PayPal komt met beperkte ondersteuning wachtwoordloos inloggen op Android

PayPal brengt ondersteuning voor wachtwoordloos inloggen met passkeys naar Android, maar stelt daar wat voorwaarden aan. Gebruikers moeten minstens op Android 9 zitten en op de PayPal-website inloggen met Google Chrome.

De toevoeging voor Android is een uitbreiding op de eerdere ondersteuning van passkeys op iPhones, iPads en Macs. PayPal voegde die ondersteuning eind 2022 op die apparaten toe. De nieuwe Android-functionaliteit wordt gefaseerd uitgebracht in de VS en moet in de loop van het komende jaar verder uitgerold worden. PayPal geeft in deze bekendmaking geen concrete termijn voor wanneer de PayPal-app voor Android- en Apple-apparaten de functie krijgt.

Passkeys zijn een product van de FIDO Alliance, een samenwerkingsverband van techbedrijven zoals Google en Microsoft, beveiligingsbedrijven zoals Yubico en wachtwoordmanagementmakers zoals 1Password. Het doel van de alliantie is de ontwikkeling en adoptie van universele standaarden voor multifactorauthenticatie en wachtwoordloos inloggen. Passkeys zijn daar een vorm van; zulke passkeys maken van een smartphone een fysieke beveiligingssleutel. Tweakers schreef een achtergrondverhaal over wat passkeys zijn en hoe die werken.

Ondanks de steun van veel grote techbedrijven zijn er nog maar weinig websites en diensten die gebruikmaken van passkeys. Volgens passkeys.directory zijn dat er op dit moment slechts 38 op het hele internet. Naast PayPal staan Nvidia, eBay en Microsoft in dat lijstje, maar verder zullen de sites niet erg nuttig zijn voor Nederlandse of Belgische lezers. Veel wachtwoordmanagers, zoals die van Android en iOS, maar ook 1Password, Bitwarden, Dashlane en LastPass, ondersteunen passkeys.

Door Mark Hendrikman

Redacteur

Feedback • 24-03-2023 14:5012

24-03-2023 • 14:50

12 Linkedin

Lees meer

Vergeet je wachtwoord
Beveiliging en antivirus

17 jun 2022

Vergeet je wachtwoord

Techbedrijven kiezen andere inlogmethode

80
Zakelijke Google Workspace- en Cloud-accounts krijgen passkeyondersteuning Nieuws van 5 juni 2023
Google voegt wachtwoordloos inloggen met passkeys toe aan Google-accounts Nieuws van 3 mei 2023
1Password start in de zomer met passkeys voor wachtwoordloze authenticatie Nieuws van 10 februari 2023
Bitwarden neemt Zweedse start-up voor wachtwoordloos inloggen over Nieuws van 19 januari 2023
Stabiele Chrome-versie krijgt ondersteuning voor op FIDO gebaseerde passkeys Nieuws van 9 december 2022
1Password krijgt begin 2023 passkeys voor wachtwoordloze authenticatie Nieuws van 18 november 2022
MacOS 13 Ventura met Stage Manager-dock en nieuwe Spotlight-functies is uit Nieuws van 25 oktober 2022
Google voegt ondersteuning passkeys toe aan bètaversie Play Services en Chrome Nieuws van 12 oktober 2022
MacOS 13 heet Ventura en krijgt Stage Manager-multitaskingfunctie Nieuws van 6 juni 2022
Techbedrijven gaan wachtwoordloze authenticatie via FIDO in software plaatsen Nieuws van 5 mei 2022
Meer producten en artikelen
Smartphones Networking en security Internet FIDO Paypal

Reacties (12)

-Moderatie-faq
12
12
5
0
0
6
Wijzig sortering
moonlander
24 maart 2023 14:54
Jammer dat er dan niet bij staat waarom de eisen zijn dat het minimaal android 9 en via chrome moet.
ErikvanStraten
@moonlander24 maart 2023 19:49
Per webaccount heb je één passkey nodig.

Sterk vereenvoudigd (*) is een passkey een uniek wachtwoord gekoppeld aan een domeinnaam. Die koppeling voorkómt in de meeste gevallen dat je ermee inlogt op een phishingwebsite, die (meestal) een (iets) afwijkende   domeinnaam heeft.

Om de veiligheid te vergroten, hebben gebruikers zelf géén toegang tot deze inloggegevens (dit om te voorkomen dat deze al te makkelijk in verkeerde handen vallen).

Zowel passkeys als recente FIDO2 hardware keys (bijv. Yubikey en Google Titan) maken gebruik van WebAuthn.

Het belangrijkste verschil tussen passkeys en de (goed vergelijkbare) op FIDO2 hardware keys opgeslagen inloggegegevens, is dat ze op hardware keys niet exporteerbaar zijn (je kunt er geen back-up van maken); bij passkeys kan dit wel, maar onder zeer strikte voorwaarden. Een risico ook hier is dat zo'n back-up in verkeerde handen valt.

Om dit mogelijk maken moet een device (zoals een smartphone) beschikken over stevig beveiligde opslag en hardware die de inloggegevens in die veilige opslag kan versleutelen vóórdat ze worden geëxporteerd t.b.v. een back-up en/of synchronisatie met een ander device van (hopelijk) dezelfde eigenaar.

Ten minste Android 9 vereisen lijkt een compromis tussen minimale beveiliging (niet al te stokoude hardware) en voldoende potentiële gebruikers.

Daarnaast heb je niets aan veilige opslag als elke willekeurige software alsog bij gegevens daarin kan. Een kwaadaardige app zou de gebruiker dan kunnen laten denken dat zij/hij op site A inlogt, terwijl dat in werkelijkheid op site B gebeurt, waarna de maker van de app, als zijnde de gebruiker, bij diens gegevens op site B kan (of diens spaargeld als B een bank is).

Vermoedelijk daarom is de toegang tot de passkey-functionaliteit onder Android beperkt tot Chrome (en onder iOS/iPadOS tot Safari). Dit komt Google en Apple natuurlijk allesbehalve slecht uit (vendor lock-in).

(*) Feitelijk is er, bij WebAuthn, geen sprake van een "shared secret" (wachtwoord) maar van een asymmetrisch sleutelpaar, waarbij de public key voor toegang tot het account op de server wordt opgeslagen. Eerder legde ik dit hier uit.

[Reactie gewijzigd door ErikvanStraten op 24 maart 2023 20:18]

wildhagen
24 maart 2023 14:55
Gebruikers moeten minstens op Android 9 zitten en op de PayPal-website inloggen met Google Chrome.
De eerste eis lijkt me niet zo'n probleem, de meeste devices zullen inmiddels wel hoger zitten dan Android 9, maar waarom alleen op Chrome, en niet op bijvoorbeeld Edge of Firefox? Zeker Edge gebruikt dezelfde engine als Chrome, dus die zou het ook moeten kunnen lijkt me?

Zo wordt je toch weer verder in het Google-platform geduwd, door enkel hun browser te ondersteunen.

Is het alleen in de beginfase dat enkel Chrome werkt en komt ondersteuning voor andere browsers later alsnog, of is dit permanent zo?
batjes
@wildhagen25 maart 2023 12:59
Wie zag dit nou aankomen, Google die hun dominante positie gaat misbruiken.

Dit zou prima OS breed toegepast kunnen worden, als Keepass dat al kan, kan Google dat ook wel.
SinergyX
24 maart 2023 15:05
Zal dan weer een vage combinatie/beperking binnen Android zijn dat slechts Chrome werkt? Zover ik weet ondersteunen Edge, Firefox en Safari ook gewoon passkeys.

Maar hoe zit dit dan met 'in app' browsers? Discord opent zover ik weet z'n eigen 'browser', maar ik weet niet op basis waarvan deze gestart wordt.
Cerberus_tm
24 maart 2023 16:45
Jammer dat in het artikel niet staat wat een zogenaamde 'passkey' (waarom Engels?) is. Is het iets fysieks zoals een Yubikey? Of is het meer iets wat opgeslagen wordt in de Trusted Platform Module van je telefoon?
Wiley99
@Cerberus_tm24 maart 2023 16:58
Er staat wel een link naar een achtergrondartikel waarin dat uitgelegd wordt.
Tweakers schreef een achtergrondverhaal over wat passkeys zijn en hoe die werken.
Cerberus_tm
@Wiley9924 maart 2023 17:02
Jah maar zou dit basale feit ook wel in een paar woorden in het nieuwsartikel verwachten.
Cyberwizzard
@Cerberus_tm24 maart 2023 19:09
Het is een public/private key pair wat er letterlijk voor zorgt dat elke site een eigen unieke sleutel heeft. Dit zorgt er voor dat het stelen van jouw sleutel bij een website geen enkele invloed heeft op jouw login bij andere websites.

Passkey is gewoon een hippe naam hier voor.

Ik moet ook zeggen dat ik gepoogd heb bij een paar van deze websites geprobeerd heb om een passkey in te stellen ipv een normale login, maar dit is zo goed verstopt dat ik er niet uit kom. Ik hoop niet dat dit een voorbode is van hoe passkeys in de toekomst een handleiding vergen om ergens in te stellen...
Cerberus_tm
@Cyberwizzard24 maart 2023 19:40
Hmm okee dus geen fysiek object zoals een Yubikey. Jammer dat het niet handig werkte toen jij het probeerde.
Yzord
24 maart 2023 19:02
Denk dat Brave net zo goed werkt dan. Ik heb het niet zo op ‘Chrome only’ gedoe.
Martijntjeh
27 maart 2023 05:17
Goede zaak. Het wordt hoog tijd dat we eens richting die passkeys gaan!

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee