Google voegt wachtwoordloos inloggen met passkeys toe aan Google-accounts

Google voegt ondersteuning voor passkeys toe aan Google-accounts. Een passkey is een implementatie van het FIDO-protocol om in te loggen zonder gebruik te hoeven maken van een wachtwoord of tweestapsverificatie.

Google passkeys — Googles toegangssleutels-instelling op Android

De functie is meteen toegevoegd en kan worden geactiveerd in de 'Beveiliging'-sectie van de Google-accountinstellingen. Onder 'Inloggen bij Google' staat de optie 'Passkeys', of 'Toegangssleutels'. Hiermee is het mogelijk om in te loggen op Google-diensten met een vingerafdruk, pincode of gezichtsscan. Deze mogelijkheid werkt op 'alle grote platforms en browsers', aldus Google.

Gebruikers kunnen voor elk apparaat dat ze bezitten een unieke passkey aanmaken. Voor sommige apparaten is het mogelijk om een back-up te maken, zodat de authenticatiesleutel ook toegankelijk is op andere apparaten. Dat geldt bijvoorbeeld voor Apple-apparaten die gesynchroniseerd zijn met hetzelfde iCloud-account, laat Google weten. Hierdoor wordt het voor gebruikers die hun toestellen verliezen, mogelijk om op een nieuw toestel in te loggen via het FIDO-protocol. Daarnaast is het mogelijk om op een nieuw apparaat eenmalig in te loggen met een passkey van een ander apparaat. Dit werkt alleen als dat andere apparaat in de buurt ligt en ontgrendeld is.

Volgens Google is het gebruik van passkeys veiliger en handiger dan wachtwoorden en tweestapsverificatie. Doordat de toegangssleutels enkel aanwezig zijn op het apparaat van de gebruiker, beschermen ze beter tegen phishing dan de meeste 2fa-methodes, stelt het bedrijf. Wachtwoorden blijven nog wel bestaan, voor het geval er een apparaat gebruikt wordt dat nog geen ondersteuning biedt voor passkeys. Google zegt niet of het de bedoeling is dat andere inlogmethodes op termijn zullen verdwijnen.

Google kondigde een jaar geleden samen met Apple en Microsoft aan te werken aan de implementatie van wachtwoordloze authenticatie via FIDO. Sindsdien heeft het bedrijf al passkeys toegevoegd aan Chrome en Google Play.

Reacties (52)

telenut 3 mei 2023 17:12

Is dit de optie "wachtwoord overslaan als dat mogelijk is" onder https://myaccount.google.com/security ?

vermoedelijk moet je dus eerst al zo een key hebben aangemaakt, en dit kan hier: https://myaccount.google.com/signinoptions/passkeys
Kan gewoon uw smartphone zijn dus ook

[Reactie gewijzigd door telenut op 22 juli 2024 15:50]

falcon123 @telenut • 3 mei 2023 17:25

Als je Android apparaten hebt en naar https://g.co/passkeys of je URL die je zelf al genoemd hebt gaat en daar inlogt dan zie je dat die al automatisch passkeys heeft aangemaakt daarvoor.

Zojuist op mijn Windows 11 PC windows hello als methode toegevoegd om te inloggen met passkey
Deze moest ik zelf toevoegen.

Meer info: https://support.google.co...d=11154229294353243958-EU

Mike... @falcon123 • 3 mei 2023 20:01

Op mijn pc is het ook gelukt met Windows Hello. Maar hoe kan ik nu mijn telefoon gebruiken als passkey voor een andere pc of laptop? Als ik de QR-code scan, bevriest mijn camera app en gebeurt er niets meer... Passwordless sign-in met MS account vind ik toch iets makkelijker.

Edit: en waarom heb ik bluetooth nodig?

[Reactie gewijzigd door Mike... op 22 juli 2024 15:50]

falcon123 @Mike... • 3 mei 2023 20:29

Net getest via Edge op m'n PC en dan stap 3 & 4 hier beschreven onder "Toegangssleutels gebruiken op een ander apparaat"
https://support.google.co...eutels-beheren-in-windows

QR code deed het op mijn telefoon wel zonder issues en volgens mij wordt bluetooth gebruikt voor locatiebepaling, aangezien kort na prompt krijg of Chrome apparaten in de buurt mag controleren/locatie bepalen of iets dergelijks.

Waarom je camera bevriest tijdens QR code scannen durf ik niet te zeggen.

Hier staat uitleg waarom bluetooth nodig is

When you do need to use a passkey from your phone to sign in on another device, the first step is usually to scan a QR code displayed by that device. The device then verifies that your phone is in proximity using a small anonymous Bluetooth message and sets up an end-to-end encrypted connection to the phone through the internet. The phone uses this connection to deliver your one-time passkey signature, which requires your approval and the biometric or screen lock step on the phone. Neither the passkey itself nor the screen lock information is sent to the new device. The Bluetooth proximity check ensures remote attackers can’t trick you into releasing a passkey signature, for example by sending you a screenshot of a QR code from their own device.

https://security.googlebl...thanks-for-all-phish.html

Redondo77 @falcon123 • 11 mei 2023 13:54

Dus de PC waarop ik will inloggen met een passkey door mijn iphone te gebruiken, moet ook bluetooth hebben?
(momenteel krijg ik de optie om in te loggen met een passkey namelijk niet op mijn pc als ik kies voor "op een andere manier inloggen")

[Reactie gewijzigd door Redondo77 op 22 juli 2024 15:50]

falcon123 @Redondo77 • 11 mei 2023 16:54

Ja, zo te zien moet je bluetooth hebben en aan staan om in te loggen op je PC met de optie "Use a different phone or tablet"

https://i.imgur.com/k9P62Gr.png

Use a different phone or tablet
(dit scherm krijg ik te zien als ik op cancel klik bij m'n Windows Hello/Security prompt scherm
https://i.imgur.com/TBsJVTp.png

stefanoroos @Mike... • 9 mei 2023 17:21

Volgensmij gebuikt het andere apparaat Bluetooth om de Passkey te 'versturen' naar het apparaat waar je inlogt. Ik krijg het prompt namelijk wel bij apparaten zonder Bluetooth, maar als ik klik op doorgaan lukt het niet.

Ashish @falcon123 • 4 mei 2023 08:12

Ik begrijp de flow niet om passkey in te stellen in Windows 11? Welke optie bij Hello moet ik gebruiken?

falcon123 @Ashish • 4 mei 2023 11:21

Ik weet niet waar in de flow het niet goed gaat, maar vanaf je computer waar je Windows Hello op ingesteld heb staan, ga je naar http://g.co/passkeys vanuit een supported browser (zie onderstaande link daarvoor)

1. kies dan voor toegangssleutel aanmaken
2. Je krijgt dan een kleine prompt te zien met als titel "Een toegangssleutel maken voor je Google-account" je klikt op doorgaan daarna krijg ik een prompt scherm te zien van Windows security om Windows Hello in te stellen, hierbij kan je dan kiezen voor biometrische methode (gezicht/vingerafdruk) of een PINcode in te stellen.
3. Daarna zou je als goed is moeten zien onder " Toegangssleutels die je hebt gemaakt" Windows Hello als toegangssleutel.

Hopelijk is dit zo duidelijk

Meer info:
https://support.google.co...28057&p=passkey_leaf&rd=1

Ashish @falcon123 • 5 mei 2023 13:52

Hoi Falcon 123,

Bedankt voor je uitgebreide uitleg, Ik krijg bij stap 1 alleen te zien dat ik op mijn telefoon een toegangssleutel heb aangemaakt. En als ik op doorgaan klik (stap 2) staat er: het is voor dit apparaat niet mogelijk om een toegangssleutel aan te maken.
Ik heb de nieuwste versie van Windows 11.

falcon123 @Ashish • 6 mei 2023 10:56

Hi Ashish,

Controleer eerst of je computer waarvan je de actie uitvoert voldoet aan de vereisten die staan beschreven hier https://support.google.co...28057&p=passkey_leaf&rd=1

To create and use a passkey, your device must have the following enabled:

Screen lock
Bluetooth
If you want to use a passkey on a phone to sign in to another computer
Tip: To ensure the best passkeys experience, we recommend you update to the latest available releases for your operating system.

Depending on your operating system and browser, you may not be able to create or use passkeys while in private browsing mode like incognito or other equivalent.

Verder weet ik ook niet of je Windows Hello al ingesteld hebt en eventueel al ingelogd bent op je computer ermee.

Ashish @falcon123 • 8 mei 2023 06:50

Bedankt Falcon123!

Moosjes @telenut • 3 mei 2023 17:24

Het lijkt niet mogelijk als je nog GSuite gebruikt helaas.

DukeBox @Moosjes • 3 mei 2023 20:56

In de adminconsole van workspace (het heet al een tijd geen gsuite meer) moet je de authenticatie methode toestaan, daarna kan je deze gebruiken. Overigens om in de admin console in te loggen kan je geen fido gebruiken.

Moosjes @DukeBox • 4 mei 2023 10:49

Er staat in mijn admin console toch echt:

U heeft ervoor gekozen de oude gratis versie van G Suite te blijven gebruiken voor persoonlijk gebruik

Dus daar maak ik uit op dat ik GSuite gebruik.

Ik heb de adminconsole door gezocht maar kan niet vinden waar ik het aan kan zetten. Kan je me misschien wijzen waar dat zit?

falcon123 @Moosjes • 4 mei 2023 11:09

Hier staat in ieder geval dat het nog niet mogelijk zou moeten zijn voor Google workspace account en ga er voor nu even van uit dat dit ook van toepassing voor GSuite (oude naamgeving, maar same thing als ik het goed begrijp) >

For Google Workspace accounts, administrators will soon have the option to enable passkeys for their end-users during sign-in.

https://blog.google/techn...-the-end-of-the-password/

jmvdkolk @DukeBox • 4 mei 2023 11:29

Volgens mij kan je dat in de admin console nog niet doen. Ik kan het niet vinden. Ik kan wel dit vinden:

For Google Workspace accounts, administrators will soon have the option to enable passkeys for their end-users during sign-in.

Dit komt van deze Google blog van gisteren: https://blog.google/techn...-the-end-of-the-password/

Stroper 3 mei 2023 18:00

Wat mij nog altijd niet duidelijk is, hangen die passkeys vast aan Google, Apple,... zodat je niet gemakkelijk kan switchen van android naar iPhone. Of moet je best een externe wachtwoordmanager zoals 1password(die ook passkeys ondersteunt). Want ik wil wel de mogelijk behouden om te kunnen switchen.

[Reactie gewijzigd door Stroper op 22 juli 2024 15:50]

Dnnk @Stroper • 3 mei 2023 18:39

Passkeys worden bij Apple en Google opgeslagen in iCloud/Password Manager, waardoor ze automatisch beschikbaar zijn op andere devices binnen het ecosysteem van Apple of Google. Je kan echter op beide platformen Passkeys aanmaken voor dezelfde site of app met verschillende devices dankzij cross-device auth, zoals te zien in deze demo:

Passkeys in Action by FIDO Alliance
https://www.youtube.com/watch?v=SWocv4BhCNg

Je zit dus niet vast aan Apple of Google zodra je Passkeys gebruikt.

ro8in @Dnnk • 3 mei 2023 19:40

Maar wat ik niet helemaal snap is stel in de toekomst is dit je enige inlog optie en je raakt het apparaat met als enige toegang kwijt, wat dan? Wachtwoord reset mail zit er dan niet meer in...

wauwwie @ro8in • 3 mei 2023 21:13

Het is altijd verstandig om een backup key te hebben. Of je FIDO key is je backup en je gebruikt je telefoon als primaire key. Een backup key moet je niet zien als iets wat automatisch gebeurt, het zijn twee unieke keys. Je zal ook beide keys moeten aanmelden.

Ik heb voor de test mij aangemeld in het Google Advanced protection program. Zonder key kan je geen nieuw device/browser aanmelden op je account (zelf je GoogleTV niet!).

Meer dan één key is zeker aan te raden.

Sando @wauwwie • 4 mei 2023 12:08

Het is altijd verstandig om een backup key te hebben. Of je FIDO key is je backup en je gebruikt je telefoon als primaire key. Een backup key moet je niet zien als iets wat automatisch gebeurt, het zijn twee unieke keys. Je zal ook beide keys moeten aanmelden.

Eigenlijk moet de backup-key zich niet in het zelfde gebouw bevinden als je telefoon, zodat je toegang behoud na een brand. Maar tegelijk ook wel, zodat je niet steeds afhankelijk bent van een derde vertrouwde partij iedere keer als je telefoon leeg/stuk/kwijt is. Dus dan heb je al 3 keys voor de belangrijkste sites.

Zonder key kan je geen nieuw device/browser aanmelden op je account (zelf je GoogleTV niet!).

Aan de ene kant klinkt het wel strict (=goed), aan de andere kant is het allemaal nog wat moeilijk te overzien.

Blizz @ro8in • 3 mei 2023 19:52

Net als wanneer je je wachtwoord vergeet voor je Apple ID of je Google account zijn daar mogelijkheden voor die verschillen van provider tot provider. Hier verandert dus in principe niets.

kinlo @Blizz • 4 mei 2023 01:26

Passkeys zijn bij apple end2end encrypted. Er is dus geen recovery mogelijk als je je toestel verliest en geen recovery key hebt aangemaakt.

Ik hoop dat google het ook op een veilige manier doet - dat het dus ook end2end encrypted is.

Dus best wel even opletten, want recovery is niet altijd mogelijk - best meerdere passkeys gebruiken, of zien of er een degelijke offline backup mogelijk is...

Blizz @kinlo • 4 mei 2023 14:36

Ik doel niet op de wachtwoordmanagers, maar op de diensten zelf. Apple beheert Apple IDs, je kunt via hen gewoon toegang krijgen tot je account via door hen aangeboden methoden. Hetzelfde geldt voor Google via door hen aangeboden methoden.

kinlo @Blizz • 4 mei 2023 15:49

Even opletten: Ja je krijgt terug toegang tot je apple id met die methodes, maar nee, je krijgt hiermee geen toegang tot je passkeys of je opgeslagen wachtwoorden. Daarvoor heb je een recovery key nodig en als je die niet hebt aangemaakt ben je die gegevens gewoon kwijt. Want Apple heeft daar de key niet van...

Da's wat end2end encrypted wil zeggen: je bent zelf verantwoordelijk voor de keys

Geen idee hoe google het doet.

Blizz @kinlo • 4 mei 2023 17:02

Als je geen recovery contact hebt ingesteld en je wachtwoord kwijtraakt, dan ben je op deze methoden toegewezen en dan raak je versleutelde informatie zoals je keychain inderdaad kwijt. Het enige bijkomende voordeel van iets als Sign in with Apple of de iCloud+ Hide My Email feature is dat je wel je aangesloten account (je Apple ID zelf; je gebruikersnaam credential) kunt herkrijgen en daarmee weer de accounts waar je de login van kwijt bent.

Ik heb even de juiste pagina opgezocht voor passwordless en daar heb je wél kans je gegevens te herkrijgen, mits je niet óók je wachtwoord kwijt bent:

Passkey synchronization provides convenience and redundancy in case of loss of a single device. However, it's also important that passkeys be recoverable even in the event that all associated devices are lost. Passkeys can be recovered through iCloud keychain escrow, which is also protected against brute-force attacks, even by Apple.

iCloud Keychain escrows a user's keychain data with Apple without allowing Apple to read the passwords and other data it contains. The user's keychain is encrypted using a strong passcode, and the escrow service provides a copy of the keychain only if a strict set of conditions is met.

To recover a keychain, a user must authenticate with their iCloud account and password and respond to an SMS sent to their registered phone number. After they authenticate and respond, the user must enter their device passcode. iOS, iPadOS, and macOS allow only 10 attempts to authenticate. After several failed attempts, the record is locked and the user must call Apple Support to be granted more attempts. After the tenth failed attempt, the escrow record is destroyed.

Optionally, a user can set up an account recovery contact to make sure that they always have access to their account, even if they forget their Apple ID password or device passcode.

Edit: maarrr, als je je wachtwoord kunt recoveren, daarna vast ook je passkeys? Tenzij je ook je telefoonnummer kwijt bent, maar dan zit je ook wel echt in de penarie.

[Reactie gewijzigd door Blizz op 22 juli 2024 15:50]

jmvdkolk @Stroper • 4 mei 2023 11:31

Diverse wachtwoordmanagers hebben ondersteuning voor passkeys. Ik heb er een paar in Apple keychain zitten en een paar in Dashlane.

ExManolo 3 mei 2023 18:03

Ik vind dit veel te ingewikkeld worden. Hoeveel fouten kun je maken zodat het juist onveiliger wordt?

Blizz @ExManolo • 3 mei 2023 19:57

Wat bedoel je precies? Het wordt juist minder ingewikkeld omdat je niet meer met je wachtwoord hoeft in te loggen nadat je het instelt.

rookie no. 1 @Blizz • 3 mei 2023 20:51

Maar hoe ingewikkeld is het nou echt om met je (unieke) wachtwoord in te loggen?

ro8in @rookie no. 1 • 3 mei 2023 21:59

Het is blijkbaar voor heel veel mensen nog altijd behoorlijk lastig om een uniek wachtwoord voor elke dienst te maken en deze op te slaan. Vandaar ook dat Google en consorten druk bezig zijn om dit veiliger te maken ongeacht hoe dom mensen er mee omgaan.

Blizz @rookie no. 1 • 3 mei 2023 23:56

Ja als je één wachtwoord gebruikt voor alles is dat niet zo moeilijk. En dat is wat de meeste mensen daarom doen. En daar willen we graag vanaf. Dus maken we het simpeler én veiliger.

Sando @Blizz • 4 mei 2023 11:41

Wat bedoel je precies? Het wordt juist minder ingewikkeld omdat je niet meer met je wachtwoord hoeft in te loggen nadat je het instelt.

Ik heb datzelfde gevoel als @ExManolo. Begrijp me niet verkeerd hoor, ik ben een developer en het proces zelf is niet ingewikkeld. Het is ingewikkeld aan het worden om de implicaties in zijn geheel te (blijven) overzien. Misschien worden we te oud, en ben ik nu mijn opa die geen geld uit de muur wil pinnen. Maar bij een wachtwoord en eventueel een wachtwoord manager weet je precies waar de veiligheidsrisico's liggen. Je kunt bewust kiezen om geen wachtwoordmanager in de cloud te gebruiken, of om je allerbelangrijkste wachtwoord niet op te slaan, of om een aparte manager te gebruiken voor minder belangrijke wachtwoorden en alleen dié met je telefoon te synchroniseren.

Maar met een keypass en het FIDO-protocol komen allerlei vragen die je jezelf moet stellen. Op welke manieren kan deze login-methode allemaal onderschept worden? Op welke manieren kan een passkey van een gecompromitteerd apparaat gehaald worden? Hoe veilig is het als de hele key beschikbaar moet zijn achter iets simpels als een vingerafdruk gezichtsscan, waarvan de telefoon zelf waarschuwt dat het minder veilig is? En na het antwoord op die vraag de vervolgvraag: Als op veiligheid gerichte sites en ROMs zelf zeggen dat (tot nu toe) eigenlijk alleen de Pixel en Apple telefoons redelijk veilig zijn om sleutels achter biometrie of pin op te willen slaan omdat alleen deze telefoons een hardware-backed keystore hebben, durf ik het dan aan om mijn niet-pixel Android telefoon te gebruiken? Hoe vanzelfsprekend kunnen douane en politie straks met GrayKey of Cellebrite die keys van je telefoon afhalen? Hoe veilig zijn backups van deze sleutels bij bijvoorbeeld iCloud of Google, vergeleken met een backup van een database van een password manager die met een master password is beveiligd? Met andere woorden, bestaat de volgende Celebgate uit het op industriële schaal stelen van passkey-backups uit de cloud? Moet je overal een tweede hardware key aanmelden als backup voor het geval je primaire apparaat (smartphone) kapot gaat? Waar bewaar je deze tweede key? Onderin je rommel-lade? Is die key net zo onveilig als een briefje waarop je een wachtwoord hebt geschreven? Gaan we echt met zijn allen een kluis kopen? Is onze backup master hardware key dan net zo veilig als de sloten van de LockPickingLawyer op Youtube? Moet je eigenlijk een derde key bij iemand anders in huis leggen voor het geval je door een brand of natuurramp zowel je primaire apparaat als je backup hardware key kwijt bent?

Het is alsof je met een wachtwoord(manager) 2^2 implicaties hebt om rekening mee te houden, maar met passkeys 2^6. Dus het is wel makkelijker op geen wachtwoord te hoeven onthouden, maar voor mensen die graag hun eigen attack surface zo goed mogelijk overzien, komt het met een behoorlijk stukje huiswerk. Het is niet voor niets dat gemak vaak als omgekeerd evenredig aan veilig wordt gezien. Dit lijkt me dan ook primair een oplossing voor mensen die (nog steeds) geen wachtwoordmanager gebruiken en vaak overal (bijna) hetzelfde wachtwoord gebruiken. Als je al gewend bent aan een cloudloze wachtwoordmanager en TOTP/2FA op je andere apparaat, dan lijkt me dat vooralsnog veiliger. Maar ik kan het mis hebben.

[Reactie gewijzigd door Sando op 22 juli 2024 15:50]

Huppol 3 mei 2023 17:26

Ik heb toevallig een paar maanden terug Yubico aangeschaft. Als ik het goed begrijp, kan ik voortaan mijn Yubico gebruiken zonder eerst een wachtwoord op te geven?

En zijn er dan eigenlijk nog voordelen bij een externe key zoals een Yubico tov een device zoals mijn iPhone?

Rogers @Huppol • 3 mei 2023 17:39

Yubikey is veiliger, want dan hebben ze en je key en je apparaat nodig om in te loggen. Maar elke keer de key moeten pakken is ook niet zo heel handig.

Ik had graag gezien dat banken ondersteuning voor yubikey toevoegen om transacties te bevestigen als extra stap, ipv dat iemand alles zou kunnen met mijn telefoon.

Huppol @Rogers • 3 mei 2023 17:45

Daar heb je gelijk in wanneer het om 1 device gaat. Ik zat te denken aan een situatie waarop ik wil inloggen (of iets moet bevestigen als een bank transactie zoals jij noemt) waarbij ik verifieer via een extern apparaat. Dus mijn Yubikey of iPhone. Daar zit dan qua veiligheid niet meer zoveel verschil in?

Blizz @Huppol • 3 mei 2023 20:11

Er zijn altijd bepaalde karakteristieken die subjectief voordelen zijn. Stel je vindt het van belang dat het apparaat niet gevoelig is voor online aanvallen, dan is een fysieke key superieur. Stel je vindt het van belang dat je daadwerkelijk een poort gebruikt en niet draadloos, dan is een fysieke key zonder NFC superieur. Als je het ook wilt gebruiken als je telefoonbatterij leeg is, dan is die fysieke key wederom superieur. Dan is het de vraag of je deze voordelen het vindt opwegen t.o.v. een extra key met je meezeulen en misschien een passphrase moeten onthouden (tenzij er support is voor biometrie, in andere woorden: passwordless voor je fysieke key).

Als je dat echter allemaal wel goed vindt, dan zijn dit geen voordelen.

Bovendien rest de vraag wat je precies wilt bereiken met die beveiliging. Wil je gewoon een tweede verificatiestap die altijd wisselt (time-based)? Wil je biometrisch bevestigen dat jij fysiek bij het apparaat bent? Wil je offline verificatie voor het geval online malware een gevaar vormt? Stel je vindt het allemaal wel oké en je gebruikt graag Authy om ook op je computer je 2FA codes te kunnen gebruiken. Vind je het dan nog wel nodig om een aparte app te gebruiken?

Voorbeeld: je kunt de 1Password app gewoon gebruiken voor TOTP 2FA. Waarom een brakke Google Authenticator app of alternatief downloaden als je wachtwoordbeheerder de 2FA code ook automatisch kan invullen als het je niet gaat om al die extra moeilijkheden zoals fysiek/offline/etc.? Het gaat er dus echt om wat je uit die 2e factor of 2e stap wilt halen, wat je ermee wilt bevestigen. (1Password ondersteunt nu trouwens ook passwordless, dus wanneer je ergens inlogt triggert de extensie automatisch je ingestelde passwordlessprovider, net zo 'magisch' als wanneer het stap na stap je gebruikersnaam, wachtwoord en 2FA-code automatisch invult en submit.)

Dus die Yubikey is alleen van toegevoegde waarde als jij er belang hecht aan wat die Yubikey uniek maakt.

Bij passwordless gaat het om bevestigen via een al eerder vertrouwd apparaat. Bij Apple is dat biometrisch en als dat niet ondersteund is of uitstaat, dan via je apparaatwachtwoord. Bij Microsoft kun je kiezen om een viercijferige pin te gebruiken. Ik weet uit m'n hoofd niet wat Chromebooks voor opties hebben, maar dat komt ongetwijfeld op hetzelfde neer.

Huppol @Blizz • 3 mei 2023 21:47

Zoals jij het nu omschrijft opteer ik in dat geval liever voor passwordless met verificatie via biometrie of (in mijn geval) een 6-cijferige pincode. Ik gebruik mijn Yubikey eigenlijk alleen voor enkele grote accounts met het idee dat het veiliger is dan een 2fa code zoals Authy.

Thanks voor je uitleg.

mutley69 @Huppol • 3 mei 2023 22:05

Biometrie is geen beveiliging. Iets dat zichtbaar of waarneembaar is, is per definitie nabootsbaar. Dat kan geen wachtwoordvervanger zijn. Zo simpel is dat. Zie de CCC die Schauble 2x te grazen nam met huis en keuken-middeltjes. Dat is al >20 jaar oud en toch moeten we blijven hameren dat biometrie hoogstens een user-id vervanger zou mogen zijn.

japie06 @mutley69 • 4 mei 2023 09:05

Biometrie is geen beveiliging. Iets dat zichtbaar of waarneembaar is, is per definitie nabootsbaar.

Hangt toch gewoon af wat jij veilig genoeg vindt? Als je bij de AIVD werkt moet je met meer zaken rekening houden dan een moeder met alleen een laptop in de keuken. Oftewel je threat model.

Anders kan je ook stellen dat elk wachtwoord per definitie te raden is.

Jean luc Picard @Rogers • 3 mei 2023 19:46

Dat heeft Rabobank de Random Reader, dan heb je je eigen device en een extra authenticatie op basis van je pin icm met je pas.

Dits is ontzettend irritant als je iets besteld met je creditcard in het buitenland met je telefoon en alsnog je Random Reader moet gebruiken ipv alleen de cvc.

Blizz @Jean luc Picard • 3 mei 2023 20:13

Ja, tegenwoordig is de vijfcijferige code die je in de app instelt al voldoende tenzij je specifiek elke keer dat apparaat wilt gebruiken, wat inderdaad ook vrij irritant is, zeker als je je f.lux uit moet zetten of als je het meerdere keren moet gebruiken. We zijn enorm verwend t.o.v. 20 kbps internet met fax- en modemgeluidjes.

Sando @Huppol • 4 mei 2023 12:25

zijn er dan eigenlijk nog voordelen bij een externe key zoals een Yubico tov een device zoals mijn iPhone?

Een Yubico is in theorie veel veiliger, maar in de praktijk onhandiger. Een smartphone is aangesloten op het internet. Dus de hele wereld kan bij wijze van spreken elke dag kijken of er al zero-days zijn die je nog niet gepatched hebt en zo proberen je sleutel te stelen.

Een Yubico ligt waarschijnlijk ergens in je huis verstopt. Dus alle bezoekers bij jou thuis kunnen proberen je sleutel te stelen. Over het algemeen is die groep mensen kleiner en betrouwbaarder. Maar je moet wel iets bedenken om niet digitaal buitengesloten te worden als je Yubikey door brand of een ander probleem niet langer beschikbaar is.

joco 3 mei 2023 18:07

heeft iemand ook al gevonden hoe dit voor google workspace gebruikers dit enabled kan worden?
ik kan het daar niet aan zetten en kan het ook niet zo vinden in de admin console.

falcon123 @joco • 3 mei 2023 18:27

De mogelijkheid voor Google workspace komt blijkbaar binnenkort >

For Google Workspace accounts, administrators will soon have the option to enable passkeys for their end-users during sign-in.

https://blog.google/techn...-the-end-of-the-password/

Linksquest Moderator Spielerij 3 mei 2023 20:52

In hoe verre kom je nog in je account als je bijvoorbeeld je device kwijt raakt of gestolen word. Want stel ik kan niet meer met wachtwoord ofzo inloggen op bijvoorbeeld Find my Android en mijn telefoon is weg, dan heb ik een uitdaging, kijk ik even op lang termijn als wachtwoorden zouden verdwijnen.

Ralph84 @Linksquest • 4 mei 2023 00:06

Je kan een back-up maken en die gebruiken op een ander device.

Voor sommige apparaten is het mogelijk om een back-up te maken, zodat de authenticatiesleutel ook toegankelijk is op andere apparaten. Dat geldt bijvoorbeeld voor Apple-apparaten die gesynchroniseerd zijn met hetzelfde iCloud-account, laat Google weten. Hierdoor wordt het voor gebruikers die hun toestellen verliezen, mogelijk om op een nieuw toestel in te loggen via het FIDO-protocol. Daarnaast is het mogelijk om op een nieuw apparaat eenmalig in te loggen met een passkey van een ander apparaat. Dit werkt alleen als dat andere apparaat in de buurt ligt en ontgrendeld is.

HKLM_ 3 mei 2023 19:40

Ik heb dit twee weken geleden al kunnen instellen voor mijn gmail account. Had een Yubico key aangeschaft en de meeste grote diensten wel kunnen om zetten.

Blizz @HKLM_ • 3 mei 2023 20:18

Je kunt al jaren een Yubikey instellen bij Gmail, passwordless is wat anders en maakt gebruik van je al vertrouwde apparaten en het simpeler en sneller maakt. Voornamelijk vergelijkbaar in dat je de beveiliging opschroeft natuurlijk.

HKLM_ @Blizz • 3 mei 2023 20:57

Je hebt gelijk, ik was te snel

shadowheart 3 mei 2023 20:56

Nice werkt goed

Op dit item kan niet meer gereageerd worden.

Google voegt wachtwoordloos inloggen met passkeys toe aan Google-accounts

Lees meer

Sterven wachtwoorden uit?

Reacties (52)

Lees meer

Sterven wachtwoorden uit?

Reacties (52)

Sorteer op:

Weergave: