Apple test ondersteuning usb-sleutels bij nieuwste Safari-preview

Apple experimenteert met webauthenticatie in de nieuwste preview van Safari. De experimentele feature in kwestie ondersteunt het gebruik van usb-gebaseerde Ctap2-sleutel, waardoor het invoeren en bewaren van wachtwoorden in de webbrowser niet meer nodig is.

In de release notes voor Safari Technology Preview 71 staat dat Web Authentication voorlopig als experimentele feature is toegevoegd. Het is nog niet bekend hoe lang de feature getest moet worden voordat het als succesvol wordt beschouwd. Ook is het nog niet duidelijk of sleutels op basis van bluetooth of nfc in de nabije toekomst ondersteund gaan worden.

In april 2018 heeft Apple, samen met Google en Mozilla, gemeld dat het de WebAuthn-standaard ging implementeren in zijn browser. Google testte in september inloggen via een vingerafdruk in Chrome en in mei bracht Mozilla WebAuthn naar Firefox 60.

Door het gebruik van hardwaresleutels, zoals de YubiKey, is de veiligheid van accountgegevens beter gewaarborgd en zijn de systemen van gebruikers minder vatbaar voor phishing en hacks. Volgens Krebs on Security hebben Google-werknemers sinds de invoering van verplicht hardwaresleutelgebruik in 2017 geen last meer gehad van phishing.

IT-banen

Reacties (35)

kuurtjes 6 december 2018 13:10

Ik zou ook graag zien dat iets zoals een email adres in zo'n sleutel gezet kan worden. Dan kun je uiteindelijk zonder iets in te typen gewoon met een sleutel van je sleutelbos op websites inloggen.

Verwijderd @kuurtjes • 6 december 2018 14:02

Volgens mij snap je niet helemaal hoe het werkt. Wat je nu vraagt is een macro die twee veldjes invult. Dat is niet wat deze keys doen, of horen te doen. Dit is een tweede factor buiten je credentials om. Je slaat bijvoorbeeld je wachtwoord + email in bijvoobeeld LastPass op. Als je met enkel de hardware-sleutel zou kunnen inloggen, verplaats je het probleem van software naar hardware. Als iemand jouw sleutel te pakken krijgt, zoals een zakkenroller/inbreker of een persoon die je kent, ligt je hele bende op straat.

LastPass vult beiden in wanneer je op Tweakers wilt inloggen. Enkel, LastPass vult niets in zonder je hardware-key. Zo kun je op sites zoals Google/Facebook ook tweede factors inzetten. Wanneer in wil inloggen op Google of Binance, moet ik aanvullend op mijn email/wachtwoord, ook de bijbehorende sleutel ingeven. Bij mij is die sleutel een stuk software op mijn telefoon.

Zie bijvoorbeeld:
https://support.yubico.co...our-yubikey-with-lastpass

GekkePrutser @Verwijderd • 6 december 2018 14:31

Als iemand jouw sleutel te pakken krijgt, zoals een zakkenroller/inbreker of een persoon die je kent, ligt je hele bende op straat.

Niet helemaal, bij U2F was de sleutel namelijk alleen maar een tweede factor (username stond er niet op en paswoord moest je ook nog invoeren).

Bij Fido2 CTAP2 mode kan het gebruikt worden als de enige inlog MAAR wordt er dan gebruik gemaakt van een pincode waarna de token na enkele pogingen gelockt wordt. Net als bij je pinpas.

Helemaal niet zo onveilig dus.

[Reactie gewijzigd door GekkePrutser op 26 juli 2024 10:03]

Verwijderd @GekkePrutser • 6 december 2018 15:58

De persoon waar ik op reageer wil dat zijn sleutelhanger zowel email als wachtwoord intikt. Er werd verder niet gerept over een tweede factor. Ook niet alle sites hebben 2FA, dus een key die user+ww dom invult geeft een boefje toegang tot al die sites.

GekkePrutser @Verwijderd • 6 december 2018 17:21

Edit: okee, ik heb de posts door elkaar gehaald, inderdaad

Laten intikken is inderdaad stom, maar de nieuwe technieken zoals webauthn doen helemaal weg met het concept paswoord en gebruiken wel goede veilige handshake technieken. Je moet nog wel je token met een pin code of biometrie beveiligen.

Overigens doe ik effectief wel wat hij wil maar op een veilige manier

Ik gebruik "ZX2C4 pass" met een yubikey (openPGP smartcard mode) als beveiliging.

Dus ik hoef geen master password in te tikken, er zit niet eens een master password op mijn database. Elk paswoord is met de PGP sleutel ge-encrypt. Dus ik hoef eenmalig de pincode in te voeren en toch is de database goed beveiligd, want je kan die pincode maar 3x invoeren voor hij geblokkeerd wordt. Ook heb ik de "touch to sign" van de yubikey aan staan waardoor je hem elke keer bij het gebruiken even moet aanraken. Hierdoor is het niet mogelijk dat een achtergrond proces probeert je hele password vault te decrypten als je hem een keer unlockt.

Grote nadeel van deze oplossing is dat het uit verschillende software componentjes bestaat die je allemaal moet installeren dus het is een beetje technisch en rommelig. Maar wel heel veilig.

Edit: Iets anders dat doet wat hij wil maar ook op een veilige manier: https://www.themooltipass.com . Heb hem zelf ook maar ik vond het elke keer intikken van de pincode met die "pijltje naar boven en beneden" interface niet handig.

[Reactie gewijzigd door GekkePrutser op 26 juli 2024 10:03]

gday

@Verwijderd • 7 december 2018 09:05

Ik lees nergens dat hij wil dat ook een wachtwoord door zo’n sleutel ingevuld zou moeten worden.

Zijn post is wat onduidelijk en kort, maar wellicht doe je daardoor iets teveel aannames.

[Reactie gewijzigd door gday op 26 juli 2024 10:03]

Verwijderd @kuurtjes • 6 december 2018 14:00

Dat zou een beetje het nut van 2FA weghalen...

Indentical @Verwijderd • 6 december 2018 14:10

Alleen maar beter toch? Dan is het wel net zo veilig, al dan niet veiliger, en het haalt mogelijk een stap weg, nu hoef je geen codes meer in te voeren, is het niet meer nodig wachtwoorden op te slaan. Lijkt mij een prima oplossing. Helemaal voor de belangrijke websites, zoals DigiD, MijnOverheid, Alles omtrent werk en/of school. Lijkt mij een goede ontwikkeling.

GekkePrutser @Indentical • 6 december 2018 14:32

Ja precies en dit bestaat eigenlijk al jaren in de vorm van smartcards. Organisaties die veel geven om veiligheid (veel banken, defensie enz) gebruiken dit al meer dan 10 jaar als enige inlogmethode.

2FA zoals Google Authenticator is meer een ugly hack om toch nog paswoorden te kunnen gebruiken maar de nadelen hiervan een beetje te beperken. Als we uiteindelijk van paswoorden afstappen is dit niet meer nodig mits de token goed beveiligd zijn met bijvoorbeeld een pincode of biometrie.

[Reactie gewijzigd door GekkePrutser op 26 juli 2024 10:03]

shrdcr @kuurtjes • 6 december 2018 13:52

Een beetje zoals het principe achter aanmelden met je elektronische identiteitskaart dan? Dat vind ik over het algemeen wel een handige oplossing.

slijkie 6 december 2018 13:06

Heb momenteel Lastpass (premium) in mijn Safari browser actief. Deze gebruik ik dan weer in combinatie met een YubiKey.

Wel handig dat ze dit nu toevoegen, echter ga ik mijn wachtwoorden niet in de Apple keychain opslaan.

DigitalExorcist @slijkie • 6 december 2018 13:45

Nee in plaats daarvan kies je een combinatie van 2 derde-partijen .... lekker handig..

WCA

@DigitalExorcist • 6 december 2018 13:49

Maar keychain werkt niet op iets anders dan Apple apparatuur, dat is een behoorlijk nadeel.

DigitalExorcist @WCA • 6 december 2018 13:58

Maar @slijkie heeft het over zijn Safari-browser, ik neem even aan dat ie dan de macOS of iOS-versie bedoeld... aangezien de Windows versie al jaren niet meer supported is..

WCA

@DigitalExorcist • 6 december 2018 13:59

En als je je wachtwoorden wil hebben op een ander apparaat dan je mac of ios apparaat? Dan heb je niets aan je keychain

Verwijderd @slijkie • 6 december 2018 13:43

Hoezo niet in je Apple keychain dan?

jopiek 6 december 2018 13:07

NFC zal wel niet zo'n vaart lopen met Apple, maar BLE is meer in lijn met andere ontwikkelingen lijkt me zo.

En nu hopen op USB-C sleutels mocht het daadwerkelijk uitgerold gaan worden.

Bierkameel @jopiek • 6 december 2018 13:21

NFC is vanaf IOS12 opengezet en niet langer voor alleen Apple Pay

https://www.onemorething.nl/2018/05/nfc-chip-iphone-ios-12/

JJ93 @Bierkameel • 6 december 2018 13:53

Dit klopt niet. NFC is nu (iOS 12.1) nog steeds zeer beperkt. Het enige nieuwe ten opzichte van iOS 11 is dat er nu een background mode is; maar dit is ook beperkt. Schrijven kan nog steeds niet. UUID lezen kan niet. Het enige wat wel kan is NDEF content lezen.

GekkePrutser @JJ93 • 6 december 2018 14:27

Ja en "schrijven" heb je juist nodig voor het gebruiken van smartcard achtige tags. Want dat bevat tweeweg communicatie, het is een signature-handshake en je moet ook de pincode naar de smartcard sturen.

Dat kan dus nog steeds niet. Jammer, want op Android gebruik ik al jaren met veel plezier OpenKeyChain hiervoor, samen met de OpenPGP functionaliteit van de Yubikeys (en fidesmo kaarten). Het wordt echt tijd dat dit op iOS ook gaat kunnen.

