image

Google: zestien procent accounts gebruikt passkey voor inloggen

donderdag 2 mei 2024, 15:40 door Redactie, 4 reacties

Zo'n zestien procent van de Google-accounts maakt gebruik van een passkey om in te loggen, zo claimt Google. Van de 2,4 miljard accounts die het techbedrijf zegt te hebben is er voor 400 miljoen een passkey ingesteld. Onlangs waarschuwde Proton dat de manier waarop Apple en Google passkeys hebben geïmplementeerd een valstrik is en alleen bedoeld om mensen in de ecosystemen van de techbedrijven vast te houden.

Passkeys zouden wachtwoorden moeten vervangen en zijn gebaseerd op de Web Authentication (WebAuthn) standaard. Ze maken gebruik van public key cryptography. Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen.

Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Volgens Proton hebben Apple en Google hun passkeys zo geïmplementeerd dat het lastig is om die eenvoudig over meerdere apparaten en platforms te gebruiken. Steeds meer partijen bieden passkeys aan, die ook door steeds meer wachtwoordmanagers worden ondersteund.

Reacties (4)
02-05-2024, 16:27 door Erik van Straten - Bijgewerkt: 02-05-2024, 16:28
Right.

https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/;

https://seclists.org/fulldisclosure/2024/Feb/15 (meeste issues unfixed);

• Discussie met Adam Langley (29 Feb) https://infosec.exchange/@ErikvanStraten/112014572855744256.

Apple, zojuist, discussie met Ricky Mondello die vragen over passkeys wil zien: https://infosec.exchange/@ErikvanStraten/112371889424124812.
02-05-2024, 19:05 door Anoniem
Hm... Vendor lock-in... Ik gebruik liever een lang en complex wachtwoord en 2FA via HW keys.
02-05-2024, 22:48 door Anoniem
Dat passwordless is leuk maar dan zie ik graag de optie om personal cert file te gebruiken. Ik gebruik het icm een username met passphrase. De username en passphrase staat dan in een password vault. Daarnaast kan ik nog kijken welke auth app ik kan gebruiken. Al is dat nu niet nodig. Het personal cert is de private en public key voor de auth. Op die mannier kan multi factor toch gebruiksvriendelijk worden. ( Sneller dan en makkelijker dan een lan en complex ww)
03-05-2024, 02:04 door Anoniem
Ik ben 1 van die 16%
Ik heb de passkey in Bitwarden met Vaultwarden als backend server,
Ik kan die passkey vervolgens op al mijn toestellen gebruiken.
Of ik het blijf gebruiken weet ik niet maar ik wilde er eens een tijdje mee spelen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.