Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Apple test inloggen op website met Face ID of Touch ID

Apple laat gebruikers inloggen op iCloud.com via Face ID of Touch ID. Dat kan alleen met een apparaat op iOS 13 of macOS Catalina, de nieuwe versies van de besturingssystemen die momenteel in bèta zijn.

De login werkt op het domein beta.icloud.com, meldt 9to5Mac. De site herkent via welk apparaat de gebruiker komt en met welk iCloud-account hij is ingelogd. Vervolgens is het mogelijk om op die manier in te loggen op de site van iCloud. Het inloggen werkt zonder de knop Sign In With Apple, maar met een venster dat vereist dat de gebruiker op 'Ga door' klikt.

De functie is wellicht onderdeel van Sign In With Apple, de inlogmethode die in iOS 13 en Catalina komt te zitten. Tot nu toe vermeldde Apple niet dat het platform het ook mogelijk maakt om op websites in te loggen met biometrische authenticatie.

Apple heeft nog niet gereageerd op de vondst. Catalina en iOS 13 zijn momenteel in bèta en komen, als de fabrikant zijn gebruikelijke schema aanhoudt, in oktober en september uit in stabiele versies. Een nieuwe versie van iOS verschijnt doorgaans enkele dagen voordat de nieuwe iPhones in de winkels liggen, in september, terwijl macOS-versies vaak een maand later volgen.

Door Arnoud Wokke

Redacteur mobile

08-07-2019 • 07:00

66 Linkedin Google+

Reacties (66)

Wijzig sortering
Misschien even leuk om te vermelden dat t bedrijf uit Redmond dit al een jaar geleden geïntroduceerd heeft. Gebruik het dagelijks om in te loggen zonder wachtwoorden.
https://blogs.windows.com...ntication-microsoft-edge/
En op de open WebAuthn standaard ipv een gesloten systeem. Bijv Android devices en Chrome op een Macbook kunnen het ook allang.
Ik mag toch hopen dat dit FIDO2 compatibiliteit is en niet de marketing onzin die ze "Sign in with Apple" hebben genoemd?
"Ik mag toch hopen dat dit FIDO2 compatibiliteit is"

Grote kans dat dat het geval is want de beta versies van WebKit/Safari ondersteunen WebAuthn.

Apple killing off web passwords? Safari trials WebAuthn logins on macOS
en niet de marketing onzin die ze "Sign in with Apple" hebben genoemd?
"Sign in with Apple" staat los van WebAuthn

btw Waarom vind jij "Sign in with Apple" marketing onzin?

[Reactie gewijzigd door Carbon op 8 juli 2019 15:11]

Hoe dan, ook lijkt me fijner dan elke keer een wachtwoord.
Hoe dan, ook lijkt me fijner dan elke keer een wachtwoord.
Het lijkt me fijner om helemaal geen wachtwoord te hebben. Zolang ik een wachtwoord moet onthouden heb ik liever dat ik hem af en toe moet invullen. Zojuist moest ik bijvoorbeeld DigID gebruiken, hetgeen maar enkele keren per jaar, of minder, nodig is. Dat wachtwoord onthouden is vrijwel onmogelijk, zonder vals te spelen (vals spelen: opschrijven, een derde partij je wachtwoord laten opslaan, wachtwoorden hergebruiken etc.).

[Reactie gewijzigd door 84hannes op 8 juli 2019 07:48]

Dus het gebruik van een wachtwoordmanager is vals spelen? ook als je het niet bij een derde partij opslaat (want 'opschrijven')?

Nou dan speel ik heel graag vals hoor. Mijn DigID wachtwoord zou ik echt niet weten maar kan er wel altijd zonder gedoe in dankzij mijn wachtwoordmanager. Overigens heeft DigID ook een app voor wachtwoordloos inloggen.
Toevallig heb ik die App net gebruikt, moest ik een pincode opgeven. Ik ben misschien een inferieur persoon, maar ik kan niet een vijf-cijferige pincode die ik maar één keer per jaar gebruik onthouden. Dus maar weer vals gespeeld.

Begrijp me goed, ik raad iedereen aan om vals te spelen omdat er geen alternatief is. Een mens kan niet honderden unieke pincodes en wachtwoorden onthouden, of zou het in elk geval niet moeten willen.
honderden is wat overdreven, maar voor de sites die mijn financiën of overheid betreffen, max 4, kan je dat toch best onthouden? juiste ezelsbruggen hebben.
maar voor de sites die mijn financiën of overheid betreffen, max 4
"Je financien beheren" gaat wat ver, maar er zijn aardig wat webwinkels die je credit-cardgegevens onthouden en daardoor aankopen zonder verdere moeite mogelijk maken. Het is wellicht gemakzucht dat ik dat aan laat staan, maar maakt het wel zo dat heel wat meer wachtoorden gevoelig zijn. Dan vind ik e-maildiensten ook gevoelig voor inbreuk in mijn privé-sfeer, om nog maar te zwijgen op wachtwoorden op fysieke computers die wel eens onbedoeld aan een bereikbaar netwerk zouden kunnen hangen.
Als jouw passwords extreem simpel zijn zoals 4516 of code dan zal dat wel lukken.
Zelfs de meest onbeduidende sites eisen 8 tekens en minimaal 1 speciaal karakter.
Zelf gebruik ik op alle sites (als die dat toelaten) een password van 20+ random karakters.
https://www.lastpass.com/nl/password-generator
dat snap ik, maar de digid app wil 5 cijfers, meer niet. En dan wat er nog bij komt, tis niet alleen een code, maar de start van een beveiligingsreeks.
Dan gebruik je je code van vier met een extra cijfer. (die ik tenminste)
Dus het gebruik van een wachtwoordmanager is vals spelen? ook als je het niet bij een derde partij opslaat (want 'opschrijven')?

Nou dan speel ik heel graag vals hoor. Mijn DigID wachtwoord zou ik echt niet weten maar kan er wel altijd zonder gedoe in dankzij mijn wachtwoordmanager. Overigens heeft DigID ook een app voor wachtwoordloos inloggen.
Ik heb tientallen wachtwoorden die ik niet kan onthouden, maar ook niet 'automagisch' kan laten invoeren ( systeembeperkingen )
Van andere sites/diensten maak ik gebruik van een WWmanager, maar merk dat ik de 'regelmatig' gebruikte wachtwoorden wel kan onthouden, maar die "belangrijkste" ( iCloud, Authy, en nog een paar ) zomaar kwijt kan zijn.
Ik heb een haat liefde verhouding met Authy hierin.
Die vragen zomaar random om de zoveel tijd mijn mijn password.
Dit houdt je scherp ...

icloud heb ik al diverse keren moeten wijzigen dmv 'password vergeten' omdat ik daar alleen maar via faceID inlog
Ik heb zelf geen problemen met het onthouden van dat wachtwoord. Maar wat je vals spelen noemt (derde partij) is juist veiliger dan zelf een wachtwoord onthouden. Je kunt hiermee hele sterke wachtwoorden genereren die je niet zelf hoeft onthouden. Het enige wat je moet onthouden is het wachtwoord van zo'n wachtwoordmanager. En als je het goed doet synchroniseer je dat niet naar andere apparaten. Dan hebben anderen niks aan dat enkele wachtwoord, omdat deze alleen maar op je eigen apparaat werkt.
omdat deze alleen maar op je eigen apparaat werkt.
Strak plan, je toegang tot al je online diensten koppelen een één apparaat. Nog buiten de vrijheid om zonder apparaten toegang tot diensten te hebben, wat daar helpt FIDO2 ook niet bij: wat doe je als dit ene apparaat stuk gaat?
Backups. Als je al zo bezig bent met het beveiligen van je accounts, dan ben je je ook wel bewust van het belang van backups. Maar in de meeste gevallen kun je wel zo'n manager met een online account verbinden. Je hoeft dan alleen maar 1 sterk wachtwoord te bedenken die je ook kunt onthouden.
"Hackers" die bij een bepaalde site accounts willen kraken komen niet in jouw account door het bijbehorende gegenereerde sterke wachtwoord, tenzij ze weten dat die in een wachtwoordmanager te vinden is, en dan moeten ze nog het account daarvan achterhalen.
Andersom kan natuurlijk wel, dat ze accounts van zo'n wachtwoordmanager verzamelen en kraken, waarna ze bij al je accounts kunnen. Maar met een sterk wachtwoord en 2fa voorkom je dat vaak wel.
Maar waarom moet je dan met iCloud verbonden zijn ? Dat kan toch gewoon lokaal op je Mac / iOS apparaat afgehandeld worden ?
Kom eens een keer met een PIN code, makkelijker te onthouden voor de gebruiker en moeilijker te 'raden' voor diegene die er misbruik van willen maken
Mijn pincode zijn 4 zessen, maar ik vertel de volgorde er nooit bij
Ja, pincodes zijn ook leuk.
"Gebruik een viercijferige code die niemand anders kent". Hoe kan iemand denken dat er een viercijferige code bestaat die slechts bekend is bij 1 persoon?
Nee, pincodes zijn niet beter te onthouden, maar veel beter te gokken. Het is mij daadwerkelijk al twee keer gebeurd dat ik mijn pincode vergeten was omdat ik een bepaalde bankpas maandenlang niet gebruikt had.
Ja, pincodes zijn ook leuk.
"Gebruik een viercijferige code die niemand anders kent". Hoe kan iemand denken dat er een viercijferige code bestaat die slechts bekend is bij 1 persoon?
Nee, pincodes zijn niet beter te onthouden, maar veel beter te gokken. Het is mij daadwerkelijk al twee keer gebeurd dat ik mijn pincode vergeten was omdat ik een bepaalde bankpas maandenlang niet gebruikt had.
Ok punt, maar bij 3 keer verkeerd krijg je meestal al een blokkade.

Nee geef mij maar een pincode die bestaat uit (keuze) 4, 6 of 8 cijfers :)
Die "ga door" koop lijkt mij toch essentieel. Anders kunnen websites onaangekondigd FaceID aanzetten.
Wat zou het probleem zijn met websites die FaceID aan zetten?

FaceID op zichzelf doet niets. Als een website FaceID aan zet is het ergste wat er kan gebeuren dat je telefoon terug geeft "Nope, dit is niet de persoon waarvan jij nu vraagt of hij het is". Niet meer, niet minder. Het is een identificatie systeem. Alle intelligentie hier achter, het plaatje, de hash, de manier van controlleren, het aangeplakte ID, zit allemaal in het toestel. En dat wordt niet mee gestuurd bij een FaceID verzoek.
een identiteit brute forcen?

Is dit pietje?
Is dit Jantje?
Is dit Guus? Hebbes.

Misschien te simpel, ik weet niet hoe het werkt en of er nog meer parameters worden verstuurd maar iets in die richting zou best voor de hand liggen. We kunnen zelfs CSS gebruiken om iemands browserhistorie te analyseren dus niets is te gek meer.

[Reactie gewijzigd door Mushroomician op 8 juli 2019 07:56]

Dat is niet hoe FaceID werkt. FaceID heeft maar 1 persoon opgeslagen, het is niet mogelijk om hiermee willekeurige personen te ID'en die toevallig naar de sensor kijken. FaceID vergelijkt het gezicht van degene die kijkt met wat er opgeslagen is en geeft vervolgens een akkoord of niet akkoord.
Bij brute force pogingen moet er toch een belletje afgaan. Als dat tegenwoordig in zulke gevallen nog mogelijk is.

Voorbeeld: ik kan op mijn router zelf instellen dat ik een bepaald ip adres (tijdelijk of eeuwig) blokkeer als deze X mislukte inlogpogingen binnen Y tijd heeft gedaan.
De aanvragende partij dient - conform de oauth spec - ook bekend te zijn bij Apple (middels een id en secret). Apple weet dus precies wie, wat, hoe en wanneer.

Met andere woorden alleen geautoriseerde partijen kunnen het authenticatieproces starten.
Het kan de laatste stap bij browser-fingerprinting zijn. Als een fingerprint bij 250 gebruikers voorkomt, kun je wellicht 250 pogingen doe om een Face-ID te verifiëren. Waarschijnlijk zijn er nog wel slimmigheidjes te bedenken om het nog minder pogingen te maken.
Ik neem aan dat Apple gewoon OAuth gebruikt. Dus dan kan een website gewoon om authenticatie vragen en krijgen ze een login terug als de gebruiker dat goedkeurt. De knop ga door is dus daadwerkelijk wel essentieel anders kunnen alle websites zomaar je apple id ophalen.
En wat kunnen ze daarmee? Websites krijgen niks behalve een identifier die uniek is voor hunzelf. Tracken kun je er dus niet mee.
Voor toegang tot naam / email is toestemming van de gebruiker vereist.
Ik verwacht dat Apple een eigen standaard aanhoud en niet de OpenID Connect(/Oauth2) standaard. Er wordt op de developer pagina nergers over gerept (van wat ik zo gelezen heb) en ook de OpenID groep heeft kritiek geuit vanwege afwijkingen tussen Apple's "Sign in With Apple" en de industrie breed geaccepteerde OpenID Connect standaard.

Grote kans dus dat Apple een eigen standaard hanteert. Ik snap alleen niet zo goed waarom, alles wat "Sign in with Apple" lijkt te doen past binnen de huidige standaarden.

Bron: https://openid.net/2019/0...rding-sign-in-with-apple/

[Reactie gewijzigd door Caayn op 8 juli 2019 13:22]

OpenID groep heeft kritiek geuit vanwege afwijkingen tussen Apple's "Sign in With Apple"
Het is nog beta en Apple negeert de kritiek van OpenID niet!

"The following issues have been addressed by Apple after the initial release of this document:
Exchanging the authorization code according to https://developer.apple.c...erate_and_validate_tokens should present a non-standard grant_type=authorization_token but using the standards-compliant grant_type=authorization_code actually works whereas the former does not, so the documentation is incorrect."

Bron: How-Sign-in-with-Apple-differs-from-OpenID-Connect

[Reactie gewijzigd door Carbon op 8 juli 2019 14:56]

Wellicht vanuit een gebruiker gezien, als deze meerdere accounts heeft? Dan wordt de usecase lastiger. Het 'probleem' verplaatst zich alleen, dan heb je geen ga door maar een 'switch van user' knop.
Al zal het automatisch inloggen met face-id het gros van de gebruikers bedienen.
Daar hebben ze dan toch vrij weinig aan? De functie is bedoeld om in te loggen op een website. Als je op een website geen account hebt, kan touch/face id je niet inloggen.
Maar hebben ze wel een unique id waar ze jou aan kunnen koppelen, zelfs als je op de telefoon van en partner zit
Dat ligt eraan, krijgen ze dat id uberhaupt? Als je met deze functie alleen maar inlogt op een site met het bijbehorende account, dan krijgen ze verder niks, behalve de details van het account in hun eigen systeem. Ik lees wel dat je met een iCloud account ingelogd moet zijn, dus als je op de telefoon van je partner zit krijgen ze sowieso dat id niet, tenzij je daar ook op je eigen account inlogt.

[Reactie gewijzigd door mjz2cool op 8 juli 2019 08:43]

Ik hoop dat Apple hiervoor de WebAuthentication standaard gaat gebruiken en niet zelf een of andere vage API in elkaar gaat knutselen.

Aan de andere kant zou Apple Apple niet zijn als ze niet hun eigen standaard voor zoiets bouwen die alleen werkt in Safari op bepaalde apparaten met bepaalde configuraties.
Grote kans dat dit onderdeel is van het "Sign in with Apple" verhaal en een optie is om te gebruiken in plaats van het wachtwoord. Net zoals een provider bij de OpenId/Oauth2 standaard zelf kan bepalen hoe een gebruiker zich identificeert doormiddel van een wachtwoord of met behulp van WebAuth en een combinatie van Windows Hello bijvoorbeeld.

Als het inderdaad onderdeel is van "Sign in with Apple" dan gebruikt het geen bestaande standaard maar Apple's eigen standaard. De OpenID groep heeft al kritiek geuit richting Apple hierover.

Bron: https://openid.net/2019/0...rding-sign-in-with-apple/

[Reactie gewijzigd door Caayn op 8 juli 2019 09:24]

Inderdaad, dat is wat ik in mijn achterhoofd had. Open standaarden maar net niet helemaal zodat je alsnog Apple-specifieke code loopt te schrijven.

Voor een bedrijf dat "think different" aanhoudt zijn ze wel hetzelfde als jaren-2000 Microsoft met hun vendor lock-in en gesloten herimplementaties van open standaarden.
Met het afwijken van (open) industrie standaarden is Apple toch juist bezig met "think different" :+
Overigens snap ik wel waarom veel Android devices een face is én een fingerprint optie hebben. Sinds ik een baard heb en afwisselend wel/niet brildragend ben is face-id op m’n X onbruikbaar. Had nu toch liever een betrouwbaardere fingerprint optie gehad.

Biometrische bescherming blijft een ideale manier van toegangsbescherming, zolang je de beperkingen maar kent en accepteert uiteraard.
Normaal gesproken moet hij een baard of bril gewoon detecteren en bewaren. Ik heb een zonnebrillen-fetish en draag elke dag een andere, hij kent ze inmiddels allemaal hooguit na 1x extra checken met pincode. Zelfs mijn skihelm mét dicht vizier had hij na 1x al te pakken.

Wellicht het Face-ID proces een keer opnieuw doorlopen.

[Reactie gewijzigd door Dennisdn op 8 juli 2019 08:11]

Al eens een “alternative appearance” ingesteld?
Dat soort situaties kan face id toch opvangen? In Android kan het in ieder geval wel, als mijn telefoon me een keer niet herkent voeg ik mn gezicht nog een keer toe, en dan werkt het weer prima. Ik dacht dat face id dat automatisch "leert".
Wat vervelend voor je, ik heb precies hetzelfde (baard, bril en soms hoed) maar herken je probleem (gelukkig voor mij) helemaal niet. Heb ook nog nooit een hapering of vraag om ID gehad. Misschien kun je hem opnieuw instellen en dan wel op een dag dat je je geschoren hebt, en je lenzen in hebt.
Het werkt bijzonder goed, kan ik uit ervaring vertellen (Catalina laatste beta + MacBook Pro met touch ID).
In plaats van een login scherm, krijg je een dialoog dat om je vingerafdruk vraagt. Door de vingerafdrukscanner aan te raken log je in. Heel elegant, geen getyp.

Het is zelfs makkelijker dan de bestaande Safari-implementatie van dit mechanisme, waarbij je eerst je gebruikersnaam moet invullen.

Ik hoop dat Apple ook inloggen met Apple Watch toestaat, zodat ik niet meer helemaal mijn vinger naar de rechterbovenhoek van het toetsenbord hoef te bewegen... (wat een rotleven)
Wellicht dat ze het hartritme van de drager dan direct voor de biometrische id kunnen gebruiken.
Hoef je alleen nog je horloge om te houden. ;)
@Rexus Dat is nu al het geval: je bent ingelogd op je AppleWatch. Daardoor kun je zonder wachtwoord inloggen op bijvoorbeeld je Macbook: middels bluetooth communicatie met je Apple Watch wordt deze ontgrendeld.
Ik begrijp heel goed dat Apple deze methode niet gebruikt voor webauthenticatie, omdat je met een viercijferige code inlogt op je Apple Watch. Dat is nogal onveilig.

[Reactie gewijzigd door Sjakelien op 8 juli 2019 09:29]

Hoeft niet perse vier cijferige code te zijn, meer kan ook.
Apple is het zoveelste bedrijf dat ondanks alle smeekbedes van beveiligingsexperten exclusief blijft inzetten op biometrie als vervanger van het wachtwoord. Iedereen weet dat dit zich vroeg of laat erg zwaar gaat wreken.
Ik zal dit soort diensten NOOIT gebruiken. En met nooit bedoel ik ook echt nooit.
Mijn gezicht en mijn vingerafdrukken zijn van mij - en ik bepaal dat mijn biometrie daar niet voor deugt omdat die intercepteerbaar en copiërbaar is. Hoe geniaal Apple ook moge zijn (vervang Apple gerust door anderen) - het zal nooit waterdicht genoeg zijn. Remember the CCC and Schauble? 2x hebben ze hem te grazen genomen!
Stop in godsnaam met die idiotie voor het te laat is!
Het nu ontgaat mij voorlopig in deze situatie. Als je aangemeld bent op OS X/iOS, Dan vermoed ik dat je toch al toegang hebt tot bijna alles van iCloud. Waarom zou je dan nog eens moeten authenticeren? Kan je evengoed SSO gebruiken? Voor websites zoals een bank zie ik dan weer wel een goede case.
Je wilt natuurlijk niet dat elke website zomaar toegang heeft tot je iCloud details. Ook met een single sign on systeem wil je dat nieuwe sites en services je vragen om toegang in plaats van direct toegang te krijgen zonder verificatie/authenticatie. Met een Google of Facebook account werkt dat net zo, je kunt op verschillende sites inloggen met deze accounts, maar dan moet je wel eerst inloggen met dat account. Als je al ingelogd bent hoef je natuurlijk niet opnieuw te authenticeren, maar als je weer uitlogt, zul je de volgende keer weer opnieuw moeten inloggen.
Het gerucht gaat dat de 2020 iPhones touch ID onder het scherm hebben.
wat is functioneel anders aan wat KNAB dan doet? Je drukt op 'inloggen' dan moet je een qr-code richten. Dat wordt aan de app doorgegeven waarin je de tweede factor via face-id of touch-is doet.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Ryzen

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True