[Reactie gewijzigd door GekkePrutser op 26 juli 2024 10:03]

WhatsappHack

Apple
Internet

@GekkePrutser • 6 december 2018 22:25

Je kan toch een actie koppelen aan de specifieke tag in de app, zonder te schrijven?

GekkePrutser @WhatsappHack • 6 december 2018 22:32

Ja maar daar heb je helemaal niks aan. Je moet communiceren met de tag (een challenge er naartoe sturen, pincode sturen, signed response terugkrijgen). Daarvoor moet je rauwe APDU's sturen, of in elk geval een API hebben die die functies heeft.

Het is geen MiFare achtige tag die een soort geheugenstick is, het is echt een kleine computer die er op zit.

[Reactie gewijzigd door GekkePrutser op 26 juli 2024 10:03]

WhatsappHack

Apple
Internet

@GekkePrutser • 6 december 2018 22:56

Maar als je gewoon een tag hebt die je bijvoorbeeld HomeKit actie wil laten triggeren, waar is dat dan heel boeiend voor? Dat iemand de tag kloont? Dan blijft die actie voor nfc-chip A nog steeds “zet het licht aan”?

GekkePrutser @WhatsappHack • 6 december 2018 23:07

Ja maar daar had ik het niet over. Voor het gebruik met een security token is het gewoon nog niet geschikt. Dat geldt ook voor tokens als Fido2.

Daarom noemde ik dat voorbeeld, ik gebruik bijvoorbeeld OpenPGP tokens dagelijks (voor SSH en mijn paswoord database). Ook op mijn telefoon is dat belangrijk, met name die paswoord database wil ik onderweg ook wel eens gebruiken. Momenteel heb ik een Android telefoon dus dat kan gewoon maar met iOS zou het niet kunnen. Is ook een van de redenen dat ik ben overgestapt (de andere was Apple's prijsbeleid dat ik niet meer kon bijhouden).

[Reactie gewijzigd door GekkePrutser op 26 juli 2024 10:03]

WhatsappHack

Apple
Internet

@GekkePrutser • 7 december 2018 02:02

Ah, dat verklaart het. Dat dat je doel is had ik even over het hoofd gezien, dan snap ik wel dat je handshakes ed wilt hebben; wat geavanceerder allemaal dan een simpele tag.

Sepio @jopiek • 6 december 2018 13:33

En nu hopen op USB-C sleutels mocht het daadwerkelijk uitgerold gaan worden.

Yubikey heeft al 2 USB-C sleutels:

Jerie

@Sepio • 7 december 2018 15:09

Solo Kickstarter project ook. En zo zijn er wel meer.

iAR 6 december 2018 13:12

Hoe moet ik me dit voorstellen? Is dit iets dat websites moeten implementeren zodat je geen username/password scherm meer ziet of is het vergelijkbaar met Keychain, die automatisch wachtwoorden invult?

Redondo77 6 december 2018 13:29

Als je zoals ik thuis met een MAC werkt en op het werk met een PC, dan vervalt het gebruik van Apple Keychain eigenlijk al. Ik heb dan ook een multi-platform oplossing gekozen om mijn usernames en paswoorden te stockeren, namelijk lastpass.

[Reactie gewijzigd door Redondo77 op 26 juli 2024 10:03]

Da Mad CoWw 6 december 2018 14:03

Ik voorzie dat dit voor veel bedrijven problematisch wordt, gezien toch veel bedrijven de USB ports disablen van hun clients... (zowel windows als OSX)

Tokkes @Da Mad CoWw • 7 december 2018 00:58

Een beetje policy kijkt naar de device class van een aangesloten USB apparaat. Storage en die dingen, njet.

Maar goed, als je echt wil, zet je de data om naar geluid, je speelt dat af en via een 3.5mm kabeltje in de frontpanel neem je dat dan weer ergens op.

Als je echt wil krijg je het wel buiten hoor.

djc 6 december 2018 21:50

Overigens is het wel leuk dat Safari nu WebAuthn gaat ondersteunen, maar volgens mij zijn er nog helemaal geen sites die WebAuthn ook daadwerkelijk gebruiken. Dat wil zeggen, alle sites die ik heb geprobeerd te gebruiken met mijn YubiKey (Google en GitHub) maken volgens mij alleen nog gebruik van de "oude" U2F API (die standaard uit staat in Firefox).

GekkePrutser @djc • 6 december 2018 23:09

Klopt en zeker de CTAP2 mode waarbij je de sleutel als enige inlogvorm gebruikt met een pincode wordt nog nergens ondersteund.

Sommige sites als Dropbox ondersteunen als wel Fido2/Webauthn maar alleen in 2FA mode waarbij het eigenlijk net zo werkte als Fido1/U2F...

dwizzy

7 december 2018 09:31

Hoop dat u2f nog iets volwassener wordt. Voor de leek is fido2 vs fido1 natuurlijk niet te volgen.
En in praktijk is mijn ervaring: Google eist Chrome als je een key wil toevoegen, Facebook voegt hem wel toe maar vraagt alleen de TOTP bij inloggen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (35)

Sorteer op:

Weergave: