Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google voegt biometrische authenticatie toe aan wachtwoordmanager Chrome

Google heeft het mogelijk gemaakt om gegevens uit de Chrome-wachtwoordmanager te beveiligen achter biometrische beveiliging. Dat begint met creditcardgegevens; die worden alleen ingevuld als de gebruiker bijvoorbeeld zijn vingerafdruk afgeeft.

Google vertelt dat bij het aanvankelijk opgeven van de creditcardgegevens de zogenaamde card verification code, of cvc, nog aangeleverd moet worden, maar daarna voldoet een vingerafdruk. De functie is optioneel, dus wie zijn vingerafdruk of andere biometrische data niet af wil geven aan Google, hoeft dat niet te doen. Google treedt met deze introductie in de voetsporen van concurrerende wachtwoordmanagers, zoals LastPass, Firefox Lockwise, 1Password, Dashlane en KeePass met een plug-in.

Google zegt de W3C-standaard webauthn te gebruiken bij de biometrische authenticatie. Verder zegt het dat de creditcardgegevens pas aankomen op het apparaat nadat authenticatie geslaagd is en dat de biometrische data zelf alleen op het apparaat staat.

De functie is volgens Google al beschikbaar in de Chrome-browser voor Windows en macOS en de Android-variant moet het snufje 'in de komende weken' krijgen. Verder heeft de pop-up die aanbiedt om gebruikersnamen en wachtwoorden in te vullen ook een facelift gekregen, maar vanuit functioneel oogpunt is daar niets veranderd.

Door Mark Hendrikman

Nieuwsposter

01-08-2020 • 12:21

56 Linkedin

Reacties (56)

Wijzig sortering
Hoe krijgt iemand toegang tot deze wachtwoord manager, nadat de account houder is gecremeerd en wie bepaalt die bevoegdheid?
Het idee van moderne wachtwoordmanager is meestal dat de gebruikers bepalen wie er toegang heeft door op tijd rechten toe te kennen (of in te trekken) en verder niemand bij de inhoud kan. Als anderen met een omweg alsnog bij de inhoud kunnen dan denk ik dat je je moet afvragen of de beveiliging van de wachtwoordmanager wel zo goed was.
Begrijp ik, maar juist wachten is geen optie na overlijden. Wellicht kan mijn use case worden opgelost door meerdere (liefst niet nauw verwante) nabestaanden elk een complementair deel van het master wachtwoord van de wachtwoord manager te geven. Liefst met audit trailing via logbestanden en met automatische notificatie naar de account houder zodra wordt ingelogd.

[Reactie gewijzigd door TweakMij op 1 augustus 2020 22:28]

Als wachten geen optie is dan zijn er ook andere mogelijkheden. Maar meestal is het wachten niet perse een probleem omdat het altijd al zo is geweest dat het voor de notaris en nabestaanden tijd kost om alle administratie op orde te krijgen. Dat was ook voor het bestaan van wachtwoordmanagers. De vraag is of het echt nodig is om toegang tot die wachtwoordmanager te krijgen omdat er vaak ook andere manieren zijn om iets gedaan te krijgen. Dat toegang tot een wachtwoordmanager dat makkelijker zou maken en de nabestaanden kosten kan schelen, dat ligt toch ook aan de wil van de overledenen om daar rekening mee te willen houden. Google stelt het niet verplicht om biometrische authenticatie toe te passen en het is dus een keuze. Al geef ik je gelijk dat het waarschijnlijk prettig zou zijn als Google of andere wachtwoordmanagers meer aandacht vragen voor deze kant van het gebruik.
Van 3 directe familieleden die ik in ~5 jaar tijd onverwachts ben verloren, was ik 2 maal door een overledene benoemd tot testamentaire executeur. Mijn ervaring hiermee is dat overledenen zelden hebben besefd hoeveel tijd, geld energie een afwikkeling vergt (naast de emotionele verwerking) en al helemaal hoe waardevol toegang tot (master) wachtwoorden tegenwoordig is, niet alleen voor de erfenis voor nabestaanden. Voorbeeld: in mappen met papieren bankafschriften kon je vroeger meteen opzoeken welke contracten opgezegd moeten worden. Nu verlopen persoonlijke domeinnamen en lopen andere (maandelijks opzegbare) kosten vrolijk door, totdat alle bureaucratie ooit rond is (opvragen laatste testament via het CTR bij de notaris etc). Vooral financiële instellingen profiteren hiervan, door moedwillig torenhoge eisen te stellen waardoor ze blijven incasseren maar niets uitkeren. Ik heb het dan alleen over hun onredelijk hoge eisen uiteraard. Het kan ook over simpelere dingen gaan, zoals toegang tot een eventuele digitaal codicil, die urgente instructies kan bevatten, zoals wel/niet begraven/cremeren met/zonder afscheidsdienst. Betaalde afspraken tussen overledenen en derden opzoeken en afzeggen. Lijst van praktische to-do's is eindeloos. Geloof me, totdat je een overlijden van dichtbij meemaakt, is het nauwelijks voor te stellen hoe hard en vooral hoe snel toegang nodig is. Mijn advies: laat je nabestaanden bijvoorbeeld je Google account wachtwoord proberen te vinden, terwijl je meekijkt en zonder ze verdere informatie te geven.

[Reactie gewijzigd door TweakMij op 2 augustus 2020 10:38]

Jij weet duidelijk heel goed waarover je praat. Complimenten!

In mijn geval duurde afwikkeling van nalatenschap 11,5 jaar. Bank doet nu nog moeilijk over en/of rekening waar ik als erven van in "vast" zit.
@galgootje Dank je. Waarover ik me verbaas is dat de overheid de belangrijkste life cycle/ customer journey van burgers nauwelijks van A tot Z faciliteert. De wet is zo half af op dit gebied. Alles moet nu (na tig jaar automatisering) nog altijd langs talloze burocratische nationale instellingen (notarissen, CTR, kadasters, KvK, huwelijksgoederenregister, belastingdienst, banken, pensioenfondsen, etc.). Op je 18e een gedetailleerd codocil + testament online invullen (waarin het master wachtwoord zit versleuteld), is ook nog steeds niet verplicht. Dit alles terwijl bepaalde dingen toch echt zeker zijn in het leven, zoals dood gaan en alles wat daarbij voor iedereen komt kijken.
Eens!

Innovatieve suggesties op dat vlak worden meestal niet gedragen door politieke clubs.
@galgootje Dat idd! De bankrekeningen van mijn overledenen ontvingen & ontvangen restituties van vooruitbetaalde contracten, maar verzinnen continu allerlei redenen om niet te hoeven uitkeren, zodat ze hun allang niet meer gebruikte 'dienstverlening' hiermee kunnen blijven betalen. |:(
Teruggerekend wat ik aan contributie betaald heb voor en/of rekening waar ik niets mee kan noch mag in 11,5 jaar...

Wordt je niet blij van.

Opheffing kan alleen door rekening houders, 1 dood, 1 Korsakoff na sterven partner. #duurtlang...
In lastpass kan je "emergency acces contacts" toevoegen. Deze kunnen dan een verzoek tot toegang indienen. Je bepaalt per contact dan zelf hoe lang de 'waiting period' is, van een paar uur, tot 30 dagen. In die tijd kan jij de toegang weigeren, maar als de tijd verstrijkt, krijgen ze je master wachtwoord.

Lijkt me een prima systeem, mijn broer staat erin met een 'waiting period' van een paar uur, voor mij zou het zelfs 0 uur kunnen zijn, maar als hij gehackt wordt oid wil je de tijd hebben om te weigeren.

Het leven kan helaas onverwacht toeslaan, en je hebt zulke "compromissen" nou eenmaal nodig.
Alleen in de betaalde variant volgens mij.
Ja dat zou wel kunnen. Ik heb al jaren lang het familie account, kan je het met 5 andere (6 totaal) delen. Is 45.12 per jaar.
Als iedereen zou betalen is dat 7.52 per jaar, of 63 cent per maand... Is het dubbel en dwars waard voor mij.

Je betaald ook jaarlijks, kan niet maandelijks.

[Reactie gewijzigd door bskibinski op 2 augustus 2020 16:33]

handig, dit wist ik nog niet!
Met die "Inactive Account Manager" service moet je minimaal 3 maanden wachten nadat iemand inactief (lees: overleden) is. Terwijl onmiddellijk na iemands overlijden de praktische afwikkeling (en dus noodzaak tot toegang tot iemands wachtwoorden) begint. Ondertussen moet GoogleDrive abo worden betaald bijvoorbeeld.
2 eu per maand . Ja dat is wel iets om direct op te lossen.

Je andere punt is met alle sleutel (digitaal en fysiek) toegang van toepassing.
Oplossingen kan zijn: meerdere vingers scannen zodat je niet van 1 persoon afhankelijk bent
Inderdaad mijn moeder liet 2 dagen na mijn 18e verjaardag een notaris en een overlijdensverzekering voorbij komen om dingen vast te laten leggen, is misschien hard maar je hebt die dingen wel gelijk geregeld.

Verder heb ik een tweelingzus die mijn master password heeft voor mijn pass manager en die aangemeld is als noodpersoon bij bijvoorbeeld Facebook.
Dat lijkt me een probleem van de diensten waarvan je de logingegevens erin opslaat, niet van een wachtwoordmanager.
Als iemand geen tool gebruikt om deze gegevens te bewaren maar het uit zijn hoofd doet is het probleem even groot.
Geloof me, nadat iemand is overleden wil je niet bij elke dienst afzonderlijk om toegang bedelen; door hun burocratische hoepels springen. Je hebt dan al meer dan genoeg praktische uitdagingen aan je hoofd. Toegang tot de wachtwoord manager scheelt echt bergen kostbare tijd, geld en energie. Biometrische beveiliging belemmert dat, ook ingeval iemand een plantje is geworden (zoals na een te lange hart stil stand).
Bij mijn Bitwarden account heb ik een recovery code, die in principe het hele two factor gebeuren zou moeten kunnen omzeilen, speciaal voor deze situatie. Zodra ik denk dat het nodig is dan zal ik zorgen dat mijn nabestaanden die kunnen vinden.
Je kan een vinger bewaren na overlijden, ik weet niet of dat voldoende biometrische gegevens bevat, volgens de Google maatstaf.
Wel eerst controleren dat je niet (ook) een oog of gezicht nodig hebt.

[Reactie gewijzigd door TweakMij op 2 augustus 2020 12:24]

Gelukkig had de password manager in de Chrome app op iOS al mogelijkheid tot FaceID
Gelukkig had de password manager in de Chrome app op iOS al mogelijkheid tot FaceID
Weet je zeker dat dat niet de password manager van iOS is?
Nope, is echt van passwords.google.com

Die van iOS gebruik ik niet want iCloud, en gebruik primair mijn Windows desktop :)
Ik heb ook al sinds ik mijn Huawei heb (bijna 2 jaar geleden) dst ook. Altijd wordt om mijn vingerprint gevraagd bij Google.passwords.com

Dus heb altijd vernomen dat dit normaal is, maar het blijkt dat voor ons beiden geldt dat het eigenlijk vanaf nu pas hoort.... 😅
Ik mis Enpass in het rijtje wachtwoordmanagers. Kent ook de bevestiging met vingerafdruk op iOS, alvorens de gegevens worden ingevuld.
Het is ook niet bedoeld als complete lijst van passwordmanagers met zo'n optie, het zijn slechts voorbeelden.
Ik gebruik Bitwarden. Werkt perfect. Zou er niet vanaf willen
Multiplatform, dus ik ben er ook zeker fan van - ook mogelijkheden van zelf runnen tot in de cloud voor weinig jaarlijke kosten vind ik een pre. Aangezien in het huishouden iedereen wel moeilijke wachtwoorden wil gebruiken staat gebruikerservaring bovenaan.

Sinds de 'nieuwe' Edge heb ik Chrome eigenlijk niet meer aangeraakt.
Hier ook niet meer. Chrome is de meest milieuvervuilende browser met z'n extreem hoge energieverbruik. Edge 77+ verbruikt veel minder energie, en maakt toch gebruik van dezelfde engine.
Ik ben juist weer van edge afgestapt omdat die op de Windows pc geen fingerprint ondersteunt voor lastpass...
Zeker self hosted en degelijke backups, eigenlijk onmisbaar voor iedereen die wil weten wat hij daadwerkelijk heeft.
Hier nog iemand. Fijne password manager. Werkt op mijn telefoon beter dan LastPass. Die vertikte het nogal eens om wachtwoorden in te vullen
Moet daarvoor dan de Windows 10 Chrome plugin worden gedownload zodat Chrome met Windows Hello kan praten? En werkt het dan ook met Face naast Finger?
Gok zonder plug-in, aangezien je in Windows nu ook al de wachtwoorden kan inzien dmv je user password/pincode op te geven (enkel binnen de instellingen van Chrome dus)
Werd eerlijk gezegd tijd. Ik heb nooit gesnapt waarom de wachtwoord manager de wachtwoorden meteen invult zonder een pincode of vingerafdruk. Daardoor was de hele functionaliteit meteen ongeschikt voor logins die ook maar enigszins gevoelig zijn.
Sorry maar dit is beetje een dooie mus:

- Chrome op windows kan dit nu alleen voor creditcards
- Chrome op android krijgt het pas over enkele weken
- Er staat letterlijk niks in het google-bericht over password manager in Chrome op windows. (waarschijnlijk dus minstens nog maanden wachten)..

Alleen een vage marketing opmerking over,"dit is pas het begin"

[Reactie gewijzigd door Tummie555 op 1 augustus 2020 13:18]

Als ik me niet vergis, lijkt deze optie op wat Samsung Browser ook heeft. Ik gebruik hem zeer regelmatig. In dit geval moet je dan wel een Samsung telefoon hebben, maar als dit nu voortaan ook op elke willekeurige telefoon kan icm Android Chrome dan kan ik het echt aanraden.
Sorry maar komt dit nu pas? Ik heb dit op mijn iPhone al jaren.
Bitwarden heeft dit dus niet op i.c.m. Windows Hello... echter wel weer op iOS.Op iOS platform kan je face id gebruiken voor meer dan op de computer. In office pakket bijv unlockt mijn iphone mijn onenote gedeeltes die beveiligd zijn terwijl ik op de pc elke keer weer de cijfercode kan invoeren, best gek eigenlijk.

Zo normaal is het dus in PC land nog niet om met biometerische gegevens te werken.
Enpass. Netjes overal biometric. Bij opnieuw opstarten Windows pc wel verplicht wachtwoord opnieuw invullen. En kan ook TOTP invullen voor je.
Mijn vingerafdruk en Google... I'm not sure.
Het werkt via WebAuthn - dus via het OS/platform waar je de browser op draait. Dus het biometrische authenticatie is iets te kort door de bocht. Het werkt met Windows Hello of de Yubikey in het geval van Windows, of de pincode van Windows Hello.
Vingerafdruk is lokaal verwerkt en gaat niet naar Google


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True