image

Proton: Apple en Google gebruiken passkeys om mensen vast te houden

maandag 8 april 2024, 16:29 door Redactie, 9 reacties

De manier waarop Apple en Google passkeys hebben geïmplementeerd is een valstrik en alleen bedoeld om mensen in de ecosystemen van de techbedrijven vast te houden, zo stelt Son Nguyen van Proton. Passkeys zouden wachtwoorden moeten vervangen en zijn gebaseerd op de Web Authentication (WebAuthn) standaard. Ze maken gebruik van public key cryptography.

Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd.

Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. "Big Tech heeft passkeys beschouwd als een kans om hun eigen commerciële belangen te dienen in plaats van een tool om universele security te bieden", aldus Nguyen. Zowel Apple als Google maken het niet mogelijk om passkeys te exporteren, wat inhoudt dat gebruikers die opnieuw moeten maken wanneer ze op een andere wachtwoordmanager overstappen. Ook zijn de implementaties 'closed-source'.

"Als je bijvoorbeeld een passkey op je iPhone maakt, is die eenvoudig naar een Mac te synchroniseren, maar heel lastig op een Windowssysteem te gebruiken. Als je probeert om je passkey van een Apple-apparaat op een Android te gebruiken, moet je een qr-code gebruiken. Er is geen automatisch synchronisatie. Dit schepte helaas een precedent dat andere grote uitrollen van passkeys hebben gevolgd", gaat Nguyen verder.

Ook in het geval van Google probeert het techbedrijf mensen vast te houden. Wie op zijn laptop met Chrome een passkey genereert, kan die niet gebruiken binnen de Firefox-browser op zijn smartphone. Daarnaast hanteert Google een omslachtig proces om een third-party wachtwoordmanager te gebruiken voor de opslag van passkeys. "Zowel Apple en Google hebben het zo gemaakt dat als je een passkey aanmaakt, je met hun apps en apparaten moet werken om er gebruik van te kunnen maken. Dit beperkt de mogelijkheden van passkeys en gaat ten koste van hun nut, alleen zodat Big Tech een slotgracht om hun walled garden kan plaatsen."

Reacties (9)
08-04-2024, 17:16 door Anoniem
Ik vroeg me dit al af; bij zowel via een iphone een passkey aanmaken als op de site van google een passkey aanmaken werd een hardware key geblokkeerd en was het ook niet mogelijk om een password manager met passkey support te gebruiken. Het lag dus niet aan mij, gelukkig.
08-04-2024, 18:27 door Anoniem
Door Anoniem: Ik vroeg me dit al af; bij zowel via een iphone een passkey aanmaken als op de site van google een passkey aanmaken werd een hardware key geblokkeerd en was het ook niet mogelijk om een password manager met passkey support te gebruiken. Het lag dus niet aan mij, gelukkig.

Euh, ik heb "gewoon" een passkey login op m'n Gmail/Google account i.c.m. m'n password manager.... Inloggen bij Google op m'n iPhone en, in mijn geval, Mac werkt prima. Staan op je iPhone alle instellingen wel goed dat je password manager het device is om mee in te loggen als het gaat om wachtwoorden/passkeys?

Zelf gebruik ik 1Password, maar volgens mij moet Bitwarden dit inmiddels ook kunnen.
08-04-2024, 19:25 door Anoniem
Door Anoniem: Ik vroeg me dit al af; bij zowel via een iphone een passkey aanmaken als op de site van google een passkey aanmaken werd een hardware key geblokkeerd en was het ook niet mogelijk om een password manager met passkey support te gebruiken. Het lag dus niet aan mij, gelukkig.

Als het wel aan jou had gelegen dan had je het misschien kunnen oplossen ;-)
08-04-2024, 19:46 door Anoniem
Ik snap niet waarom we hier nog geen opensource alternatieven voor hebben?

Dit exacte idee, maar dan volledig opensource, had ik 10 jaar geleden al.
08-04-2024, 20:08 door Anoniem
Dit is wel een beetje kort door de bocht van Proton. Dat de passkeys niet makkelijk op andere systemen te gebruiken zijn komt namelijk mede ook doordat FIDO nog geen specificatie heeft gegeven hoe passkeys moeten worden geëxporteerd naar andere systemen. Passkeys in proton zijn net zo min eco systeem verbonden, je hebt altijd de proton dienst nodig.
09-04-2024, 05:21 door Anoniem
Door Anoniem: Ik snap niet waarom we hier nog geen opensource alternatieven voor hebben?

Dit exacte idee, maar dan volledig opensource, had ik 10 jaar geleden al.
Je had het idee maar hebt het niet geïmplementeerd. Daarom is dat open source-alternatief er nog niet ;-)

Als je even zoekt op "open source passkey" dan komt er trouwens wel degelijk wat tevoorschijn. Het probleem is hier ook niet dat het open source-alternatief niet bestaat, maar dat Google en Apple uitwisseling van sleutels ermee blokkeren, zodat mensen de makkelijke oplossing die het platform kant en klaar aanreikt niet makkelijk meer verlaten. De big tech-bedrijven hebben heel veel handigheid ontwikkeld in het met open standaards en open source ontwikkelen van toepassingen die toch gesloten zijn. Dat is het probleem, en dit is maar één voorbeeld ervan.
09-04-2024, 08:34 door Anoniem
Door Anoniem: Dit is wel een beetje kort door de bocht van Proton. Dat de passkeys niet makkelijk op andere systemen te gebruiken zijn komt namelijk mede ook doordat FIDO nog geen specificatie heeft gegeven hoe passkeys moeten worden geëxporteerd naar andere systemen. Passkeys in proton zijn net zo min eco systeem verbonden, je hebt altijd de proton dienst nodig.

Nope. Proton Pass exporteert (encrypted, pgp) super simpel naar json bestand.
09-04-2024, 09:04 door Anoniem
Totaal onzinnige onzin.
Een passkey is totaal niet exclusief voor een van deze tech-giganten.
10-04-2024, 09:34 door Anoniem
Door Anoniem: Totaal onzinnige onzin.
Een passkey is totaal niet exclusief voor een van deze tech-giganten.
het is geen onzin als probeert over te stappen heb je een uitdaging. Als je je ziel en zaligheid aan een van de platforms verkoopt heb je ook geen passkey probleem...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.