Google voegt ondersteuning passkeys toe aan bètaversie Play Services en Chrome

Google heeft ondersteuning voor passkeys toegevoegd aan de Canary-versie van Chrome en de bèta van Google Play Services. Passkey is een implementatie van de FIDO-sign-instandaard waarbij geen wachtwoord nodig is. Later dit jaar verschijnt de functie in de stable channels.

Via de toegevoegde ondersteuning wordt het voor Android-gebruikers mogelijk om een nieuwe passkey aan te maken op hun Android-apparaten. In een app die de functie ondersteunt, krijgt men dan een pop-upmelding te zien waarbij in een eerste stap gevraagd wordt om accountinformatie te controleren. In een vervolgstap wordt gevraagd om een authenticatie via een vingerafdruk, een gezichtsscan of een schermontgrendeling via een patroon. Inloggen met passkeys gebeurt op dezelfde wijze. Google stelt dat de passkeys worden beheerd en gesynchroniseerd via de Google-wachtwoordmanager op Android. De passkeys worden opgeslagen in de cloud. Hierdoor wordt het voor gebruikers die hun toestellen verliezen, mogelijk om op een nieuw toestel in te loggen via de FIDO-authenticatiemethode.

Ontwikkelaars van websites kunnen voortaan ook ondersteuning voor passkeys toevoegen aan hun websites. Ze dienen daarvoor de WebAuthn-api te ondersteunen die in de Canary-versie van Chrome zal zitten. Chrome-gebruikers zullen dan in staat zijn om in te loggen op de desbetreffende websites via de nieuwe FIDO-sign-instandaard. Als een website ondersteuning heeft toegevoegd voor passkeys, kan die site op zijn beurt een QR-code genereren die door een Android-apparaat gescand kan worden met de Google Play Services-bèta waarna met de FIDO-methode wordt ingelogd.

Volgens Google verschijnt er later dit jaar een api voor Android-apps. Hierdoor krijgen de ontwikkelaars de mogelijkheid om native ondersteuning voor de nieuwe FIDO-sign-instandaard in te bouwen in hun apps. Gebruikers van die apps zullen volgens Google voorlopig nog steeds de optie krijgen om wachtwoorden te gebruiken.

Passkey is de naam die techbedrijven geven aan de FIDO-authenticatiestandaard die in mei van dit jaar naar voren is geschoven door Google, Apple en Microsoft. Deze techbedrijven stelden toen dat ze 'binnen het jaar' ondersteuning gingen toevoegen voor de FIDO-standaard in hun verschillende soorten software. Volgens Google is passkey veel veiliger dan een conventionele authenticatiemethode omdat het geen wachtwoord vereist en gebaseerd is op publickeycryptografie. FIDO staat voor Fast IDentity Online. De makers hopen met deze standaard wachtwoordloze authenticatie mogelijk te maken.

Reacties (24)

Olaf van der Spek 12 oktober 2022 19:55

Passkey is een implementatie van de FIDO-sign-in-standaard waarbij geen wachtwoord nodig is.

Werkt dit dan ook zonder een account bij big tech te hebben?

RogerDad @Olaf van der Spek • 12 oktober 2022 20:50

Het is een authenticatie methode, dus je hebt een account nodig. Als je geen account nodig hebt voor toegang tot een website of dienst dan hoef je je ook niet te authenticeren.

Olaf van der Spek @RogerDad • 12 oktober 2022 21:02

Als je geen account nodig hebt voor toegang tot een website of dienst dan hoef je je ook niet te authenticeren.

Voor toegang tot Tweakers heb ik een account bij Tweakers nodig ja.. mijn vraag is of ik in het vervolg ook een account bij big tech nodig heb voor toegang tot Tweakers.

Z100 @Olaf van der Spek • 12 oktober 2022 22:03

Nee. De communicatie van FIDO2 is altijd:
fysieke key (e.g. Yubikey) <-> browser (e.g. Chrome) of app van dienst <-> server van dienst (e.g. T.net)

Heb de uitwisseling als "<->" aangegeven, omdat het een challenge-response authenticatie is. Dus tweewegs.

Het is dus altijd zo dat je authenticatie direct tussen jou en T.net zal verlopen.

'Big tech' is alleen bezig om FIDO2 (Passkey) te implementeren, en het helpen te marketen.

Als je (iedereen die dit leest) overweegt om gebruik te maken van deze standaard, dan raad ik Yubikeys aan. https://www.yubico.com/nl/store/#yubikey-5-series (Black Friday / Cyber Monday komen eraan in november, waarin Yubico meestal kortingen geeft)
Niet om als een verkoper in de Mediamarkt te klinken, maar ik gebruik er dagelijks zelf ook een. Een Yubikey ondersteund alle relevante authenticatie standaarden overigens. Dus je kan er zelfs tot op 32 OATH-TOTP geheimen opzetten, en die benaderen via https://www.yubico.com/products/yubico-authenticator/.
Één key volstaat om op alle apparaten te gebruiken (tenminste alle apparaten met een USB poort; voor Lightning moet je een Lightning versie kopen, door Apples gezeik).

Als je meer wilt weten over FIDO2 en/of Yubikeys, vraag maar gerust. M.i. is het de gemakkelijkste en veiligste manier van authenticeren, zodra je het hebt opgezet. Heb het bij mijn gepensioneerde ouders opgezet voor alles waar FIDO2 wordt gebruikt, en ik heb niet meer de IT service helpdesk hoeven uit te hangen.

[Reactie gewijzigd door Z100 op 23 juli 2024 02:24]

mailis

@Z100 • 13 oktober 2022 01:18

Als we dan toch reclame maken, is er via
Cloudflare nu een goed deal om voor 10 euro per stuk tot 4 Yubikeys te krijgen (plus btw overigens).

Oon

@mailis • 13 oktober 2022 08:06

Alleen jammer dat integratie er nog niet écht is. LastPass bijvoorbeeld kan het wel, maar veel websites hebben überhaupt nog geen FIDO2, en mijn ~50 verschillende TOTP secrets passen niet op een Yubikey. Daarnaast werkt ook bijv. Windows Hello niet met een Yubikey, dus je kunt 'm niet als smartcard voor inloggen (ter vervanging van een wachtwoord) gebruiken zonder de software van Yubico.

Verwijderd @Oon • 13 oktober 2022 09:32

Ik doe het zo: Bitwarden en de belangrijkste (grote dingen) zoals Google via Yubikey, de rest in (open-source) Tofu Authenticator.

Het is jammer dat Microsoft FIDO2 niet zo omarmd als de rest van de industrie. Ze hebben wel ondersteuning voor passkeys aangegeven (via Twitter) maar ik snap hun probleem. Windows hardware is een onoverzichtelijke bende en ze zullen eerst een soort van universele tussenlaag moeten bouwen. Alle andere besturingssystemen hebben al jaren die (biometrische) tussenlaag op orde gezien ze redelijke controle hebben over de hardware (Android, IOS, MacOS).

Z100 @mailis • 13 oktober 2022 12:48

Dat is een erg goede deal! Let wel dat Yubikey 4s geen FIDO2 ondersteunen.

mailis

@Z100 • 13 oktober 2022 12:56

Alleen krijg je een gratis upgrade naar de 5-serie

nigeljordann 12 oktober 2022 20:46

Vraag me wel iets af. Ik gebruik Chrome op mijn IPhone en ook Google Passwords, waar ik als ik op Chrome op m’n IPhone zit makkelijk wachtwoorden kan opslaan in de Google Password Manager, maar neem aan dat het niet mogelijk is om via Chrome op de IPhone een passkey op te slaan in de password Manager van Google ipv Apple’s Keychain?

lowfi @nigeljordann • 12 oktober 2022 21:35

Je kan beter een PW manager gebruiken die op meerdere platformen (browser mobiele telefoon e.d.) goed ondersteund wordt. Lastpass, bitwarden e.a.

In iOS kan je "autofill passwords" in settings gebruiken om daar je default PW manager in te stellen.

raro007 @lowfi • 12 oktober 2022 21:47

Zij het dat Chrome op de meeste gebruikte platformen beschikbaar is..

lowfi @raro007 • 12 oktober 2022 21:54

Chrome is een browser geen PW manager. Google Password Manager is dat wel maar ik weet niet of je die bv in iOS kan instellen als PW manager? Is dat iets wat geintegreerd is in chrome of een losse applicatie?

KittySeraphim 12 oktober 2022 20:12

Dus als ik het goed begrijp moet je de big tech bedrijven vertrouwen met all je wachtwoorden.
Handig voor hacker-crapuul die moeten nu maar een dienst hacken voor ze all je wachtwoorden hebben. Want wat is een passkey anders dan een wachtwoord(code)?
Alles zal ervan afhangen hoe veilig deze sleutels zijn opgeslagen en hoe veilig de login op het systeem is.

Stukfruit @KittySeraphim • 12 oktober 2022 20:35

Dus als ik het goed begrijp moet je de big tech bedrijven vertrouwen met all je wachtwoorden.

Dat doen veel mensen al, want zelf sterke wachtwoorden bedenken en ze keer op keer blijven vernieuwen is veel te veel werk, zelf random iets bedenken is iets waar mensen niet goed in zijn en Henk en Ingrid begrijpen niet eens wat een "account" is dus die maken straks sowieso gebruik van dit soort diensten. En dat is waar dit waarschijnlijk voor bedoeld is: de mensen die "gewoon" gebruiken wat men voorgeschoteld wordt en daardoor onbewust meehelpen aan het veiliger maken van omgevingen.

Wat ik belangrijker vind is dat dit een open standaard is (FIDO lijkt dit zo op het eerste gezicht te zijn) en dat er open source implementaties van kunnen komen en blijven (zoals FIDO lijkt als basis lijkt te hebben). Daarnaast zijn andere partijen zoals bv. 1Password hier ook mee bezig, dus je zit sowieso niet vast aan Google.

TL;DR: het lijkt erop dat je je eigen server kan draaien. Met het open source BitWarden kon dat zo te zien sowieso al

[Reactie gewijzigd door Stukfruit op 23 juli 2024 02:24]

xoniq @Stukfruit • 12 oktober 2022 21:00

Ik doe dit inderdaad met Vaultwarden. Wachtwoorden worden via de native Bitwarden app lokaal opgeslagen op het apparaat, en zodra ik verbind met de VPN naar huis gaat ie ze synchroniseren. Veel veiliger bewaren wordt t niet.

Marcel-- @xoniq • 14 oktober 2022 23:01

Interessant, kun je delen hoe je dit hebt opgezet?

The Zep Man

Beveiliging en antivirus
Google Chrome
Microsoft
Google

@Stukfruit • 12 oktober 2022 21:42

TL;DR: het lijkt erop dat je je eigen server kan draaien. Met het open source BitWarden kon dat zo te zien sowieso al

Met het open source Vaultwarden ook.

Stukfruit @The Zep Man • 12 oktober 2022 22:03

Ah, ik wist niet dat deze versie van Bitwarden tegenwoordig als een hernoemd product door het leven gaat

Thanks!

[Reactie gewijzigd door Stukfruit op 23 juli 2024 02:24]

Z100 @KittySeraphim • 12 oktober 2022 22:27

Je begrijpt het niet goed nee. Dit gaat niet om wachtwoorden. Zie FIDO2 als de vervanger van OATH-TOTP (je weet wel, die zes cijferige codes die je heel snel moet overtypen).

De sleutels (geheimen) staan op een key die jij bezit (e.g. een Yubikey). Die zijn opgeslagen in een beveiligde chip.

De chip op die key communiceert met de webdienst waar jouw account van is. Wanneer je probeert in te loggen, dan krijgt die key van de webdienst een puzzel toeverstuurt, waarbij de key die puzzel moet oplossen, en het juiste antwoord terug stuurt naar de webdienst. Dit is dus fundamenteel anders dan een databasis met wat wachtwoorden. Je hoeft dus geen enkele webdienst te vertrouwen.

De enige partij die je moet vertrouwen, is de maker van die key. Maar omdat FIDO2 (Passkey) keys zo goedkoop zijn om te maken (serieus, je kan ze zelf ook laten maken), is het niet de moeite waard om backdoors proberen in te bouwen. Stel Yubico (maker van de Yubikey) zou een backdoor inbouwen, en dat wordt bekend, dan zal het niet lang duren totdat een ander bedrijf Yubico heeft vervangen, en Yubico bankroet moet verklaren.

Verwijderd @Z100 • 13 oktober 2022 15:19

Z100 schreef:

Je begrijpt het niet goed nee. Dit gaat niet om wachtwoorden. Zie FIDO2 als de vervanger van OATH-TOTP (je weet wel, die zes cijferige codes die je heel snel moet overtypen).

De sleutels (geheimen) staan op een key die jij bezit (e.g. een Yubikey). Die zijn opgeslagen in een beveiligde chip.

Bij PassKeys staan jouw private keys niet op een hardware key, maar op een smartphone, tablet of PC - als het goed is in een goed beveiligd deel daarvan.

De bedoeling is dat ze (versleuteld) geback-upped worden naar het cloud-account van de eigenaar, waarvandaan ze ook gesynchroniseerd kunnen worden met andere devices.

De features van Passkeys klinken allemaal heel mooi, maar er kleven ook risico's aan. Desondanks verwacht ik dat, als PassKeys een succes worden, dat slecht nieuws is voor de makers van hardware keys (zoals Yubico).

Verwijderd @KittySeraphim • 12 oktober 2022 20:37

Je kunt er best weleens een leuk, informatief artikel over lezen.

Sebazzz

12 oktober 2022 21:46

Het lijkt erop dat de kern van deze "technologie" is dat de WebAuthn private key tussen apparaten gesynchroniseerd kan worden. Normaal, bij een vingerafdrukscan, Windows Hello gezichtsherkenning, of welke wijze je ook gebruikt, is de private key alleen voor het apparaat. Dat betekent wat je voor een ander apparaat, deze apart moet toevoegen in je account als two factor methode. Behalve als je natuurlijk een portable Yubikey bijvoorbeeld gebruikt

Dit maakt de private key synchroniseerbaar, en uiteraard via je Google Account. Bedenk ook even wat voor consequenties dat heeft als Google besluit voor wat voor reden dan ook dat jij de Terms of Service (ToS) hebt overschreden en je account gesloten wordt.

mutley69 14 oktober 2022 00:33

Waarom dat toch niet doen via een bluetooth fido2-sleutel? Die dingen kosten echt geen fortuinen meer. Iets opslagen in de cloud die niet onder onze eigen controle staat - forget it!

Op dit item kan niet meer gereageerd worden.

Google voegt ondersteuning passkeys toe aan bètaversie Play Services en Chrome

Lees meer

Sterven wachtwoorden uit?

Reacties (24)

Sorteer op:

Weergave: