Duitse overheid adviseert passkeys in plaats van wachtwoorden
De Duitse overheid adviseert gebruikers en organisaties om passkeys in plaats van wachtwoorden te gebruiken, omdat die veiliger en eenvoudiger te gebruiken zouden zijn. "We moeten cybersecurity zo eenvoudig mogelijk maken en tegelijkertijd ook robuust. Passkeys zijn een perfect voorbeeld van hoe technische oplossingen zijn te gebruiken om technische uitdagingen aan te gaan", zegt Claudia Plattner, hoofd van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Volgens Plattner zijn passkeys de toekomst.
Passkeys zouden wachtwoorden moeten vervangen en zijn gebaseerd op de Web Authentication (WebAuthn) standaard. Ze maken gebruik van public key cryptography. Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen.
Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Volgens het BSI blijkt uit onderzoek dat de voordelen die passkeys bieden nog weinig bekend zijn. De Duitse overheidsinstantie roept online providers op om bewustzijn over passkeys te vergroten en ze effectiever te promoten.
"Passkeys moeten aan gebruikers worden gepresenteerd als een eenvoudige en veilige inlogmethode. Daarnaast kan de eenvoudige installatie en het gemakkelijke gebruik van passkeys worden benadrukt", laat het BSI weten. Er is ook de nodige kritiek op passkeys. Zo waarschuwde Proton eerder dit jaar nog dat de manier waarop Apple en Google passkeys hebben geïmplementeerd een valstrik is en alleen bedoeld om mensen in de ecosystemen van de techbedrijven vast te houden. Het risico van vendor lock-in is vaker genoemd. Ook zijn er privacyzorgen
Het is geen eenvoudige veilige methode, integendeel!
Kom op BSI. je zou beter moeten weten. Of hebben ze een glasvezeltje liggen naar providers?
1) Werkt alleen bij https-verbindingen, waardoor de domeinnaam geauthenticeerd wordt middels het gebruikte https servercertificaat;
en
2) Werkt alleen als de domeinnaam klopt.
Tenzij het om een onterecht uitgegeven servercertificaat gaat (een groeiend probleem) is phishing alleen mogelijk als het door de inlogger gebruikte apparaat (of de software daarop) gecompromitteerd is of de https-verbinding onveilig is (dat laatste is, voor zover ik weet, uiterst zeldzaam).
Veel meer info in https://security.nl/posting/798699/Passkeys_voor_leken.
Overigens zijn passkey-implementaties (zowel Android als iOS) nog steeds allesbehalve bugvrij.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.