Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google test vingerafdruk-login op macOS en Android via WebAuthn in Chrome-bta

Google heeft een bta van versie 70 van zijn Chrome-browser uitgebracht, waarin het vingerafdrukverificatie test in macOS en Android via WebAuthn. Door gebruik van deze standaard kunnen gebruikers bijvoorbeeld bij een onlinedienst inloggen met hun vingerafdruk.

Google schrijft dat het op macOS standaard Touch ID inschakelt voor gebruik met Web Authentication, zoals WebAuthn ook wel wordt aangeduid. Op Android is dat de vingerafdrukscanner. In de nieuwe bta van Chrome 70 schakelt het WebAuthn-ondersteuning standaard in op zijn mobiele besturingssysteem. Dat was bij de desktopvariant al het geval sinds versie 67.

Web Authentication werd in april door het W3C tot Candidate Recommendation verheven en moet niet alleen het inloggen met een vingerafdruk mogelijk maken, maar bijvoorbeeld ook via een extern apparaat zoals een smartphone. In dat geval is bijvoorbeeld de pincode van het apparaat voldoende. Ook andere browsers werken aan implementatie.

De nieuwe Chrome-versie brengt ook andere wijzigingen met zich mee. Zo zegt Google dat ontwikkelaars kunnen experimenteren met de Shape Detection-api, voor het herkennen van gezichten, barcodes en tekst. Daarnaast wordt ondersteuning voor tls 1.3 gentroduceerd, net als voor Web Bluetooth op Windows 10. Deze api maakt het mogelijk om via de browser met bluetooth-apparaten te communiceren, in plaats van via apps.

Door Sander van Voorst

Nieuwsredacteur

14-09-2018 • 18:21

17 Linkedin Google+

Reacties (17)

Wijzig sortering
Ook belangrijk is dat vanaf deze versie certificaten ondertekend door Symantec niet meer vertrouwd worden.

Ik vraag mij af hoeveel websites vanaf de release hiervan niet langer zonder foutmelding te bezoeken zijn.

Meer info: https://security.googlebl...mantec-pki-immediate.html

[Reactie gewijzigd door Wouda op 14 september 2018 18:53]

Ligt eens toe: Welke verschrikkelijke bedrijfsvoering van Google heeft hiervoor gezorgd?
Betrouwbare partij?
Heb je wel eens gekeken waarom dit gedaan word? Nee, dan had je geweten waarom alle browsers dit (gaan) doen.

Kort gezegd: Symantec certificaten voldoen niet aan de eisen.

https://www.knucklepuckme...symantec-ssl-certificate/

In 2017, engineers at Google and Mozilla investigated certificates Symantec companies issued after reading a complaint from SSLMate Founder Andrew Ayer. They discovered Symantec companies had issued 127 security certificates that didn’t comply with industry standards set by the CA/B Forum.
And the problems didn’t stop there. All in all, Symantec companies issued more than 30,000 certificates that should have never been given, putting users’ information security at risk. This is in addition to coming under fire for a similar situation in 2015.

[Reactie gewijzigd door gjmi op 15 september 2018 18:45]

Ja, want Google heeft het in zijn eentje gedaan. Het is door verschillende partijen besproken en Firefox voert net hetzelfde uit, met een iets andere timeline: https://blog.mozilla.org/...ymantec-tls-certificates/
De servers van mailchimp hadden de laatste keer dat ik keek (denk 2 weken geleden) hier nog last van iig.

[Reactie gewijzigd door jozuf op 14 september 2018 23:37]

En nu nog voor Windows
Ik ben nog een beetje op zoek naar het verschil tussen dit en de authenticator app van Microsoft (wsl bestaan er ook andere) waar ik door middel van 2FA ook mijn vingerafdruk op iPhone gebruik om in te loggen op bvb Office 365. Bovendien volledig platformonafhankelijk (dus inclusief Windows) want het gaat over inloggen op websites/web-apps
Ik heb nooit een aanleiding gehad om mij te verdiepen in de MS Authenticator app, dus pardon als ik fouten maak, maar het lijkt mij dat het vingerafdruk gedeelte wordt gebruikt voor alleen MS diensten, en dat het voor de rest een generieke TOTP app is voor overige diensten.

Dat gezegd: ik snap waarom je niet snapt wat WebAuthn is, omdat het bovenstaande artikel incompleet is. WebAuthn is maar n onderdeel in de schakel van de nieuwe authenticatie standaard dat FIDO2 heet. Om WebAuthn te kunnen gebruiken, heb je de CTAP protocollen nodig. Onder FIDO2 valt dus de WebAuthn API, maar ook de CTAP1 en CTAP2 protocollen. Om lang verhaal kort te maken: FIDO2 gaat de eerste echte universele public-private cryptografie challenge-response authenticatie standaard worden.. ooit. Hier voor probeerde men dat met U2F, maar dat is nooit echt universeel geworden (universeel betekent in deze context: breedgedragen). U2F is nu gedegradeerd naar CTAP1 als legacy protocol, zodat U2F tokens alsnog compatibel zijn met WebAuthn.

Wat FIDO2 zo bijzonder maakt en beter dan U2F:
  • Brede ondersteuning aan de client kant: alle grote browsers zullen binnenkort FIDO2 ondersteunen, en Windows 10 ondersteund ontgrendelen met FIDO2 voor aan Azure gekoppelde Windows 10 devices.
  • Breed scala aan goedkope authenticators: zo'n beetje alle huidige en nieuwe generatie apparaten met ingebouwde vingerafdrukscanner kunnen dienen als een FIDO2 authenticator (dankzij CTAP2), naast dat er externe FIDO2 authenticators beschikbaar zullen komen in alle denkbare vormen (USB/BT/NFC hardware tokens, smartcards, apps voor op secundaire apparaten (zoals jouw Microsoft Authenticator, indien MS daar FIDO2 ondersteuning inbouwt), etc) en een breed spectrum aan prijsklassen (van gratis tot duur).
  • Waardoor het heel goedkoop en gemakkelijk zal zijn voor consumenten om FIDO2 te gaan gebruiken (men hoeft niet per se moeite te doen om een hardware token aan te schaffen, wat met U2F wel het geval is).
  • Waardoor het voor developers de tijd & energie waard is om WebAuthn aan hun diensten toe te voegen, omdat er een groot publiek zal zijn dat van FIDO2 ook daadwerkelijk gebruik zal maken.
  • Alle diensten, apps en OSen die FIDO2 zullen inbouwen, kunnen het gebruik van wachtwoorden uitfaseren.
  • FIDO2 is modulair in dat gebruikers en developers zelf het security niveau kunnen bepalen. Vind jij als gebruiker de ingebouwde vingerafdrukscanner van je telefoon of laptop veilig genoeg om je te authenticeren? Prima. Wil je nog betere security door bijvoorbeeld een extern hardware token te gebruiken? Ook prima. Het zal allemaal compatibel zijn voor alles dat FIDO2 zal ondersteunen.
Hier een visualisatie van FIDO2 in werking: https://fidoalliance.org/...oads/FIDO2-Graphic-v2.png

@jozuf DUO is geen alternatief voor FIDO2; DUO zal gebruik maken van FIDO2, net zoals het gebruik maakt van U2F.

_____________

Overigens is het wel grappig hoe weinig aandacht dit artikel onder medetweakers krijgt (maar 14 reacties op moment van spreken), gezien FIDO2 de grootste innovatie in tijden zal zijn op gebied van security voor de wereldwijde bevolking in relatie tot het internet (immers zal de FIDO2 standaard wachtwoorden gaan uitfaseren).

[Reactie gewijzigd door PostHEX op 15 september 2018 18:48]

Wat me van FIDO2 wel tegenvalt is dat vanaf het begin wordt geroepen "alles werkt nu". Maar als ik zelfs de daily versies van Firefox en Chrome gebruik, dan werkt het dus helemaal niet met mijn FIDO2 key (key van Yubikey en ik gebruik de demo van Yubikey zelf). Met name het complete inloggen door middel van de key (en pin code beveiliging op de key die ik heb ingesteld) waarbij je alleen de key nodig hebt en geen paswoord of username hoeft in te voeren, werkt nog niet. Bij navraag van Yubikey support bleek dat de browsers het nog niet ondersteunen, alleen een of andere beta van Edge schijnt het te doen en dan moet ik weer een insider account hebben. Als MFA methode werkt het wel, maarja dan is het niet veel beter dan U2F :/ Ik wil gewoon volledig inloggen met het token.

En zie je dan een site die nu (ook weer met veel poeha) webauthn ondersteunt, zoals dropbox, en wat blijkt: Ze ondersteunen het ook alleen in MFA mode want dat vinden ze 'de juiste balans'. Dus gewoon U2F eigenlijk, dat er al jaren is.

Dat vind ik wel jammer. Ik gebruik al jarenlang smartcards voor mijn eigen spullen. Eerst OpenSC met SmartcardHSM kaarten, nu OpenPGP kaarten met dual interface. Tegenwoordig werkt dat zelfs op Android via NFC of USB! Maar, op de PC is de software wel krakkemikkig. Het gebeurt zo vaak dat de gpg-agent weer is vastgelopen of ik het scdaemon proces moet killen. Met OpenSC precies hetzelfde verhaal. De hardware authenticatie voor het grote publiek staat of valt met het makkelijk zijn en ik hoopte echt dat Fido2 dit zou zijn.

Buiten de software vind ik het wel perfect. Je logt eenmalig in op de smartcard (of yubikey) en kan overal inloggen. Dus eigenlijk een soort single sign on. Na 3x foute pin wordt hij geblokkeerd en hij is niet te kopieren omdat de private key in het ding zelf wordt aangemaakt er niet uit kan.

Maar het is er nog steeds niet, hoewel het met veel bombarie is aangekondigd. Dat vind ik wel jammer.

Het liefst zou ik helemaal paswoordloos zijn natuurlijk. Wel vind ik dat sites meedere tokens moeten ondersteunen per user. Doe ik voor mijn servers ook: als je er een verliest kan je je met een ander nog altijd aanmelden.

[Reactie gewijzigd door GekkePrutser op 15 september 2018 23:29]

Ik gebruik duo voor zo'n beetje alles. Het mooie daarvan is dat het gratis te implementeren is in je eigen (hobby) websites (tot 5 gebruikers). Werkt niet met fingerprint maar met een pushbericht die je enkel kan accepteren als het device unlocked is. Veilig en handig genoeg voor mijn gebruik
Ja dat hebben we op het werk ook met PingID.

Ik vind het juist ontzettend onhandig omdat je altijd je telefoon bij de hand moet hebben. Dat heb ik thuis bijna nooit (waarom zou ik daar op een telefoon gaan klooien als ik ook een echte computer heb). Dus die ligt altijd weer ergens als ik hem nodig heb. Ik heb liever gewoon een USB token aan mijn sleutelbos.

Bovendien moet je altijd je telefoon unlocken, dan moet de app laden, dan moet ik mijn vinger er op leggen om PingID te verifieren, al met al kost het hele proces 20-30 seconden en dat is dus als ik de telefoon niet hoef te zoeken. Plus dat ze bij ons nogal overboord gaan met Ping en dat je voor elke inlog (op aparte systemen) weer apart MFA moet doen ondanks dat je dat net 10 seconden geleden gedaan hebt :(

Beveiliging is een compromis tussen gebruiksgemak maar er zijn veel handiger dingen zoals security tokens en smartcards.

[Reactie gewijzigd door GekkePrutser op 15 september 2018 23:40]

Waarschijnlijk gaat dat straks ook direct werken met een FaceID implementatie onder macOS.
Dat zou voor Chrome geen verschil zijn toch? Chrome roept gewoon de authenticatie API en de systeem handel het verder af, net zoals met de iPhone X dat apps die touch ID ondersteunde gewoon met faceID werken.
Hij zegt ook "onder macOS".
Mocht MacOS FaceID krijgen, zou dat ook moeten werken volgens @BikkelZ
Ik snap niet zo goed wat de beweegredenen zijn van Apple om dat niet te implementeren in Safari op de nieuwe Macbooks. Een half jaar geleden kon dat iig niet, voor zover ik toen uit kon vogelen.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True