Google test vingerafdruk-login op macOS en Android via WebAuthn in Chrome-bèta

Google heeft een bèta van versie 70 van zijn Chrome-browser uitgebracht, waarin het vingerafdrukverificatie test in macOS en Android via WebAuthn. Door gebruik van deze standaard kunnen gebruikers bijvoorbeeld bij een onlinedienst inloggen met hun vingerafdruk.

vingerafdruk chome 70Google schrijft dat het op macOS standaard Touch ID inschakelt voor gebruik met Web Authentication, zoals WebAuthn ook wel wordt aangeduid. Op Android is dat de vingerafdrukscanner. In de nieuwe bèta van Chrome 70 schakelt het WebAuthn-ondersteuning standaard in op zijn mobiele besturingssysteem. Dat was bij de desktopvariant al het geval sinds versie 67.

Web Authentication werd in april door het W3C tot Candidate Recommendation verheven en moet niet alleen het inloggen met een vingerafdruk mogelijk maken, maar bijvoorbeeld ook via een extern apparaat zoals een smartphone. In dat geval is bijvoorbeeld de pincode van het apparaat voldoende. Ook andere browsers werken aan implementatie.

De nieuwe Chrome-versie brengt ook andere wijzigingen met zich mee. Zo zegt Google dat ontwikkelaars kunnen experimenteren met de Shape Detection-api, voor het herkennen van gezichten, barcodes en tekst. Daarnaast wordt ondersteuning voor tls 1.3 geïntroduceerd, net als voor Web Bluetooth op Windows 10. Deze api maakt het mogelijk om via de browser met bluetooth-apparaten te communiceren, in plaats van via apps.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 14-09-2018 18:21 17

14-09-2018 • 18:21

17

Lees meer

Apple test ondersteuning usb-sleutels bij nieuwste Safari-preview
Apple test ondersteuning usb-sleutels bij nieuwste Safari-preview Nieuws van 6 december 2018
Google Chrome staakt ondersteuning voor Android Jelly Bean
Google Chrome staakt ondersteuning voor Android Jelly Bean Nieuws van 7 oktober 2018
Google brengt nieuwe versie Chrome OS uit met ondersteuning voor Linux-apps
Google brengt nieuwe versie Chrome OS uit met ondersteuning voor Linux-apps Nieuws van 19 september 2018
W3C brengt WebAuthn-api voor vervanging van traditionele wachtwoorden dichterbij
W3C brengt WebAuthn-api voor vervanging van traditionele wachtwoorden dichterbij Nieuws van 11 april 2018
Internet Engineering Task Force brengt TLS 1.3 uit
Internet Engineering Task Force brengt TLS 1.3 uit Nieuws van 25 maart 2018
Meer producten en artikelen
Browsers Google Chrome Security

Reacties (17)

-Moderatie-faq
17
14
10
3
0
4
Wijzig sortering
Wouda 14 september 2018 18:50
Ook belangrijk is dat vanaf deze versie certificaten ondertekend door Symantec niet meer vertrouwd worden.

Ik vraag mij af hoeveel websites vanaf de release hiervan niet langer zonder foutmelding te bezoeken zijn.

Meer info: https://security.googlebl...mantec-pki-immediate.html

[Reactie gewijzigd door Wouda op 25 juli 2024 04:43]

gjmi @holoduke5115 september 2018 18:42
Ligt eens toe: Welke verschrikkelijke bedrijfsvoering van Google heeft hiervoor gezorgd?
Betrouwbare partij?
Heb je wel eens gekeken waarom dit gedaan word? Nee, dan had je geweten waarom alle browsers dit (gaan) doen.

Kort gezegd: Symantec certificaten voldoen niet aan de eisen.

https://www.knucklepuckme...symantec-ssl-certificate/

In 2017, engineers at Google and Mozilla investigated certificates Symantec companies issued after reading a complaint from SSLMate Founder Andrew Ayer. They discovered Symantec companies had issued 127 security certificates that didn’t comply with industry standards set by the CA/B Forum.
And the problems didn’t stop there. All in all, Symantec companies issued more than 30,000 certificates that should have never been given, putting users’ information security at risk. This is in addition to coming under fire for a similar situation in 2015.

[Reactie gewijzigd door gjmi op 25 juli 2024 04:43]

daften @holoduke5115 september 2018 04:44
Ja, want Google heeft het in zijn eentje gedaan. Het is door verschillende partijen besproken en Firefox voert net hetzelfde uit, met een iets andere timeline: https://blog.mozilla.org/...ymantec-tls-certificates/
jozuf @Wouda14 september 2018 23:26
De servers van mailchimp hadden de laatste keer dat ik keek (denk 2 weken geleden) hier nog last van iig.

[Reactie gewijzigd door jozuf op 25 juli 2024 04:43]

MarnickS 14 september 2018 19:00
En nu nog voor Windows
Primuszoon @MarnickS14 september 2018 22:05
Ik ben nog een beetje op zoek naar het verschil tussen dit en de authenticator app van Microsoft (wsl bestaan er ook andere) waar ik door middel van 2FA ook mijn vingerafdruk op iPhone gebruik om in te loggen op bvb Office 365. Bovendien volledig platformonafhankelijk (dus inclusief Windows) want het gaat over inloggen op websites/web-apps
PostHEX @Primuszoon15 september 2018 18:34
Ik heb nooit een aanleiding gehad om mij te verdiepen in de MS Authenticator app, dus pardon als ik fouten maak, maar het lijkt mij dat het vingerafdruk gedeelte wordt gebruikt voor alleen MS diensten, en dat het voor de rest een generieke TOTP app is voor overige diensten.

Dat gezegd: ik snap waarom je niet snapt wat WebAuthn is, omdat het bovenstaande artikel incompleet is. WebAuthn is maar één onderdeel in de schakel van de nieuwe authenticatie standaard dat FIDO2 heet. Om WebAuthn te kunnen gebruiken, heb je de CTAP protocollen nodig. Onder FIDO2 valt dus de WebAuthn API, maar ook de CTAP1 en CTAP2 protocollen. Om lang verhaal kort te maken: FIDO2 gaat de eerste echte universele public-private cryptografie challenge-response authenticatie standaard worden.. ooit. Hier voor probeerde men dat met U2F, maar dat is nooit echt universeel geworden (universeel betekent in deze context: breedgedragen). U2F is nu gedegradeerd naar CTAP1 als legacy protocol, zodat U2F tokens alsnog compatibel zijn met WebAuthn.

Wat FIDO2 zo bijzonder maakt en beter dan U2F:
  • Brede ondersteuning aan de client kant: alle grote browsers zullen binnenkort FIDO2 ondersteunen, en Windows 10 ondersteund ontgrendelen met FIDO2 voor aan Azure gekoppelde Windows 10 devices.
  • Breed scala aan goedkope authenticators: zo'n beetje alle huidige en nieuwe generatie apparaten met ingebouwde vingerafdrukscanner kunnen dienen als een FIDO2 authenticator (dankzij CTAP2), naast dat er externe FIDO2 authenticators beschikbaar zullen komen in alle denkbare vormen (USB/BT/NFC hardware tokens, smartcards, apps voor op secundaire apparaten (zoals jouw Microsoft Authenticator, indien MS daar FIDO2 ondersteuning inbouwt), etc) en een breed spectrum aan prijsklassen (van gratis tot duur).
  • Waardoor het heel goedkoop en gemakkelijk zal zijn voor consumenten om FIDO2 te gaan gebruiken (men hoeft niet per se moeite te doen om een hardware token aan te schaffen, wat met U2F wel het geval is).
  • Waardoor het voor developers de tijd & energie waard is om WebAuthn aan hun diensten toe te voegen, omdat er een groot publiek zal zijn dat van FIDO2 ook daadwerkelijk gebruik zal maken.
  • Alle diensten, apps en OSen die FIDO2 zullen inbouwen, kunnen het gebruik van wachtwoorden uitfaseren.
  • FIDO2 is modulair in dat gebruikers en developers zelf het security niveau kunnen bepalen. Vind jij als gebruiker de ingebouwde vingerafdrukscanner van je telefoon of laptop veilig genoeg om je te authenticeren? Prima. Wil je nog betere security door bijvoorbeeld een extern hardware token te gebruiken? Ook prima. Het zal allemaal compatibel zijn voor alles dat FIDO2 zal ondersteunen.
Hier een visualisatie van FIDO2 in werking: https://fidoalliance.org/...oads/FIDO2-Graphic-v2.png

@jozuf DUO is geen alternatief voor FIDO2; DUO zal gebruik maken van FIDO2, net zoals het gebruik maakt van U2F.

_____________

Overigens is het wel grappig hoe weinig aandacht dit artikel onder medetweakers krijgt (maar 14 reacties op moment van spreken), gezien FIDO2 de grootste innovatie in tijden zal zijn op gebied van security voor de wereldwijde bevolking in relatie tot het internet (immers zal de FIDO2 standaard wachtwoorden gaan uitfaseren).

[Reactie gewijzigd door PostHEX op 25 juli 2024 04:43]

GekkePrutser @PostHEX15 september 2018 23:22
Wat me van FIDO2 wel tegenvalt is dat vanaf het begin wordt geroepen "alles werkt nu". Maar als ik zelfs de daily versies van Firefox en Chrome gebruik, dan werkt het dus helemaal niet met mijn FIDO2 key (key van Yubikey en ik gebruik de demo van Yubikey zelf). Met name het complete inloggen door middel van de key (en pin code beveiliging op de key die ik heb ingesteld) waarbij je alleen de key nodig hebt en geen paswoord of username hoeft in te voeren, werkt nog niet. Bij navraag van Yubikey support bleek dat de browsers het nog niet ondersteunen, alleen een of andere beta van Edge schijnt het te doen en dan moet ik weer een insider account hebben. Als MFA methode werkt het wel, maarja dan is het niet veel beter dan U2F :/ Ik wil gewoon volledig inloggen met het token.

En zie je dan een site die nu (ook weer met veel poeha) webauthn ondersteunt, zoals dropbox, en wat blijkt: Ze ondersteunen het ook alleen in MFA mode want dat vinden ze 'de juiste balans'. Dus gewoon U2F eigenlijk, dat er al jaren is.

Dat vind ik wel jammer. Ik gebruik al jarenlang smartcards voor mijn eigen spullen. Eerst OpenSC met SmartcardHSM kaarten, nu OpenPGP kaarten met dual interface. Tegenwoordig werkt dat zelfs op Android via NFC of USB! Maar, op de PC is de software wel krakkemikkig. Het gebeurt zo vaak dat de gpg-agent weer is vastgelopen of ik het scdaemon proces moet killen. Met OpenSC precies hetzelfde verhaal. De hardware authenticatie voor het grote publiek staat of valt met het makkelijk zijn en ik hoopte echt dat Fido2 dit zou zijn.

Buiten de software vind ik het wel perfect. Je logt eenmalig in op de smartcard (of yubikey) en kan overal inloggen. Dus eigenlijk een soort single sign on. Na 3x foute pin wordt hij geblokkeerd en hij is niet te kopieren omdat de private key in het ding zelf wordt aangemaakt er niet uit kan.

Maar het is er nog steeds niet, hoewel het met veel bombarie is aangekondigd. Dat vind ik wel jammer.

Het liefst zou ik helemaal paswoordloos zijn natuurlijk. Wel vind ik dat sites meedere tokens moeten ondersteunen per user. Doe ik voor mijn servers ook: als je er een verliest kan je je met een ander nog altijd aanmelden.

[Reactie gewijzigd door GekkePrutser op 25 juli 2024 04:43]

jozuf @Primuszoon15 september 2018 15:47
Ik gebruik duo voor zo'n beetje alles. Het mooie daarvan is dat het gratis te implementeren is in je eigen (hobby) websites (tot 5 gebruikers). Werkt niet met fingerprint maar met een pushbericht die je enkel kan accepteren als het device unlocked is. Veilig en handig genoeg voor mijn gebruik
GekkePrutser @jozuf15 september 2018 23:25
Ja dat hebben we op het werk ook met PingID.

Ik vind het juist ontzettend onhandig omdat je altijd je telefoon bij de hand moet hebben. Dat heb ik thuis bijna nooit (waarom zou ik daar op een telefoon gaan klooien als ik ook een echte computer heb). Dus die ligt altijd weer ergens als ik hem nodig heb. Ik heb liever gewoon een USB token aan mijn sleutelbos.

Bovendien moet je altijd je telefoon unlocken, dan moet de app laden, dan moet ik mijn vinger er op leggen om PingID te verifieren, al met al kost het hele proces 20-30 seconden en dat is dus als ik de telefoon niet hoef te zoeken. Plus dat ze bij ons nogal overboord gaan met Ping en dat je voor elke inlog (op aparte systemen) weer apart MFA moet doen ondanks dat je dat net 10 seconden geleden gedaan hebt :(

Beveiliging is een compromis tussen gebruiksgemak maar er zijn veel handiger dingen zoals security tokens en smartcards.

[Reactie gewijzigd door GekkePrutser op 25 juli 2024 04:43]

BikkelZ 14 september 2018 18:36
Waarschijnlijk gaat dat straks ook direct werken met een FaceID implementatie onder macOS.
Luinwethion @BikkelZ14 september 2018 19:01
Dat zou voor Chrome geen verschil zijn toch? Chrome roept gewoon de authenticatie API en de systeem handel het verder af, net zoals met de iPhone X dat apps die touch ID ondersteunde gewoon met faceID werken.
jesse! @xoniq14 september 2018 18:49
Hij zegt ook "onder macOS".
Mocht MacOS FaceID krijgen, zou dat ook moeten werken volgens @BikkelZ
jOnAt 15 september 2018 09:57
Ik snap niet zo goed wat de beweegredenen zijn van Apple om dat niet te implementeren in Safari op de nieuwe Macbooks. Een half jaar geleden kon dat iig niet, voor zover ik toen uit kon vogelen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq