Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google start met vingerafdrukauthenticatie bij webdienst voor Android-gebruikers

Android-gebruikers krijgen de mogelijkheid om bij een aantal Google-diensten via de mobiele Chrome-browser in te loggen door middel van de vingerafdrukscanner in plaats van een wachtwoord. Google baseert de functionaliteit op de FIDO2-standaarden WebAuthn en ctap.

Voorlopig is de authenticatie met een vingerafdruk alleen nog mogelijk bij website passwords.google.com, een wachtwoordmanager van Google, maar het bedrijf is van plan de functionaliteit gaandeweg uit te breiden naar meer diensten. Volgens Google hebben bezitters van Pixel-telefoons vanaf maandag toegang tot deze nieuwe functionaliteit en het komt in de komende paar dagen ook beschikbaar voor alle apparaten met Android 7 of hoger. Gebruikers moeten overigens eerst een geldige schermvergrendeling hebben ingesteld op hun apparaat. Nadat deze schermvergrendeling is gebruikt om in het Google-account te komen, volgt de vraag om de identiteit te verifiëren door middel van de vingerafdruk.

De reden dat alleen toestellen met Android 7.0 of hoger geschikt zijn, komt doordat alleen die toestellen gecertificeerd zijn voor FIDO2. De optie om in te loggen zonder een wachtwoord is gebouwd op de FIDO2-standaarden WebAuthn en ctap. WebAuthn is een standaard van W3C en is bedoeld om traditionele wachtwoorden vervangen en het mogelijk te maken om onder meer in de browser in te loggen met een vingerafdruk of een extern apparaat. FIDO2 van de FIDO Alliance en het W3C is een open authenticatiestandaard, die voortbouwt op U2F en UAF. Het doel is om het authenticatieproces eenvoudiger te maken. Google zegt dat het jarenlang met de FIDO Alliance en het W3C heeft samengewerkt om te komen tot de nu beschikbare functionaliteit.

Een belangrijk voordeel van FIDO2 tegenover het gebruik van de native vingerafdruk-api's op Android, is dat deze biometrische authenticatiemethodes nu voor het eerst beschikbaar zijn op het web, aldus Google. Dat betekent dat gebruikers gaandeweg in apps en de webdiensten dezelfde inlogmethoden kunnen gebruiken. Ze hoeven dan alleen een enkele keer hun vingerafdruk te registreren bij een dienst, en vervolgens wordt deze gebruikt bij zowel de app als de web-implementatie van een dienst. De vingerafdruk wordt overigens niet op servers van Google opgeslagen; deze blijft op het apparaat. Er wordt volgens Google alleen een 'cryptografisch bewijs' doorgestuurd dat de gebruiker correct zijn vingerafdrukscanner heeft gescand.

Door Joris Jansen

Nieuwsredacteur

12-08-2019 • 19:00

29 Linkedin Google+

Reacties (29)

Wijzig sortering
De Samsung browser op mijn Galaxy s8 doet dit echt al een paar jaar. Is echt super handig.
Ja en nee. Dat doet die, en dat werkt super handig, maar die spreekt de lokale Samsung password manager aan. Je kunt met de Samsung browser niet direct zonder de password manager op het web inloggen, iets wat nu met Chrome dus wel kan.

Off topic: Samsung krijgt vaak kritiek op hun software, maar hun browser is echt wel fijn met dit soort functies, adblocking etc.
Dit lijkt mij een heel handig alternatief voor de diverse passwordmanagers. Vingerafdruk wordt alleen op t apparaat opgeslagen (wat als je die kwijtraakt?)
Of zie ik nog n kwetsbaarheid over t hoofd?
Nee, dat klopt niet helemaal. De FIDO-authenticatie maakt gebruik van public key cryptografie. De sleutels worden afgeleverd door een authenticator. Die authenticator is in dit geval het android apparaat zelf. De vingerafdruk is bij deze enkel nodig om de toegang tot de sleutels te geven. Google slaat aan hun kant dus enkel één van de 2 sleutels op en er wordt nooit data doorgestuurd die iets met je vingerafdruk te maken heeft.
Advocaat van de duivel, maar de key die hiermee gegenereerd wordt valt toch niet te revoken? Aangezien ik geen nieuwe vingerafdruk kan nemen zit ik dan toch aan dezelfde keyset vast?
Dat klopt als je kijkt naar de biometrische toegang. Dat issue heb je bij alle biometrische oplossingen. Nadat een vingerafruk bekend is geworden of gecloned kan worden heb je nog 9 vingers over. Het is een issue wat vaak onderschat wordt. De keys zelf welke door de biometrische toegang worden beschermd zou je kunnen wijzigen.

[Reactie gewijzigd door Bor op 13 augustus 2019 09:14]

Daarom heb ik alleen een id kaart en gebruik ik geen biometrie. Hele domme optie om dat als auth te gebruiken vind ik
@tafkaw: Ik ken de implementatie langs de google kant niet, maar idealiter (en dit is technisch perfect mogelijk), kan je in je instellingen (aan google kant) gewoon je apparaten beheren en bepaalde keys gewoon wissen zodat deze niet meer kunnen gebruikt worden om te authenticeren.

@Bor, dat is bij FIDO normaal ook geen probleem. De vingerafdruk is namelijk enkel nodig om toegang te geven tot de keys, je hebt ook nog altijd toegang nodig tot het apparaat zelf om de keys te bemachtigen als je de vingerafdruk al hebt (het is dus al een vorm van two-factor authentication).
De key tussen Google en jouw apparaat staat lokaal op het device in een keystore opgeslagen. De vingerafdrukscanner zorgt er enkel voor dat de keystore als het ware geunlocked wordt en de key dus kan worden doorgegeven aan de betreffende app. De key in de keystore heeft dus niks te maken met je vingerafdruk en zou eenvoudig vervangen kunnen worden door een nieuwe key.

De key van je vingerafdruk revoken is enkel een kwestie van de vingerafdruk verwijderen op je telefoon. Vanaf dan valt met die vinger de keystore niet meer te unlocken.
Nee... Je zou van tweakers toch echt wat meer kennis verwachten. Van al dit soort services word je gezicht, vingerafdruk, stem etc nooit opgeslagen. Slechts een berekende waarde die absoluut nooit tot een vinger, gezicht of stem te herleiden is. Het is dus wel uniek maar niet gevaarlijk.

Deze discussie is op zijn minst tientallen malen gevoerd maar nog altijd zijn er tweaker die liever reageren dan iets googlen. Het is dom, bijzonder vervelend voor de discussie (er zijn altijd mensen die dit plussen), verwarrend en gewoon fout.
Afdruk word niet opgeslagen, slechts een berekening daarvan.
Na een paar dagen schilderen op de boot wordt mijn vingerafdruk niet meer herkent door mijn telefoon ;-) Dan is een wachtwoord toch handiger.
Als ik gedouched heb herkent mijn telefoon mijn vinger ook al niet meer. Dan ben ik blij dat er nog een alternatieve manier is om de telefoon te unlocken
Een vingerafsdruk is slechts een van de manieren om je telefoon te unlocken. Een veegpatroon lan bijvoorbeeld ook worden gebruikt met WebAuthn.
Bitwarden doet dit ook al vrij lang, gewoon de vault unlocken met vingerafdruk en bitwarden auto filled de rest :)
Dat is dus precies niet hetzelfde. Met FIDO2 geen nood meer voor andere credentials zoals password.
Ik zie het, gewoon de fido stick gebruiken, desnoods met de nfc fido voor de telefoon. Enige nadeel is dat fido sticks wel duur zijn.

Volgende evolutie is dat het "wachtwoord" gewoon verdwijnt en dat we gewoon naar vingerafdruk of beter nog fido gaan.
Microsoft had dit eind 2018 al werkend volgens het FIDO protocol op Windows 10 met de Edge browser, je kan dan via je Windows Hello inloggen op je Microsoft account. Werkt echt als een trein:

https://support.microsoft...indows-hello-security-key
Ik zie vingerafdrukauthenticatie en/of biometrische authenticatie als de enige praktische oplossing om het aanmelden eenvoudiger te maken voor een hoop mensen. Het aantal wachtwoorden dat iemand nu moet onthouden of beheren via een wachtwoordbeheerprogramma is gewoon te onhandig geworden. En de helft van de tijd schiet het zijn doel weer voorbij omdat men te simpele wachtwoorden gebruikt. Wachtwoorden moeten onthouden begint onderhand ouderwets te worden en je zou zonder na te hoeven/moeten denken gewoon makkelijk met je vinger steeds meer moeten kunnen aanmelden. Dus ik ben wel blij met deze ontwikkeling en het zou me niet verbazen als biometrische authenticatie over een aantal jaren de enige manier gaat worden om aan te melden bij de meeste sites.
Hmmm volgens mij is Fido niet bedoelt om de wachtwoorden te vervangen.

Een wachtwoord, pincode of wachtzin is iets wat je "weet".

Vingerafdruk, FIDO2 sticks, smartcards, face recognition etc zijn dingen die je "hebt".

Alleen een combinatie geeft je veiligheid. Want wat je hebt kan iemand anders ook in handen krijgen. Wat je weet is een stuk lastiger.
Je kunt het combineren maar in Theorie is je vingerafdruk niet zo makkelijk te kopieren als je denkt ( sensor worden ook anti-tampering gemaakt).

Dus dan zou een persoon die toegang wil krijgen
1. je key moeten bemachtigen
2. Je vingerafdruk kopieren en de key voor de gek houden.

En dan moeten ze ook nog toegang weten te krijgen in de tijd dat jij niet doorhebt dat je key weg is ( anders kan de admin je key er gewoon uitgooien) en vanuit bedrijfsperspectief vindt dit plaats dan gok ik dat een admin kan zien : heeft iemand geprobeerd in te loggen met die key . zo ja is het gelukt?

Dus ga er maar vanuit dat 99% van de standaard manieren van binnenkomen ( phishing etc) dan wegvallen ( Fysiek vingerafdruk bemachtigen en key is niet iets wat je standaardhacker doet) en voor bedrijven waar staatshackers toegang willen dan gooi je inderdaad nog een wachtwoord erbij voor veiligheid.

Echter ja wachtwoord erbij is natuurlijk veiliger maar dan kom je tegen het stukje : Gebruiksgemak / Veiligheid aan en ja je kunt zeggen voor mensen die toegang hebben tot gevoelige informatie deze stap in te voeren maar hangt weer af van je IT afdeling en gebruikers ( als het teveel werk word zijn mensen helaas gemaksdieren en wordt het weer een lekker simpel password)

[Reactie gewijzigd door Zyphlan op 13 augustus 2019 02:49]

Toch is enige nuance wel op zn plek, in praktijk kan dit betekenen dat je bij een politie verhoor gewoon zo je smartphone, laptop en accounts moet u locken. (nieuws: Rechter: verdachte dwingen om smartphone te ontgrendelen met vingeraf...)
Kan me goed voorstellen dat dit ook nog wel eens bij de Amerikaanse grens wordt ingevoerd. (social media accounts moet je ook al afgeven)

Daarnaast is het voor een overvaller ook kinderlijk eenvoudig om je vinger op een sticky te prakken. Hoef je niet voor mee te werken.

Met een pincode op de stick heb je dit wel weer afgeschermd. (want dat weet je)
Uiteraard echter is dit gedeelte toch vooral interessant voor bedrijven en als die toegang willen tot je systeem vragen ze gewoon de Admin ( met gerechtelijk bevel).

Voor consumenten kun je inderdaad nog een pin erbij doen alleen is dat inderdaad afhankelijk van de persoon.

Uiteraard heeft een bedrijf zelf de keuze hoe zware beveiliging ze erop willen zetten. Een extra pin of een lang passwoord erbovenop is natuurlijk beter en aan te raden alleen is het de vraag of je medewerkers er blijer van worden dus is altijd een afweging die bedrijven moeten maken.
jazeker wel bedoeld om wachtwoorden te vervangen. De keys zijn een connectie tussen de website en een specifiek stuk hardware. Er wordt per site/dienst een key pair aangemaakt en de FIDO sticks etc kunnen deze hardwarematig beschermen. Je hebt uiteindelijk geen passwords meer nodig voor websites.

Uiteraard moet je de hardware keys op de FIDO stick etc kunnen unlocken en dat doe je mbv pincode/fingerprint. Hardware beschermt tegen het oneindig pincodes kunnen proberen.

Al deze combinaties maken het vele malen veiliger dan passwords.

FIDO2 is niet de enige manier om passwordless te zijn Windows Hello, gebruik van een authenticator app kunnen dit ook.regelen.
Ik ga voor de fido2-sticks - net er 3 besteld - gewoon omdat ik geen biometrie wil als paswoordvervanger. Je gaat toch niet iets dat open en bloot blijft slingeren als wachtwoordvervanger gebruiken?
Dat is gewoon dom - dat zegt elke beveilgingsexpert en toch gaan google, microsoft en consoorten door - waarom? Da's handig voor de veiligheidsdiensten - die krijgen via de paspoorten al die vingerafdrukken in handen en kunnen bijgevolg overal aan! Niet met mij dus!!!
Nee, je mist wat details. Je vingerafdruk (of pincode) wordt gebruikt om de sleutels te unlocken op het device die gebruikt zijn om te registreren. Heeft niets met vingerafdrukken verzamelen te maken.
Het idee is om geen passwords meer nodig te hebben (super onveilig) maar een hardware/device combinatie met de dienst die je gebruikt. FIDO2 sticks of een Android telefoon doen dan precies hetzelfde.

Er zijn trouwens ook FIDO2 sticks die een vingerprint ipv pincode accepteren (gebruiker er zelf 1 van). Er zijn zelfs FIDO2 smarcards met NFC en vingerprint.
Klopt precies Matthijs. :).

Wij leveren die met vingerafdruk dus uiteraard bedankt voor het bestellen en feedback wordt altijd gewaardeerd ;).

Voor consumenten is het trouwens allemaal wat minder interessant ( afgezien van tweakers) omdat prijs toch een kwestie is ( ook al is het een paar tientjes is het nog steeds een stap)

maar wij zijn zelf bezig om in 2020 alle OTP / alle keys die jij aan je sleutelbos hebt hangen samen te voegen in 1 creditcard size kaart ( net iets dikker) maar dan heb je

Inlog:
biometrisch

Connectie:
Vingerafdruk beveiliging
NFC
Bluetooth

Combineren met :
Acces control
Fido inlog
Passwordless inloggen voor webauth en Active Directory
Printen
Sticker om het als identificatie badge te gebruiken.

Dus dan heb je echt nog maar 1 badge die alles doet wat je als bedrijf nodig hebt.
Zit er geen gevaar in het feit dat er enkel cryptografisch bewijs wordt gestuurd? Ik kan me inbeelden dat iemand met verkeerde bedoeling deze bewijzen kan onderscheppen en/of nabootsen?


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True