Proton: Apple en Google gebruiken passkeys om mensen vast te houden
De manier waarop Apple en Google passkeys hebben geïmplementeerd is een valstrik en alleen bedoeld om mensen in de ecosystemen van de techbedrijven vast te houden, zo stelt Son Nguyen van Proton. Passkeys zouden wachtwoorden moeten vervangen en zijn gebaseerd op de Web Authentication (WebAuthn) standaard. Ze maken gebruik van public key cryptography.
Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd.
Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. "Big Tech heeft passkeys beschouwd als een kans om hun eigen commerciële belangen te dienen in plaats van een tool om universele security te bieden", aldus Nguyen. Zowel Apple als Google maken het niet mogelijk om passkeys te exporteren, wat inhoudt dat gebruikers die opnieuw moeten maken wanneer ze op een andere wachtwoordmanager overstappen. Ook zijn de implementaties 'closed-source'.
"Als je bijvoorbeeld een passkey op je iPhone maakt, is die eenvoudig naar een Mac te synchroniseren, maar heel lastig op een Windowssysteem te gebruiken. Als je probeert om je passkey van een Apple-apparaat op een Android te gebruiken, moet je een qr-code gebruiken. Er is geen automatisch synchronisatie. Dit schepte helaas een precedent dat andere grote uitrollen van passkeys hebben gevolgd", gaat Nguyen verder.
Ook in het geval van Google probeert het techbedrijf mensen vast te houden. Wie op zijn laptop met Chrome een passkey genereert, kan die niet gebruiken binnen de Firefox-browser op zijn smartphone. Daarnaast hanteert Google een omslachtig proces om een third-party wachtwoordmanager te gebruiken voor de opslag van passkeys. "Zowel Apple en Google hebben het zo gemaakt dat als je een passkey aanmaakt, je met hun apps en apparaten moet werken om er gebruik van te kunnen maken. Dit beperkt de mogelijkheden van passkeys en gaat ten koste van hun nut, alleen zodat Big Tech een slotgracht om hun walled garden kan plaatsen."
Euh, ik heb "gewoon" een passkey login op m'n Gmail/Google account i.c.m. m'n password manager.... Inloggen bij Google op m'n iPhone en, in mijn geval, Mac werkt prima. Staan op je iPhone alle instellingen wel goed dat je password manager het device is om mee in te loggen als het gaat om wachtwoorden/passkeys?
Zelf gebruik ik 1Password, maar volgens mij moet Bitwarden dit inmiddels ook kunnen.
Als het wel aan jou had gelegen dan had je het misschien kunnen oplossen ;-)
Dit exacte idee, maar dan volledig opensource, had ik 10 jaar geleden al.
Dit exacte idee, maar dan volledig opensource, had ik 10 jaar geleden al.
Als je even zoekt op "open source passkey" dan komt er trouwens wel degelijk wat tevoorschijn. Het probleem is hier ook niet dat het open source-alternatief niet bestaat, maar dat Google en Apple uitwisseling van sleutels ermee blokkeren, zodat mensen de makkelijke oplossing die het platform kant en klaar aanreikt niet makkelijk meer verlaten. De big tech-bedrijven hebben heel veel handigheid ontwikkeld in het met open standaards en open source ontwikkelen van toepassingen die toch gesloten zijn. Dat is het probleem, en dit is maar één voorbeeld ervan.
Nope. Proton Pass exporteert (encrypted, pgp) super simpel naar json bestand.
Een passkey is totaal niet exclusief voor een van deze tech-giganten.
Een passkey is totaal niet exclusief voor een van deze tech-giganten.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
