Safari kan gebruikers bij websites laten inloggen met Touch ID of Face ID

Apple-browser Safari krijgt in de volgende versie de functie om gebruikers bij websites te laten inloggen met Touch ID of Face ID. De functie zal alleen werken nadat de eerste keer op een gebruikelijke manier is ingelogd.

Het gaat om een 'Web Authentication platform authenticator', schrijft Apple. Bij inloggen via Touch ID of Face ID worden verschillende 'trappen' van meertrapsauthenticatie gebruikt, betoogt Apple: het apparaat van de gebruiker en de vingerafdruk of het gezicht dat bij die gebruiker hoort.

Na de eerste keer inloggen kunnen sites gebruikers de optie geven om de volgende keer met Touch ID of Face ID in te loggen, blijkt uit een sessie op online ontwikkelaarsconferentie WWDC. Safari geeft aan websites door dat de mogelijkheid er is, waarna een melding op de site de functie activeert. Sites moeten wel code inbouwen om de functie te ondersteunen.

De functie werkt op iOS en macOS, blijkt uit de presentatie. Veel recente MacBook-laptops hebben een Touch ID-vingerafdrukscanner. Alle iPhones en iPads die in iOS 14 worden ondersteund, hebben ook Face ID of Touch ID aan boord.

De nieuwe versie van Safari wordt later dit jaar uitgebracht samen met macOS 11 Big Sur en iOS 14. Apple kondigde de nieuwe versie van Safari eerder deze week aan.

Update, vrijdag: Safari maakt voor deze functie gebruik van webauthn, een standaard die al langer in andere browsers zit. Zo kon Chrome op macOS al gebruik maken van Touch ID en was het op Android ook al mogelijk.

Apple: Face ID of Touch ID in Safari, WWDC 2020

Reacties (62)

Verwijderd 25 juni 2020 15:43

Voor diegenen die niet gehinderd door enige kennis van zaken maar blijven zeggen het allang kan en hetzelfde is als een wachtwoord manager met touch- face-id: NEE.

Het is webauthn: https://www.youtube.com/watch?v=RFACQvL_8S4&t=1375s

En bekijk ook die gratis video op WWDC.

Het is zo jammer dat er zoveel onzin uitgekraamd wordt hier.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:01]

InfoTracer @Verwijderd • 25 juni 2020 16:13

Vind het wel bijzonder dat het zo wordt weggezet of dit iets heel bijzonders nieuws is van Apple. Maar eigenlijk is dit een webstandaard welke als laatste is ingebouwd in de meest gebruikte browsers.
Zie https://caniuse.com/#search=webauthn
Dus het bijzondere is dat Apple rijkelijk laat is met het implementeren van de standaard.

Wat betreft webauthn is het een super mooie techniek en denk dat het zeker de manier van inloggen gaat veranderen. Een punt wat nog verbeterd moet worden is als je een nieuwe telefoon neemt of je telefoon kwijt / kapot is. Zie https://www.ionos.com/digitalguide/server/security/webauthn/.
Het kan bijvoorbeeld ook gebruikt worden icm een Yubico key. https://www.yubico.com/authentication-standards/webauthn/

Verwijderd @InfoTracer • 25 juni 2020 17:16

Ze doen helemaal niet of het heel bijzonder is.
Daarentegen is touch ID en Face ID nieuw. Bij mijn weten werd webauthn al ondersteund, maar tot nu toe had je daar een apart apparaat voor nodig. E.g. een USB key.

Nu verplaatsen ze het naar de secure enclave op het apparaat zelf wat een en ander een stuk gebruiksvriendlelijker maakt t.o.v. van een externe sleutel.

Edit: Als je je device kwijt bent, kun je nog steeds inloggen via je gebruikersnaam en wachtwoord. Dit moet je sowieso doen op ieder apparaat waarop je inlogt via webauthn en de server zal meerdere public keys moeten opslaan voor een gebruikersaccount.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:01]

johnkeates @InfoTracer • 25 juni 2020 17:19

Nee, het bijzondere is dat het MFA webauthn is, en niet single factor zoals de rest het tot zo ver geïmplementeerd hebben. Alles wat 'de machine' is, dus ook de data, is samen 1 factor. De andere factor, bijvoorbeeld iets wat de gebruiker weet, heeft of is, die wordt eigenlijk nergens anders aangeboden als optie, ook niet in de browsers die als eerste webauthn geïmplementeerd hadden. De theorie was dat de websites dan zelf wel konden vragen om een extra invoer, maar dat is gewoon nooit gebeurd.

Verwijderd @InfoTracer • 26 juni 2020 15:16

Nog even een toevoeging als reactie op "Apple rijkelijk laat is"

https://caniuse.com/#search=webauthn

InfoTracer @Verwijderd • 26 juni 2020 15:24

Ja die link bevestigt idd dat Safari rijkelijk laat is.
Edge: 11-2018
Firefox: 05-2018
Chrome: 05-2018
Safari: 09-2019
Opera: 06-2018
Safari IOS: 01-2020

Verwijderd @InfoTracer • 26 juni 2020 16:44

Tja, en hoeveel mensen gebruiken webauthn momenteel? Ik ken niemand die het gebruikt.

Nu Apple het naar Face ID en Touch ID brengt, zal de adoptie voor ontwikkelaars van online services een stuk aantrekkelijker worden. Ik heb er in het verleden iig naar gekeken, maar het was de moeite niet waard, want het overgrote deel van de doelgroep koopt geen externe key.

Dus laat is maar relatief als geen hond het gebruikt.

InfoTracer @Verwijderd • 26 juni 2020 16:49

Ik vind het super goed dat Apple het heeft geïmplementeerd en dat zullen ze vast ook goed hebben gedaan. En hun marketing is ook ijzersterk. En ze hebben ook goede producten (wel wat prijzig voor mijn doen). Maar het is toch een stuk later dan de rest.

Laten we hopen dat het aanslaat want via username en wachtwoord en dan ook vaak nog MFA / 2FA was ook niet echt ideaal voor mij. Ook niet icm een passwordmanager.

Verwijderd @InfoTracer • 26 juni 2020 19:34

Precies! Idealiter krijgen Android telefoons, Chromebooks en Windows machines het ook snel via biometrische verificatie. Dan wordt fishing een stuk minder interessant.

Pieterll 25 juni 2020 10:58

Misschien wel mooi om te vermelden dat dit een implementie van https://webauthn.io/ blijkt te zijn. WebAuthn is een standaard voor authenticatie d.m.v. een public / private key handshake.

[Reactie gewijzigd door Pieterll op 22 juli 2024 18:01]

jeroeng21 @RobertMe • 25 juni 2020 11:35

Marketing? Dit komt uit een sessie waar Apple voor developers.

Patriot @jeroeng21 • 25 juni 2020 12:08

Deze "sessie" is gewoon een openbaar toegankelijk filmpje. Het is inderdaad toegespitst op ontwikkelaars maar dat neemt niet weg dat de inhoud voorzien is van script en redactie. Dat is natuurlijk niet erg, maar het is wel een beetje naïef om te doen alsof de marketingafdeling van Apple daar niets mee te maken heeft.

Rutger Muller @RobertMe • 25 juni 2020 11:41

Het gaat om de implementatie toch....hoeveel mensen gebruiken het daadwerkelijk op de andere browsers?

Daarnaast, loopt Apple echt achter of houden ze zich juist beter aan standaarden? Ligt aan je perspectief denk ik. https://www.imore.com/saf...w-ie-its-user-centric-web

Ik vraag me wel af wat de App Clips gaan doen.... https://www.engadget.com/...e-wwdc2020-211428335.html

coptician @RobertMe • 25 juni 2020 11:56

Er wordt een standaard gebruikt en geïmplementeerd door Apple die er voor zorgt dat inloggen veiliger wordt dan voorheen. Apple koppelt dit aan hun eigen hardware via Touch/Face ID en gebruikt daarnaast iets wat al bestaat om de compatibility te verbeteren.

Ik vind de draai om te beweren dat dit een marketingzaak is dan niet heel sterk. Het is niet eens genoemd in de daadwerkelijke presentatie, maar wordt uitgelegd aan developers zodat ze er bewust van zijn en rekening mee kunnen houden.

Waarom zou Apple dit implementeren als 'verdienen ze niks eraan als meer via websites kan en minder apps nodig zijn'? Als ze zo kwaadwillend zijn, hadden ze dit simpelweg nooit ontwikkeld, en had niemand er over geklaagd omdat er zo goed als niemand over had gevraagd of een verwachting had dat dit zou komen.

Ik denk dat hier kwaadwillendheid wordt gezocht die er in werkelijkheid niet is.

Verwijderd @RobertMe • 25 juni 2020 12:19

Lekker aan het ranten? Ze stellen nergens dat ze een nieuwe technologie hebben uitgevonden. Uit de link in het artikel:

"Face ID and Touch ID provide a frictionless experience when logging in — and now you can use them on your websites in Safari with the Web Authentication API."

MenN @RobertMe • 25 juni 2020 12:23

Wat een onzin, ze laten gewoon weten dat het mogelijk is om face/touchID te gebruiken. Hoef je niet perse de techniek erachter uit te leggen.

En dat safari achterloop ligt echt niet alleen aan hun (deels wel natuurlijk), maar je ziet dat Google Chrome en dus ook Chromium goed aan het gebruikmaken is van hun monopolie positie door zaken gewoon door te drukken en beschikbaar te maken met het doel om nog meer de browsermarkt kapot te maken.

Dan krijgen we straks de situatie komen waar we alleen nog maar chromium hebben, dat is echt voor niemand goed zo'n verstikkende grip op hoe het vrije web moet werken. Want daar gaat het uiteindelijk om de toegang tot de informatie op het web.

Je mikt op Apple's verdienmodel, maar vergis je niet Google doet echt niet uit het goede van hun hart veel moeite steken in hun browser effort. Maar meer web gebruik = meer grip vanuit hun op de informatie toegang voor velen (google search) en een enorme melkkoe met hun ads.

R0BK3 @RobertMe • 25 juni 2020 12:00

Als er iets "de nieuwe IE" is, dan is het wel Chrome.
Door de mate waarop het gepusht wordt door Google (en Edge met dezelfde engine door MS) + af en toe kom je wel eens iets tegen dat Chrome-only is.
Zonder Safari had je misschien trouwens nooit Chrome gehad.

coptician 25 juni 2020 11:01

Op zich kan dit al.

Als ik op mijn iPhone in wil loggen op een website, krijg ik de mogelijkheid om de ingebouwde password manager van iOS/Safari te gebruiken, of Lastpass. In beide gevallen wordt er een Face ID check gedaan.

De vernieuwing zal hierin denk ik meer zitten in het automatisch inloggen, wat nu nog geen ding is. Maar de techniek om een wachtwoord te multi-factoren is eigenlijk al in gebruik als je op deze manier werkt.

hipsterdoofus @coptician • 25 juni 2020 11:11

Maar dan gebruik je nog steeds een wachtwoord wat uit kan lekken. Deze manier van authenticatie is gebaseerd op WebAuthn waarmee je device een token is en je zonder dit device niet in kan loggen.

coptician @hipsterdoofus • 25 juni 2020 11:14

Ah dat is goed om te weten.

Dan moet dit dus ook op de website zelf gaan werken neem ik aan, want een simpele loginpagina met email+wachtwoord kan daar niet mee om gaan.

Dat dit wordt ingebakken in alle Apple OS-en zal dan hopelijk de adoptie hiervan gaan helpen, maar als je de eerste keer nog steeds met een email+wachtwoord moet werken schiet je er nog niet zo veel mee op.

larsiey @coptician • 25 juni 2020 11:24

Maar als ik geen email+wachtwoord heb, kan ik dus alleen inloggen met een Apple apparaat.
Lijkt me ook niet zo handig. Hoe moet ik dan inloggen op de pc?

Robbaman @larsiey • 25 juni 2020 12:01

Het gaat erom dat een site dus naast email+wachtwoord ook een veiligere manier ondersteunt. Als je vervolgens op een heel andere computer je account wilt gebruiken zul je daar toch (eenmalig) weer met je email+wachtwoord moeten inloggen om voor dit nieuwe apparaat een WebAuth token aan te vragen.

Dann74 @Robbaman • 25 juni 2020 12:34

Precies, dus ik snap het nut van deze hele nieuwe feature eigenlijk niet, zowel de website als de gebruiker moet alsnog een userid / password opslaan, die dus aan 2 kanten kan lekken / verloren raken. Zolang PC's en laptops niet ook face/finger id ondersteunen, blijf je dit houden

Aaargh! @Dann74 • 25 juni 2020 12:38

Een voordeel is dat je je password minder vaak over de lijn stuurt. Verder is een groot voordeel van FaceID/TouchID dat je geen last hebt van shoulder surfers. Als je op een publieke plek inlogt (b.v. in de trein), kan iemand niet over je schouder meekijken wat je intypt.

svenk91 @Aaargh! • 25 juni 2020 13:41

Dat wordt als het goed is al over een versleutelde verbinding gestuurd, en dat meekijken voorkom je juist door een password manager.

Ik zie wel wat voordeel in webauthn, maar kan het ook moeilijk uitleggen aan Dann74.

Wat een nadeel is bijv. aan password managers is juist dat je een opslag punt hebt met toegang tot al je wachtwoorden. Die noodzaak houd je nogsteeds, maar omdat je hem minder vaak nodig hebt, enkel voor authenticeren nieuwe devices, kan je die opslag weer beter afschermen (een computer die nooit aan het net hangt bijv.).

Dann74 @svenk91 • 25 juni 2020 14:40

Waarom is een opslagpunt een nadeel van een password manager? Je credentials zijn toch encrypted. Begrijp niet verkeerd, webauthn is zeker handig, vooral sneller, maar het voordeel dat je je password manager helemaal overboord kan gooien is er nu niet ineens....

svenk91 @Dann74 • 25 juni 2020 16:19

Maar als iemand of iets (keylogger maybe) je master key onderschept en toegang heeft tot je apparaat dan kunnen ze ook alles zien natuurlijk. Vandaar dat zoiets misschien net wat veiliger is in iets als cold storage. Met methodes als WebAuthn hoef je er minder vaak bij dus heeft de (encrypted) wachtwoord opslag ook niet op al je devices te staan.

Door gebruiksgemak van die wachtwoorden overal bij de hand te hebben lever je toch iets aan veiligheid in. Voor mij persoonlijk is een password manager zoals dat nu werkt dikke prima trouwens. Een paar heel belangrijke wachtwoorden zoals van mijn bank etc. sla ik er gewoon niet in op. Maar mijn Tweakers account kan er prima in

[Reactie gewijzigd door svenk91 op 22 juli 2024 18:01]

Verwijderd @Dann74 • 25 juni 2020 15:41

Het probleem met gebruikersnaam en wachtwoord is het volgende:
A. Het kan uitlekken
B. Man in the middle attack
C. Open voor fishing

Met webauthn los je alle 3 op. Als je bijvoorbeeld op een nep-website komt, dan kan die nooit toegang tot je account krijgen, omdat het webauth protocol dusdanig in elkaar steekt dat er verificatie tussen client en server plaatsvindt.

Kijk dit maar eens voor een volledige uitleg: https://www.youtube.com/watch?v=RFACQvL_8S4&t=1375s

Tjeerd 25 juni 2020 12:25

Ik denk dat dit soort authenticatie echt de toekomst is/wordt voor websites. Vooral op mobiel en tablet waar steeds meer standaard vingerafdruk of gezichtsherkenning ingebouwd is. Desktop pc's zouden standaard op het toetsenbord misschien ook een authenticatiemogelijkheid moeten hebben met aanraking.

Waarom het mij de toekomst lijkt is omdat ik genoeg mensen ken (bijvoorbeeld mijn ouders) die echt door al die wachtwoorden en gebruikersnamen de weg kwijt zijn om ergens aan te melden en het de helft v/d keren moet worden gereset. Heb toen wel een wachtwoordbeheerprogramma er op gezet zodat het centraal staat, maar dan nog is het gedoe voor (oudere) mensen. En vaak groeit het aantal accounts ook nog. Op zich is voor een eerste keer registreren en een wachtwoord verzinnen en gebruiken niet zo'n ramp, als alle volgende keren dus inderdaad maar via aanraking/gezichtsherkenning kunnen. Dat zou het voor zoveel mensen veel intuïtiever maken om te gebruiken.

Zyphlan @Tjeerd • 25 juni 2020 13:53

Dit is inderdaad de toekomst. Webauth behoort toe aan de Fido Alliance ( ik werk zelf voor een grote hardware leverancier in dit segment).

Alle grote spelers hebben zich aangemeld : Google / Microsoft / Apple / Lenovo / ARM ... etc ( de lijst is aardig lang).

Hier wat meer informatie betreffende fido alliance.
https://fidoalliance.org/members/

Fido zelf is in principe gewoon een volledige vervanging voor passwords en maakt phishing onmogelijk. Apple was trouwens wel aan de late kant ivm alle andere grote spelers.... maar liever laat dan nooit.

Wij maken zelf de hardware keys en je ziet gewoon een gigantische interesse bij eigenlijk alle multinationals ook omdat BYOD niet gewenst is of mensen zeggen : Geef me maar een bedrijfstelefoon.

Als je dan voor 5-100dollar ( voor 5-100 dollar heb je een key met puur usb-a en voor 100 heb je ze met biometrisch , NFC , Bluetooth) klaar bent met een hardware key dan is de keuze makkelijker voor een CISO

OTP blijft bestaan maar Fido wordt langzaam maar zeker een goede vervanger voor vele partijen helemaal met biometrisch , NFC , Bluetooth , IOS aansluiting als bestaande mogelijkheden.

Hier enkele linkjes waar je sample paketten kunt aanvragen.
https://www.yubico.com/passwordless-offer/
https://www.ftsafe.com/pathtopasswordless

Dit zijn de enige 2 die ik kon vinden mochten er andere zijn stuur ze in Pbtje en dan zet ik ze erbij op de lijst.

Voor standaard consumenten met weinig IT kennis is het trouwens veel efficienter om het via je telefoon te gebruiken dus het is meer aan de b2b kant waar het van belang is.

skatebiker 25 juni 2020 11:57

Vreemd. Bestaat allang. Als ik password opsla in Safari, waarbij het in de keychain opgeslagen wordt, kun je het later automatisch laten invullen. Dan verschijnt er een prompt om ff te 'vingeren' (Touch ID dus) en vult die het in. Ik heb het over macOS 15 Catalina.
Niks nieuws. Onder iOS 13 werkt het hetzelde in Safari.

Verwijderd @skatebiker • 25 juni 2020 15:42

Nee, het is niet hetzelfde. Het is webauthn.

Zie voor meer info en hoe het werkt: https://www.youtube.com/watch?v=RFACQvL_8S4&t=1375s

Een wachtwoord manager met touch- face-id is totaal iets anders.

skatebiker @Verwijderd • 26 juni 2020 14:52

Sorry, maar ik zie het verschil niet, het is alleen een andere plek waar de wachtwoordn opgeslagen worden. En ze worden ook niet opgestuurd, gebeurt allemaal lokaal.

Verwijderd @skatebiker • 26 juni 2020 15:12

Als je op een website inlogt met een wachtwoord en gebruikersnaam, worden beiden naar de ontvangende server verzonden. Daar kan een man in de middle attack op plaatsvinden of je bent ongewild op een fishing website.

Bij webauthn werkt een man in the middle attack niet en fishing website werken ook niet. Het protocol zit dusdanig in elkaar dat server en client elkaar verifiëren. Tevens verifieert de client ook het domein van de server.

Heb je die video wel bekeken?

nils83 @skatebiker • 25 juni 2020 12:07

Zie reactie hierboven: coptician in 'nieuws: Safari kan gebruikers bij websites laten inloggen met ...

Is een volledig andere implementatie, die geen wachtwoorden verstuurd

[Reactie gewijzigd door nils83 op 22 juli 2024 18:01]

Bose321 25 juni 2020 11:09

Fijn als meer websites het hierdoor gaan ondersteunen. Dit kan ook al een tijd met Windows Hello op Firefox en Edge (Chrome ook?), en dat werkt erg fijn en goed, alleen heb ik het nog maar op een enkele site kunnen gebruiken.

supersnathan94

Apple

@Bose321 • 25 juni 2020 11:23

Dit klinkt natuurlijk wel als een feature die voor Apple ontzettend handig is om te marketen richting gebruikers, omdat wachtwoorden hiermee in theorie niet meer kunnen uitlekken (want worden niet meer gebruikt) als de implementatie een beetje fatsoenlijk is.

Daarnaast heeft Apple wel de markt adoptie die ervoor kan zorgen dat websites dit snel gaan uitrollen. op de een of andere manier zijn zij wel in staat om binnen no time heel veel mensen "het licht te laten zien".

Kijk ook naar de statistieken van banken mbt android pay en Apple pay. Apple pay werd in week 1 al vaker geactiveerd dan android varianten in totaal. Dat is gewoon echt wel een enorm verschil in markt adoptie.

MrCrashdummy 25 juni 2020 11:12

Betekent dit dat andere browsers op iOS dit ook krijgen? Aangezien ze allemaal in principe dezelfde browser zijn met een iets andere UI, toch?

Aryante 25 juni 2020 11:49

De echte hoop is dat macbooks en imacs faceid krijgen, want je zit er continu achter

THE_BASE 25 juni 2020 12:34

Is het met macOS Big Sur dan ook mogelijk om in te loggen met een Apple Watch zoals nu ook bij het inloggen van het OS zelf? Dat zou wel handig zijn voor MacBooks zonder TouchID.

t link 25 juni 2020 17:14

Ik vind dat apple de laatste paar jaar op beveiliging en privacy (twee dingen die best dicht bij elkaar liggen) zo goed bezig is. Ik droom ervan dat android ooit zo ver is. ik overweeg hierdoor soms echt de overstap te maken, het is dat ze nog zulke consument onvriendelijke praktijken op reparaties en slechte arbeidsomstandigheden hebben en lang niet genoeg doen in recycling. anders was ik al overgestapt.

[Reactie gewijzigd door t link op 22 juli 2024 18:01]

Zyphlan @t link • 25 juni 2020 23:24

Exciting news from Google: starting today, any phone running Android 7+ can function as a FIDO2 security key. Android users can now use their phones to log into their Google accounts on Windows, Chrome OS or macOS devices with phishing-resistant FIDO Authentication. Google’s Android platform was FIDO2 Certified in February.

Dit is April 2019
Apple is aan de late kant in dit geval webauth is allang uitgebreid toegepast door Microsoft en Google en apple sluit als laatste grote speler aan.

https://fidoalliance.org/...now-a-fido2-security-key/

https://www.forbes.com/si...t-all-users/#732efb3931a7

[Reactie gewijzigd door Zyphlan op 22 juli 2024 18:01]

t link @Zyphlan • 26 juni 2020 07:23

Maar kan je vingerafdruk e.d. ook gebruikt worden als authenticatie voor webauth in android? want dat is waar ik het over had.

Zyphlan @t link • 26 juni 2020 09:40

https://fidoalliance.org/...bauthn-web-fido2-android/

https://www.biometricupda...-with-fido2-certification

The Android mobile operating system has received FIDO2 certification from the FIDO Alliance, enabling users to access websites and native applications without passwords by using their device’s onboard fingerprint sensor or FIDO security keys.

Ja:)

t link @Zyphlan • 26 juni 2020 17:16

cool!

Op dit item kan niet meer gereageerd worden.

Safari kan gebruikers bij websites laten inloggen met Touch ID of Face ID

Lees meer

Apple macOS 11.0 Preview

Reacties (62)

Lees meer

Apple macOS 11.0 Preview

Reacties (62)

Sorteer op:

Weergave: