, in GPM —> settings —> Set up on-device encryption —> Next , onder meer:
Bangmakerij, met "clear data" is dat weer weg (inclusief al jouw passkeys).

Bovendien kwam ik, na het testen met het drukken op GPM —> settings —> Don't use screen lock (in een poging om niet werkende passkeys weer werkend te krijgen, ik hoopte dat hierdoor de encryption key gewist zou worden, waarna ook die gesynced zou kunnen worden vanaf mijn andere toestel) vaak in een situatie terecht met totaal onduidelijke foutmeldingen en geen enkele passkey nog werkend, wat alleen maar op te lossen viel door op "clear data" te drukken.

Daarnaast beschreef ik (op FD) een bug in https://passwords.google.com/ waardoor je passkeys kwijt kunt raken, én ik schreef dat ik nu 2 Android smartphones heb waartussen de passkeys synchroniseren, maar die ik alleen kan gebruiken op het toestel waarop ze zijn aangemaakt. Dit kan ik alleen fixen door op "clear data" te drukken (met als gevolg: alle passkeys foetsie).

Ik heb LETTERLIJK de situatie meegemaakt dat ik dat tweede toestel aan mijn gmail account koppelde, waarna er iets fout ging: er werd NIET om de ontgrendelcode van mijn eerste toestel gevraagd, maar in plaats daarvan werd er een NIEUWE encryptiesleutel gegenereerd. Kennelijk werden daarna de passkeys (met versleutelde private keys) gesynchroniseerd. Al die passkeys (de niet versleutelde metadata) waren zichtbaar op mijn tweede toestel, maar geen enkele van die passkeys was bruikbaar - omdat de private keys met een andere sleutel (namelijk die op het eerste toestel) waren versleuteld dan op het tweede toestel staat.

Dat betekent dus dat je het risico loopt dat als jouw Pixel in de plee valt, en je een nieuwe koopt, vanuit de cloud gesynchroniseerde ("gebackupte") passkeys wel zichtbaar zijn maar niet werken op jouw nieuwe toestel. En dat kun je dan niet meer fixen.

Overigens heeft Adam bevestigd dat dit kan gebeuren, en dat dit een bug is waaraan gewerkt wordt (sterker, ik heb in de 2e helft van 2023 meerdere wijzigingen gezien die dit probeerden te fixen, maar zonder succes). De vraag is of dat überhaupt kan; het is m.i. een ontwerpfout om per device (-account?) een encryptiesleutel te maken, i.p.v. per gmail account (Apple lijkt dit wel per iCloud account te doen).

Klopt, het is een puinhoop.

Wut? Sync gaat snel, maar alle passkeys zijn verdwenen!

De tekst "Hierdoor worden sommige gegevens van je apparaat gewist." heb je "aan mij" en aan Adam te danken. Tot medio juni stond er dat er GEEN gegevens op je apparaat zouden worden gewist. Adam heeft die tekst gewijzigd n.a.v. mijn bugreport (en dat is, vziw, het enige dat hij gedaan heeft).

Kun je eigenlijk wel lezen? Het is niet "even" maar PERMANENT. Al jouw passkeys zijn verdwenen. Voorgoed. Van al jouw devices.

Dank voor deze (wel) heldere en conrete uiteenzetting.

Graag gedaan. Tip: druk niet meteen "Reageren" maar eerst op "Preview" en kijk de reactie na. Dan had je gezien dat je "[quote" niet met een ']' had afgesloten.

Geen toegang meer hebben tot een account IS een security-issue.

Het is lastig discussiëren voor mij als ik niet weet dat anderen de meest basale aspecten van informatiebeveiliging niet kennen.

De (m.i. algemeen) bekende IB (IndormatieBeveiliging) -criteria voor informatie zijn:

BIV = Beschikbaarheid, Integriteit, Vertrouwelijkheid (https://nl.wikipedia.org/wiki/BIV-classificatie).
Engels: CIA = Confidentiality, Integrity, Availability.

Gebruikelijk is het om de risico's in te schatten van de onbeschikbaarheid-, naast inbreuken op de vertrouwelijkheid en integriteit (niet corrupt zijn) van informatie.

Onbedoeld verlies van toegang tot gegevens is zélfs een datalek, zie https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/wat-is-een-datalek.

Het kunnen "kwijtraken" van passkeys, is -indirect- meestal ook een vertrouwelijkheidsrisico. Want, indien er een significante kans bestaat dat je één t/m al jouw passkeys kwijtraakt (*), zouden account-verstrekkers een alternatief moeten bieden om alsnog in te kunnen loggen. Bijna altijd geldt dan echter:

1) Je bent phishable. Daarmee is het voordeel van passkeys meestal foetsie.

2) Zo'n alternatieve inlogmethode blijkt, in de praktijk, vooral na verloop van tijd, ombetrouwbaar. Mensen geven bijv. emailadressen of telefoonnummers op, doch nemen later een ander emailadres of een ander telefoonnummer (iets dat vooral i.r.t. scheidingen vaker kan vóórkomen, zie de eerstvolgende link hieronder), en vergeten dat door te geven aan alle partijen die dergelijke gegevens nog geregistreerd hebben staan. Of zij noteren "ergens" een "rescue code" maar vergeten waar, of raken dat papiertje kwijt.

(*) Je kunt zélf géén backups maken van passkeys. Daarmee is het, als je zelf niks doet waarvan het klip en klaar is dat dit tot verlies van één tot al jouw passkeys leidt, voor 100% de verantwoordelijkheid van Google dat jij geen enkele van jouw paaskeys -ongewild- kwijtraakt.

Je kunt op internet zat verhalen vinden van mensen die niet zo succesvol zijn (vooral bij account-hijack is het voor de account-aanbieder de vraag wie wie is). Mensen zijn de foto's van hun kinderen of hun handel kwijt.

Lees hier het verhaal van Amy - die de toegang tot haar Instagram account kwijtraakte (en uitsluitend omdat zij een journaliste kende, die er het volgende over schreef, haar account weer terugkreeg): https://arstechnica.com/tech-policy/2024/01/meta-verification-proved-useless-and-my-family-is-still-locked-out-of-instagram/.

Meer links:
• https://www.bleepingcomputer.com/news/security/lastpass-users-furious-after-being-locked-out-due-to-mfa-resets/

• https://www.theregister.com/2023/03/24/microsoft_geolocation_fail_uzbekistan/

• Nederlandstalig: https://web.archive.org/web/20230330175223/https://radar.avrotros.nl/nieuws/item/kunstenaar-lucienne-55-voelt-enorme-leegte-na-instagram-hack-ik-had-echt-iets-opgebouwd/

• In de 2e Youtube video genoemd onder "Dilemma: PIN, wachtwoord of biometrie?" in https://security.nl/posting/798960 kun je, op het einde van de video, een radeloze man zien wien's Apple ID (en daarmee zijn hele "digitale leven") is gekaapt; zie dat maar eens terug te krijgen.

• Conor Gilsenan in https://infosec.exchange/@conorgil/109542076290811160 (zie ook https://www.security.nl/posting/778668/TOTP+Authenticators+drama).

• Deze noemde ik ook aan Adam Langley: kijk naar de negatieve reacties in https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2.

Account lockout kan een hap uit jouw identiteit betekenen, en kan als erger worden ervaren dan dat jouw gpersoonsegevens op straat belanden.

Ik snap het probleem niet zo. Je hoeft die Google rommel niet te gebruiken tenslotte. Chrome is ook niet nodig om te gebruiken en qua authenticators zijn er ook voldoende alternatieven die wel backups kunnen maken.
Ik snap niet dat mensen zich zo afhankelijk maken van een Google of een Apple. Gebruik gewoon een fysieke passkey en stop eens met dat Gmail of andere Google meuk. Je doet het jezelf aan als je jezelf zo afhankelijk maakt van Big Tech.

Het kwijtraken van een passkey zorgt niet voor een accountlockout.
Voor een accountlockout moet er sprake zijn van onzorgvuldig accountbeheer door de eigenaar van dat account.

De BIV is hier dus ook helemaal niet van toepassing.

Weer zo'n anonieme expert met een reactie waar de negativiteit van af spat en waar helemaal niemand iets aan heeft:

• Gebruik geen Google rommel

• Gebruik Chrome niet

• Zoek zelf maar uit welke Authenticators (die geen van allen phishingproof zijn) "wel backups kunnen maken". In mijn eigen woorden: wel voldoende veilig en privacyvriendelijk backups van TOTP gegevens maken (zowel de secrets als de metadata).

• Gebruik geen Apple spullen

• Gebruik gewoon een fysieke passkey (alleen bestaan die niet)

• Gebruik geen gmail of andere Google meuk

Huawei dus?

Als jij het allemaal zo goed weet, begin dan je eigen draad en schrijf een handleiding - vooral voor die ca. 4 miljoen Nederlanders met geen of onvoldoende taal- en/of digitale vaardigheden. Waarin je beschrijft hoe zij, zonder big tech, hun digitale leven wél privacy-vriendelijk en cybersecure zouden kunnen inrichten.

En dat niet door te schrijven wat zij allemaal niet moeten doen (zoals je hierboven doet, en waar letterlijk noemand iets aan heeft), maar door wél te schrijven wat zij, op z'minst, allemaal wél zouden moeten doen om jouw fantastische digitale wereld na te bootsen.

Nb., fysieke passkeys bestaan niet, en mocht je (voor de meeste mensen ombruikbare) FIDO2 hardware keys bedoelen, vertel er dan meteen eerlijk bij wat alle nadelen daarvan zijn. En doe dat ook van alle andere niet gangbare hard- en software die je aanraadt in die handleiding.

(Voordat je roept dat ook ik in deze draad negatief ben: ik heb al meerdere keren geschreven dat het gebruiken van een wachtwoordmanager, die de domeinnaam checkt, behoorlijk in de buurt komt van de veiligheid van passkeys - maar dan zonder de nadelen daarvan - vorige week nog hier: https://infosec.exchange/@ErikvanStraten/112000236716777105).

P.S. ik ga niet mijn adem inhouden totdat jij, in een eigen draad, uiteen hebt gezet hoe dan wél (de adem inhouden tot jouw eerstvolgende flutreactie raad ik ook niemand aan, maar de overlevingskansen zijn dan een stuk groter).

ja, ooit een keer achter gekomen met een chromebook... na een aantal password updates zonder in te loggen op de chromebook bleek er maar 3 te synchen.. dus 4 keer ww veranderen voordat je CB aanging, en dan was je alles kwijt.

Die vraag impliceert dat je het niet helemaal begrijpt.

Een hardwardware security key -zoals een fingerprint of een FIDO2 token- gebruiken -net zoals SSH- een secret key en een public key. Met de secret key sign je een challange, en dat resultaat moet aan de remote zijde geverifieerd worden d.m.v. een public key. Die alvorens dus wel bekend moest zijn.

Nemen wij nu jouw vraag "waarom zou ik de sleutel van voordeur uberhaupt aan bedrijven geven je op alle manieren proberen te tracken en je privacy schenden".

A: je geeft niet de sleutel van de voordeur.
B: zonder public key kan niet geverifieerd of jij het bent.

Het is niet zo simpel.

Wat je met die "fingerprint" bedoelt weet ik niet, maar bij de meeste FIDO2 hardware tokens kun je de private keys die daarin zijn opgeslagen niet exporteren. Maar of dat helpt, "hangt er van af".

FIDO2 hardware sleutels (zoals Yubikeys)
Het voordeel daarvan is dat, zolang die fysieke sleutel in jouw bezit is, niemand anders die private keys kan misbruiken. Helaas betekent dit niet dat je niet misleid kunt worden.

Je kunt zo'n FIDO2 hardware key alleen veilig gebruiken indien:

• Geen van de client-apparaten die je gebruikt gecompromitteerd (kwaadaardig) is (want dan kun je, op jouw toestel, gefopt worden met de website waar je op inlogt), én

• Je niet inlogt op een nepsite die onterecht een https servercertificaat heeft verkregen voor de, in de adresbalk van jouw browser, getoonde domeinnaam.

Eén van de vele nadelen van FIDO2 hardware sleutels, waaruit je ook zelf geen private keys kunt exporteren, is dat ook jijzelf daar geen backup van kunt maken. En je dus zelf voor een "plan B" moet zorgen dat beschrijft hoe je weer toegang krijgt tot jouw accounts bij verlies of defect raken van zo'n hardware sleutel.

Passkeys
Uit https://developers.google.com/identity/passkeys/faq#what_happens_if_a_user_loses_their_device:

"E2EE" cloud backups
Google (en Apple, en cloud-gebaseerde wachtwoordmanagers) zul je moeten vertrouwen met gegevens in de cloud, ook al claimen zij E2EE (End to End Encryption) - dus versleuteling op het toestel, opslag in en/of transport via "de cloud", terug naar hetzelfde toestel of transport naar een ander toestel (omdat je er tegelijkertijd twee hebt, of een nieuw toestel hebt ter vervanging van het eerste - waarbij, na restore, op die toestellen wordt "ontsleuteld").

Daarbij kunnen er drie problemen optreden:

1) AitM op toestel
Op jouw toestel of toestellen "draait" een besturingssysteem, software dus, van een leverancier die jij zult moeten vertrouwen. Dit geldt OOK bij het gebruik van FIDO2 hardware keys! Die software op jouw toestel kan, net als "echte" malware, jou voor de gek houden door jou andere dingen te laten zien dan zou moeten, en/of invoer van jou (zoals een URL) te wijzigen.

2) Web-server gebaseerde AitM
Gehackte server of echt een andere server dan bedoeld, doch met een onterecht uitgegeven https servercertificaat (door hacken van DNS-record(s), uitgebreide DNS-aanval, BGP-hijack, of een AitM tussen de server met het uit DNS gehaalde IP-adres en de feitelijke server. Of een DNS hack (zoals een toevoeging aan jouw hosts file) plus een fout rootcertificaat toegevoegd op jouw toestel (of PC).

3) Na verliies van (toegang tot) toestel
Stel dat je jouw toestel in de trein laat liggen, dat het toestel gestolen wordt of dat het irreparabel kapot gaat. Na het aanschaffen van een nieuw toestel, zul je waarschijnlijk de cloud-backup (indien die gemaakt is) op dat nieuw toestel willen "terugzetten". Daarbij heb je natuurlijk geen toegang meer tot de "secure enclave" van jouw oude toestel (met daarin, zo veilig als mogelijk, opgeslagen geheimen zoals een key chain en/of neural hashes van vingerafdrukken). Er zijn dan maar 3 "dingen":

(a) Cloud wachtwoord
Jouw wachtwoord voor toegang tot jouw cloud-account met de backup (al dan niet voorzien van MFA, zoals een e-mail adres bij een andere provider, of een alternatief telefoonnummer);

(b) Ontgrendelcode
De scherm-ontgrendelcode van jouw oude smartphone;

(c) De cloud-backup zelf.

Cloud HSM (marketing speak)
Google claimt dat zij over een soort "cloud HSM's" (HSM = Hardware Security Module) beschikt waarin gegevens waartoe haar medewerkers geen toegang tot zouden hebben. Echter, als jij een cloud-backup wilt restoren op een nieuw toestel (dat nog van niks "weet"), ontkom je er niet aan om zeker "(a)" en mogelijk "(b)" naar een partij zoals Google te sturen.

Dus, ook al zou Google over "onkraakbare" HSM's beschikken: linksom of rechtsom moet je "(b)", en eventueel "(a)", via één of meer servers van Google, naar die HSM sturen - ervan uitgaande dat je geen https verbinding tot en met zo'n HSM hebt. Maar zelfs als dat zo zou zijn, weet je dat niet (zeker) - alleen al vanwege het feit dat Google zelf haar eigen certificaten uitgeeft.

Met andere woorden, in zo'n situatie kan Google, als zij dat wil, of daartoe gedwongen wordt (*), als een Attacker in the Middle, met de door jou verstrekte "(a)" en evt. "(b)", de cloud-backup op een toestel in het bezit van (een werknemer van) Google "terugzetten" (restoren).

