Nieuws
image

Duitse overheid adviseert passkeys in plaats van wachtwoorden

woensdag 2 oktober 2024, 11:13 door Redactie, 8 reacties
Laatst bijgewerkt: 02-10-2024, 11:38

De Duitse overheid adviseert gebruikers en organisaties om passkeys in plaats van wachtwoorden te gebruiken, omdat die veiliger en eenvoudiger te gebruiken zouden zijn. "We moeten cybersecurity zo eenvoudig mogelijk maken en tegelijkertijd ook robuust. Passkeys zijn een perfect voorbeeld van hoe technische oplossingen zijn te gebruiken om technische uitdagingen aan te gaan", zegt Claudia Plattner, hoofd van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Volgens Plattner zijn passkeys de toekomst.

Passkeys zouden wachtwoorden moeten vervangen en zijn gebaseerd op de Web Authentication (WebAuthn) standaard. Ze maken gebruik van public key cryptography. Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen.

Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Volgens het BSI blijkt uit onderzoek dat de voordelen die passkeys bieden nog weinig bekend zijn. De Duitse overheidsinstantie roept online providers op om bewustzijn over passkeys te vergroten en ze effectiever te promoten.

"Passkeys moeten aan gebruikers worden gepresenteerd als een eenvoudige en veilige inlogmethode. Daarnaast kan de eenvoudige installatie en het gemakkelijke gebruik van passkeys worden benadrukt", laat het BSI weten. Er is ook de nodige kritiek op passkeys. Zo waarschuwde Proton eerder dit jaar nog dat de manier waarop Apple en Google passkeys hebben geïmplementeerd een valstrik is en alleen bedoeld om mensen in de ecosystemen van de techbedrijven vast te houden. Het risico van vendor lock-in is vaker genoemd. Ook zijn er privacyzorgen

Reacties (8)
Reageer met quote
02-10-2024, 11:21 door linuxpro
Dat is toch niets nieuws.. een passphrase zou je ook niet regelmatig hoeven te wijzigen en biedt icm 2FA een prima beveiliging voor de meeste toepassingen.
Reageer met quote
02-10-2024, 11:37 door karma4
Dat worden weer een flink aantal datalekken. Passkeys om ongemerkt naar andere systemen te springen waarbij specifieke medewerkers die na gecompromiteerd te zijn dat allemaal open en bloot hebben staan.
Het is geen eenvoudige veilige methode, integendeel!
Reageer met quote
02-10-2024, 11:50 door Anoniem
Voor mij persoonlijk zou ik een usb stickje met mijn wachtwoorden versleuteld erop hebben het gemakkelijkste en veiligste vinden.
Reageer met quote
02-10-2024, 12:06 door Anoniem
Hoezo zijn passkeys veilig?
Kom op BSI. je zou beter moeten weten. Of hebben ze een glasvezeltje liggen naar providers?
Reageer met quote
02-10-2024, 12:32 door Erik van Straten
Opmerkelijk dat de belangrijkste twee voordelen van passkeys (feitelijk van WebAuthn) niet worden genoemd:

1) Werkt alleen bij https-verbindingen, waardoor de domeinnaam geauthenticeerd wordt middels het gebruikte https servercertificaat;

en

2) Werkt alleen als de domeinnaam klopt.

Tenzij het om een onterecht uitgegeven servercertificaat gaat (een groeiend probleem) is phishing alleen mogelijk als het door de inlogger gebruikte apparaat (of de software daarop) gecompromitteerd is of de https-verbinding onveilig is (dat laatste is, voor zover ik weet, uiterst zeldzaam).

Veel meer info in https://security.nl/posting/798699/Passkeys_voor_leken.

Overigens zijn passkey-implementaties (zowel Android als iOS) nog steeds allesbehalve bugvrij.
Reageer met quote
02-10-2024, 14:32 door Anoniem
Door karma4: Dat worden weer een flink aantal datalekken. Passkeys om ongemerkt naar andere systemen te springen waarbij specifieke medewerkers die na gecompromiteerd te zijn dat allemaal open en bloot hebben staan.
Het is geen eenvoudige veilige methode, integendeel!

Dat het geen eenvoudige methode is voor de meeste mensen ben ik met je eens. Dat is voor een groot deel te wijten aan de eigen interpretaties en implementaties van de eerste grote partijen. Ergens - maar ik kan het zo snel niet terugvinden - is een blogpost van een van de eerste / originele developers met stevige, onderbouwde kritiek op wat passkeys zijn geworden.
Maar hoe dan ook: passkeys zijn niet zomaar te misbruiken, ze zijn gebonden aan een apparaat (zoals bij Apple) of een software store van een password manager (zoals 1Password), en de URL/URI van de site of service is in de key ingesloten, dus niet te gebruiken voor andere sites of vanaf andere computers, inclusief embedded/overlaid fake sites.
Reageer met quote
02-10-2024, 22:59 door Anoniem
Een wachtwoord van 40 onwillekeurige tekens volstaat prima, zelfs tegen quantum computers.
Gebruik gewoon een password randomizer en een offline password manager om het passwoord aan te maken en op sites e.d. in te laten voeren.
Reageer met quote
04-10-2024, 08:02 door Anoniem
Maar zo authenticeer je toch een apparaat en niet de persoon achter dit apparaat die daar gebruik van maakt?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure