De manier waarop Apple en Google passkeys hebben geïmplementeerd is een valstrik en alleen bedoeld om mensen in de ecosystemen van de techbedrijven vast te houden, zo stelt Son Nguyen van Proton. Passkeys zouden wachtwoorden moeten vervangen en zijn gebaseerd op de Web Authentication (WebAuthn) standaard. Ze maken gebruik van public key cryptography.
Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd.
Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. "Big Tech heeft passkeys beschouwd als een kans om hun eigen commerciële belangen te dienen in plaats van een tool om universele security te bieden", aldus Nguyen. Zowel Apple als Google maken het niet mogelijk om passkeys te exporteren, wat inhoudt dat gebruikers die opnieuw moeten maken wanneer ze op een andere wachtwoordmanager overstappen. Ook zijn de implementaties 'closed-source'.
"Als je bijvoorbeeld een passkey op je iPhone maakt, is die eenvoudig naar een Mac te synchroniseren, maar heel lastig op een Windowssysteem te gebruiken. Als je probeert om je passkey van een Apple-apparaat op een Android te gebruiken, moet je een qr-code gebruiken. Er is geen automatisch synchronisatie. Dit schepte helaas een precedent dat andere grote uitrollen van passkeys hebben gevolgd", gaat Nguyen verder.
Ook in het geval van Google probeert het techbedrijf mensen vast te houden. Wie op zijn laptop met Chrome een passkey genereert, kan die niet gebruiken binnen de Firefox-browser op zijn smartphone. Daarnaast hanteert Google een omslachtig proces om een third-party wachtwoordmanager te gebruiken voor de opslag van passkeys. "Zowel Apple en Google hebben het zo gemaakt dat als je een passkey aanmaakt, je met hun apps en apparaten moet werken om er gebruik van te kunnen maken. Dit beperkt de mogelijkheden van passkeys en gaat ten koste van hun nut, alleen zodat Big Tech een slotgracht om hun walled garden kan plaatsen."
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.