(*) Bijvoorbeeld in het kader van Section 702 van de FISA wetgeving van de VS. Gebruikelijk is dat een partij als Google MOET zwijgen over zo'n "verzoek" (feitelijk een eis). Ook maakt het niet uit of de Google server met jouw backup in de VS of in Noord Holland staat.

Conclusie
Online is de situatie totaal onvergelijkbaar met een "offline" voordeursleutel.

Linksom of rechtsom ontkom je er niet aan dat je bij online inloggen allerlei partijen, zoals hardware fabrikanten en software-leveranciers, zult moeten vertrouwen (partijen die, op hun beurt, zelf ook weer allerlei derde partijen kunnen vertrouwen, enzovoorts - zonder dat jij weet wie dat zijn, laat staan dat je daar invloed op kunt uitoefenen).

Ook als je FIDO2 hardware keys gebruikt waar private keys niet uit geëxporteerd kunnen worden, ben je v.w.b. de beveiliging (denk aan het risico op identiteitsfraude) afhanfankelijk van een onbekend aantal partijen waarbij je van een deel daarvan mogelijk nog nooit gehoord hebt. Mijn eerste (en laatste) Yubikey bleek overigens een ernstige kwetsbaarheid te bevatten en kon niet geüpdated worden. Ik kon hem omruilen maar had er geen zin meer in (ik heb dat ding als een relikwie bewaard).

OK, als je er een lang verhaal van maakt, dan vis ik er (ditmaal) wel de essentie uit:

Kortom, je zegt alsnog hetzelfde als hetgeen ik al eerder zei:
A: je geeft niet de sleutel van de voordeur.

Dat is een ander onderwerp dan mijn statements, die je aan het "tegenspreken" bent.

Ik ben er vrij zeker van dat dat optioneel is.
Kun je op een Google-loze GrapheneOS telefoon dan geen biometrische FIDO2 gebruiken?
(hetgeen -speulatief- dan alsnog via grapheneos.org zou kunnen gaan)

Kan het zijn dat we het hier niet over de werkelijke hardware token zelf hebben, maar Google Authenticator tokens welke door meerdere hardware tokens (middels screenlock) geauthenticeert kan worden?

Nee, inderdaad ja, laat ik maar geen FIDO2 gebruiken dan.
(ja, dat is ironie, of beter: badwater & baby).

Slechts 3?

Conclusie je was het dus toch wel met mij eensch:
A: je geeft niet de sleutel van de voordeur.
En, in geval van biometrie, is zo'n digitale sleutel een stuk minder bruikbaar dan een metalen fysieke sleutel.

Dat is de enige juiste strategie. Sedert Hearthbleed gebruik ik geen enkele OpenSSL meer. En elke BGP en DNS applicatie die ooit een critical had, verban ik eveneens voor eeuwig uit mijn digitale leven.
Erik, je bent echt wel intelligent, maar nu doe je je toch echt slimmer voor dan je werkelijk bent.

Als Android keys niet OK zijn, en Yubikey evenmin, heb je dan wel eens gekeken naar
https://www.nitrokey.com/
https://www.solokeys.com/
https://www.kensington.com/c/products/data-protection/fingerprint-security-keys/
Of ben je werkelijk van mening dat jouw credo "niet gebruiken" ook een serieus goed advies is voor grote organisaties?
In mijn optiek is een werkelijke hardware key een effectieve methode om password sharing te voorkomen en keylogging danwel sniffing danwel brute-force attacks te elimineren (middels de challenge/response). Hetgeen in mijn optiek een groter gewicht in de schaal legt, dan jouw niet-te-ontkennen tegenargumenten.

Klopt.

Maar de maker van de door jou gebruikte browser (en die van plug-ins) heeft de sleutel van jouw achterdeur, de maker van het besturingssysteem die van jouw tuindeuren, de makers van de door jou gebruikte hardware die van jouw keukenraam, en de makers van mogelijk op jouw apparatuur geïnstalleerde kwaadaardige software die mag wat jij mag hebben een boomstam waarmee ze jouw voordeur kunnen laten versplinteren, en als jij op een nepsite met de juiste domeinnaam inlogt (denkbaar in verschillende scenario's) slaan ze met een grotere ijzeren bal aan een ketting de voorgevel van jouw huis eruit.

Ik probeer "slechts" alle potentiële risico's in kaart te brengen en te beschrijven.

Sja, als Google iets beweert en ik constateer dat het zo werkt (alleen niet betrouwbaar), dan zal jij het wel beter weten (overigens zonder verifieerbare feiten te verstrekken, dus kennelijk gebaseerd op de mening van jouw onderbuik). Geniet ervan (dan doet tenminste nog iemand dat).

Ik heb geen idee.

Jij valt mij aan op mijn posting over risico's van Android passkeys, waarvan het (omdat zij een Google cloud account vereisen) niet voor de hand ligt dat jij die op whatever-not-Android OS gaat gebruiken. Waarna ik jou erop probeer te wijzen dat oplossingen zonder risico's niet bestaan, wat jij lijkt te bestrijden.

Google Authenticator is een TOTP app (heeft niets met passkeys o.i.d. te maken en is niet phishing-resistant).

Dank.

Mijn credo luidt anders: wees je bewust van alle (rest-) risico's, en weeg ook de (praktische) nadelen mee van alle mogelijke oplossingen.

(Nee-schuddend) Je hebt gelijk, schat.

Om bij jouw beeldspraak te blijven;
ik zie het niet gebeuren dat heel huisbezittend Nederland (incl. paleisjes), nu zelf de kozijnen gaat schuren, in de grondverf zetten, opnieuw schuren en uiteindelijk schilderen. En ook de steiger maar zelf opbouwd en afbreekt.
Want tja, zelfs die schilder van Villa Drakenstein in Wassenaar kan foto's lekken, nog voordat je er met je gezin intrekt.
Het Korps Mariniers als tuinman hebben, is blijkbaar nodig, maar niet iedereen heeft zulke privileges, en zal praktische concessies moeten plegen.


Welke je vervolgens koppelt aan Android, als ware al die potentiële risico's daar ineens uniek van toepassing zijn / passkeys ineens geen voordelen meer hebben om genoemde risico's tenminste te verlagen i.p.v. het utopische elimineren.

Dat blijven nog steeds twee verschillende onderwerpen, en dus anders dan mijn statements, die je aan het "tegenspreken" was, en achteraf toch wel mee eensch was.

Wat overigens nog niet genoemd is, zijn websites en apps die de passkey ineens als enige factor gaan gebruiken i.p.v. een extra factor. Heb ik ook nog wel een "mening" over, waar we het vast hartgrondig over eens zullen zijn.

Ik was ook altijd stampvoetend boos als mama zei: dat zul je later wel begrijpen.
Nee, ik zal het niet beter weten: ik weet zeker dat jij zelf ook wel beter weet.

Aha, dus je weet niet niet of Android keys ook niet via Google kunnen lopen.
Maar je brand ze maar bij voorbaat maar af, want je had een nare ervaring met Google's cloud.

En Yubikeys zijn helemaal ruk, omdat er ooit een vulnerability in een bepaalde versie zat gerelateerd aan een specifiek protocol.
Dus je brand heel FIDO2 maar af, want ze beveiligen je niet tegen "alle potentiële risico's".

Inderdaad kun je hardware keys verliezen. Zoals je ook wachtwoorden kunt vergeten - of zoals die nog veel makkelijker in verkeerde handen vallen dan een hardware key.
Toch, die Google passKEY Cloud waar je een nare ervaring mee had, is tot dusver wel heel wat betrouwbaarder dan alle "fantastische" passWORD storage oplossingen, nietwaar?

Is jouw alternatief dan zoveel beter - in een praktijk alwaar niet iedereen autist is, maar er mensen bestaan die menselijke trekjes tonen?

Onjuist, en onzinnig om tegen te verweren.
Lees het gewoon maar opnieuw, dan hoef ik het niet te herhalen.
Lees wat je wil, of lees het eens met een andere blik vanuit een realistisch perspectief.
Wanneer je kwalificaties als "aanval" wil geven, dan zou ik zeggen dat ik poog een spiegel voor te houden, omdat je zelf ook wel beseft dat je nogal graag bewust een bord voor je kop houdt en een balk in je oog hebt terwijl je over splinters meimert.

Typisch. Dat is niks anders dan mijn credo. In die lijn vind ik passkeys fantastisch, vooral omdat dat bewustzijn een utopie is in grote organisaties zonder militaire dicipline of daaraan grenzend.

Ik blijf benieuwd naar jou alternatief, schat.

En nu we in dit stadium van intieme koosnaampjes zitten...
laten we dan -naast beginnen- ook eens eindigen met onzinnige beeldspraak:

Geen enkele condoomfabrikant kan 100% garanderen dat er niks mis is met hun fysieke product.
Condooms kun je vergeten. Condooms kun je verliezen. Andere mensen kunnen jouw condooms gebruiken.
Condooms bieden geen 100% garantie dat je geen SOA oploopt.
Er bestaan allerlei SOA's, risicos "die in kaart te brengen" zijn.
En in de toekomst zou dat nog wel eens meer kunnen worden, zogeheten "rest risico's".
Laten we dus vooral dus geen condooms gebruiken, want ze zijn slechter dan een slechte oplossing.
Helemaal die van EuroGlider want die hadden ooit een transparante en doortastende recall.

Ongefundeerd stellen dat A beter is dan B vind ik kortzichtig.

Vergelijkingen maken a.d.h.v. verf en condooms, bij herhaling claimen dat ik "100% veilig" zou willen, liegen dat ik "Yubikeys ruk vind" en de kennelijke stelling dat "onbeschikbaarheid" (account lock-out) géén security-risico inhoudt, zijn m.i. geen steekhoudende argumenten (maar, wie ben ik). Sterker, m.i. torpederen zij een potentieel zinvolle discussie (waar ik -toegegeven- te lang in ben meegegaan).

De wereld is niet zwart/wit; niks is zonder risico's en zonder nadelen. De keuze van een inlogmethode hangt mede af van ieders persoonlijke situatie en de "waarde" van elk van diens webaccounts (zowel voor de betrokkene als voor aanvallers). Hoe meer voordelen en nadelen (waaronder risico's en potentiële kwetsbaarheden) van (de beschikbare) inlogmethodes men kent, hoe gefundeerder de keuze is die men daartussen kan maken.

Ik laat het verder aan de lezers (en eventuele reageerders) van security.nl over om te oordelen wie hier de grootste onzin uitkraamt: de drie anoniemen (mogelijk één en dezelfde reageerder hierboven) van 01-03-2024, 12:48 en 05-03-2024, 13:11 (gisteren) en 06-03-2024,13:35 (vandaag) - of ik (in elke reactie van mij hierboven).

In elk geval laat ik mij niet verder trollen; m.i. heb ik meer dan voldoende mijn best gedaan om mijn stellingen te onderbouwen.

Of het zijn gewoon 3 verschillende anoniemen.

Als iemand van menig is dat Hardware Passkeys onbruikbaar zijn omdat je de Private Key niet kunt exporteren naar een bestaand of whatever, haak ik echt af.

We zitten hier niet om alles overhoop te gooien voor gebruikers ongemak van één persoon.

Nieuwe reaguurder : inderdaad.
Erik zit weer 's in de Erik-modus - een gigantische aantal details , en mist de grote lijn - construeert of ervaart één nadeel-scenario, en concludeert dat het concept voor alles en iedereen volkomen onbruikbaar is.

Als het al ongefundeerd was, dan was het nog altijd een "A is minder slecht dan B".


Iemand begon met voordeur, niet ik.
Jij bracht de achterdeur, tuindeuren, keukenraam, een boomstam, een verplinterde voordeur, en een grotere ijzeren bal aan een ketting die voorgevel van jouw huis eruit sloopt.
Nu verwijt je mij -in een security topic- mijn metafoor met nota bene een voorbehoedsmiddel.

Je herhaalt zèlf dat je "100% veilig" schijnt te wensen.

"Yubikeys ruk" wijkt nauwelijks af van -jouw woorden- "relikwie" waar je "geen zin meer in had".
Spat niet bijster veel enthousiasme van af.

Ik beaam mijzelf dat een account lock-out inderdaad géén security-risico is - mits je een alternatief hebt danwel andere opties voor een vlotte oplossing. Het is een gewenst en acceptabel ongemak.

Ik torperdeer geen potentieel zinvolle discussie.
Ik torperdeer zinloze whataboutism, waarvan ik direct wist dat dat onhoudbaar was, al kost dat 3x tijdverspilling aan beide zijden.

Trollen is iets anders dan de momenten waar ik ironie toepastte.
Trollen is iets anders dan het met elkaar oneens zijn - of beter: niet volledig eens zijn.
Het woord trollen ervaar ik als beledigend, of teminste van weinig wederzijds respect.
Beetje opzichtig om nu te suggereren dat ik enkel schrijf om U te provoceren, en -ondanks mijn inbreng- mijn motief sabotage van een zinvolle discussie zou zijn.

Ikzelf gebuik de Yubikey sinds generatie 2, nog voor het Amerikaanse belang er kwam. Dus ik gok zo'n 15 jaar nu.
Inmiddels ook Kensington en ja, Android passkeys. Ik ben geen salesman, noch een fanboy.
Maar vind het concept brilliant. Tenzij je het als enige factor gaat gebruiken, hetgeen bij biometrie dus al niet meer geldt.
Als zowel gebruiker en vooral operator daarvan de voordelen trotseren, maar blijven klagen over duistere praktijken op het internet, tja, daar vind ik jouw kwalificatie "kortzichtig" bijpassend, want aan inzicht schort het niet.

Onderbouwen? Dat was dan niet in deze fase:

Ook ik niet, maar "Anoniem". Hoe moet ik weten wie welke anoniem is, zonder op overgevoelige wintertenen te trappen?

Met in elk geval wel als overeenkomst dat al jullie anoniemen, notabene op een security site, niets willen horen over security-risico's (waarvan ik aanraad om deze voor ieders persoonlijke situatie te wegen). En voor mensen die daar wel in geïnteresseerd zijn, o.a. door mijn woorden te verdraaien, al mijn topics saboteren.

Geen wonder dat het, met zulke anonieme ego's, een steeds grotere security-puinhoop wordt op internet. What else can I say?

Het is irrelevant welk naamje aan welke mening hangt of ontbreekt.
Chronologisch:
- iemand bracht een metafoor.
- iemand weerlegt dat.
- jij breidt 'm nogal uitgebreid uit.
- waarop iemand reageert.
Vervolgens klaag je over metaforen.
Het probleem zit niet in de metafoor.

Verder zie ik niemand overgevoelig klagen.

Overigens jouw woord "torperderen" is ook een metafoor. En zeer treffend.
Je tegenargumenten zijn kruit noch lood.
Of zoals ik al -met wederom een metafoor- eerder zei: brengen te weinig tegengewicht in de schaal.

Al mijn topics saboteren?
Neen, voor zover ik weet heb ik je slecht eenmaal ergens van repliek gedient. Enkel alhier in dit topic.
Woorden verdaaien?
Zoiets als: "al jullie anoniemen, notabene op een security site, niets willen horen over security-risico's" ..?
Of kwalificaties als "troll" en "saboteur" ...?
Je bent aan het afleiden.

Het zijn toch niet de woorden waaruit je zou concluderen dat U een Yubikey weet te waarderen.

Je kunt van alles roepen.
Maar niet dat passkeys vermeden moeten worden omdat ze niet elke vorm van aanvalsvector volledig elimineren.
Of omdat het vervelend is wanneer je die verliest, dan de authenticatie wat lastiger kan gaan.

Wat wij allen kunnen vaststellen is dat het nogal evident is dat passkeys problemen aanzienlijk reduceren.
Daarnaast dat hetgeen jij toedicht aan (Android + Google), niet een uniek probleem is bij enkel Android passkeys - of een probleem is bij (Android - Google).
Geef toe dat we het globaal allang eens waren, dan zijn we klaar.
En laat vooral dat niet-anonieme ego daarbij niet in de weg zitten.

Ehm, niet willen horen, of niet kunnen horen?

M.i. interesante teleurstellende gebruikerservaringen met Passkeys, opgetekend door Josh Grossman in https://joshcgrossman.com/2024/02/08/one-does-not-simply-implement-passkeys/ (lang, met veel screenshots), daaruit: