Britse overheid: problemen met passkeys belemmeren breed gebruik
Passkeys zijn door allerlei problemen nog niet geschikt om wachtwoorden overal te vervangen, zo stelt het Britse National Cyber Security Centre (NCSC). De Britse overheidsinstantie zegt met de industrie te zullen samenwerken om deze problemen te verhelpen en ervoor te zorgen dat het gebruik van passkeys verder toeneemt. "Het NCSC denkt dat ze de toekomst van moderne authenticatie zijn", aldus de overheidsinstantie in een blogposting.
Passkeys zouden wachtwoorden moeten vervangen en zijn gebaseerd op de Web Authentication (WebAuthn) standaard. Ze maken gebruik van public key cryptography. Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen.
Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Passkeys zijn niet te raden, niet te phishen en uniek voor elke website, legt het Britse NCSC uit.
Allerlei problemen zorgen er echter voor dat het Britse NCSC passkeys nog niet voor grootschalig gebruik kan aanraden. Zo verschilt de ondersteuning en gebruikservaring per platform en programma. Er wordt wel gewerkt aan standaardisering, maar het Britse NCSC merkt op dat het nog wel even kan duren voordat deze standaarden overal worden toegepast. Een ander probleem is wanneer gebruikers hun toestel of apparaat verliezen. Ook het migreren van passkeys naar een andere fabrikant of platform zorgt voor problemen.
De Britse overheidsdienst noemt verder nog onzekerheden met het synchroniseren en delen van passkeys, onzekerheden over welke passkeys als tweede factor zijn te gebruiken, het inconsistente gebruik, waarbij sommige websites gebruikers meteen laten inloggen en andere een tweede factor eisen en uitdagingen voor diensten die verschillende domeinen voor het inloggen gebruiken. Het Britse NCSC sluit de blogposting af door nogmaals te zeggen dat passkeys de toekomst zijn, maar dat dit een grotere inzet van en meer samenwerking tussen alle betrokken partijen vereist. Eind vorig jaar kwam de Duitse overheid nog met een advies aan burgers om passkeys te gebruiken.
Een workaround zou zijn om keys in een cloud te stoppen. Maar ja, dat gaat weer fout omdat je 'cloud' nou eenmaal niet moet gebruiken voor data waar je zelf controle over wilt houden... Tsja...
Android: https://infosec.exchange/@ErikvanStraten/113820358011090612
iOS/iPadOS: https://infosec.exchange/@ErikvanStraten/113820537945224405 (en follow-up, met screenshots, in https://infosec.exchange/@ErikvanStraten/113821443334366419).
Als iemand serieus geïnteresseerd is in een NL vertaling op deze site, schrijf ik die graag (alleen op expliciet verzoek).
In een wereld waar digitaal gehackt worden van de dag is, lijkt mij dat een prima methode.
En dat al wel helemaal in combinatie met 2FA en/of backup codes.
Wat je tegenwoordig ook steeds meer ziet is het inloggen via Email.
Dan voer je je email in, en krijg je een mail met een linkje.
Het feit dat je die link opent is dan genoeg om aan te tonen dat jij jij bent.
IK weet niet wat ik hier van moet vinden, maar gemakkelijk is het wel.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?