PayPal brengt wachtwoordloos inloggen wereldwijd uit

Betaaldienst PayPal brengt zijn ondersteuning voor wachtwoordloos inloggen via passkeys wereldwijd uit. Dat heeft het bedrijf laten weten. Tot nu toe was dat alleen beschikbaar in de Verenigde Staten.

PayPal ondersteunt passkeys vanaf komende weken in alle landen waar het actief is, zo laat een woordvoerder namens het bedrijf weten aan Tweakers. Het bedrijf heeft geen algemene aankondiging gedaan, maar stuurt wel per land aankondigingen uit, zoals deze voor het VK. PayPal ondersteunt in de VS passkeys op Apple-apparatuur sinds eind vorig jaar en sinds een paar maanden op Android.

Passkeys zijn een product van de FIDO Alliance, een samenwerkingsverband van techbedrijven zoals Google en Microsoft, beveiligingsbedrijven zoals Yubico en wachtwoordmanagementmakers zoals 1Password. Het doel van de alliantie is de ontwikkeling en adoptie van universele standaarden voor multifactorauthenticatie en wachtwoordloos inloggen. Passkeys zijn daar een vorm van; zulke passkeys maken van een smartphone een fysieke beveiligingssleutel. Tweakers schreef een achtergrondverhaal over wat passkeys zijn en hoe die werken.

Ondanks de steun van veel grote techbedrijven zijn er relatief weinig websites en diensten die gebruikmaken van passkeys. Veel wachtwoordmanagers, zoals die van Android en iOS, maar ook 1Password, Bitwarden, Dashlane en LastPass, ondersteunen passkeys.

Reacties (68)

RoestVrijStaal 27 juni 2023 23:14

Websites zoals bijvoorbeeld TicketSwap laten zien dat "wachtwoordloos inloggen" nog veel simpeler kan.

Je voert gewoon je e-mailadres in en krijgt een e-mail met login code dat voor een x tijd geldig is. Geen verplichting voor nog een apparaat of specifieke webbrowser nodig.

En zolang passkeys niet door multi-platform FOSS software zoals bijvoorbeeld KeepassXC ondersteund wordt, beschouw ik het als "vendor-lock-in"-feestje en ga ik er niet eens aan beginnen.

Qlimaxxx @RoestVrijStaal • 28 juni 2023 01:22

Op zich is het veiliger dan geen 2 factor of bijvoorbeeld SMS. Het valt of staat echter met hoe goed je mailbox is beveiligd. Je mailbox is trouwens sowieso een van de belangrijkste zaken om goed te beschermen, juist omdat het de fallback is voor bijna al je accounts voor wachtwoord herstel.

Ten opzichte van FIDO heeft het wel een aantal nadelen. Zo vereist het klikken of overtypen, wat je weer kwetsbaar maakt voor phishingaanvallen. Ook is het plain text, dus tenzij je een pin of biometrische beveiliging op je e-mail applicatie hebt, kan iedereen erbij als je computer of telefoon niet vergrendeld is. Bij Passkeys is er altijd sprake van een 2e factor. Denk aan vingerafdrukscanners, gezichtsherkenning of een pincode.

Nu veel grote bedrijven er eindelijk aandacht aan schenken zou het wel eens heel snel afgelopen kunnen zijn met wachtwoorden voor veel platforms.

avlt @Qlimaxxx • 28 juni 2023 18:16

Passkeys staan of vallen met de beveiliging van je telefoon.

Als jij je telefoon kwijtraakt én je pincode (die b.v. afgelezen is ergens), heeft een dief toegang tot al je passkeys. En hij kan de toegang ertoe blokkeren voor alles en iedereen behalve de telefoon die hij juist buitgemaakt heeft.

Zelfe geldt voor een Yubi-key en pincode verlies/diefstal.

Dus voor mij voorlopig even geen passkeys.

Mausssie @avlt • 29 juni 2023 09:53

Als jij je telefoon kwijtraakt én je pincode (die b.v. afgelezen is ergens), heeft een dief toegang tot al je passkeys. En hij kan de toegang ertoe blokkeren voor alles en iedereen behalve de telefoon die hij juist buitgemaakt heeft.

Dat is ook exact de reden, waarom ik nog niet heel happig ben op passkeys. Gebruik nu liever nog gewoon Authy voor mijn 2FA, wat ik heb beschermd met een extra/andere pincode.

Zelfe geldt voor een Yubi-key en pincode verlies/diefstal.

Wat bedoel je hiermee? Ik gebruik mijn Yubikey als 2FA. Dus zonder mijn wachtwoord voor een account, kan niemand wat met die losse key.

Knolselderij @avlt • 29 juni 2023 11:46

Hetzelfde geld voor een inlognaam en wachtwoord? Als je die 'kwijtraakt' en iemand heeft daar toegang toe, kan hij toch ook overal inloggen?

Je telefoon als fysieke sleutel tot online inloggen gebruiken is dan toch minstens zo veilig? zeker met bijvoorbeeld een tijdslimiet?

Qlimaxxx @avlt • 1 juli 2023 13:18

Het idee van passkeys is dan ook dat je een backup-methode hebt. Als als je gewoon een Yubikey in een kluis hebt liggen thuis, dan kun je verder gewoon Windows Hello, TouchID of FaceID gebruiken.

Het is vrijwel altijd een compromis tussen gebruiksgemak en security. Behalve als je je passkeys beveiligd met 2 factoren. Iets fysieks dat je hebt (een smartphone, laptop, of een Yubikey) en iets dat jij weet/bent (biometrische gegevens of een pincode).

Ja, met een wachtwoord en 2FA code is er ook sprake van iets dat je weet en iets dat je hebt. Maar TOTP apps vallen en staan bij de security van die apps. SMS is al veel minder veilig, codes via e-mail zijn maar zo veilig als je je mailsysteem maakt (geen garantie dat je je mailbox goed beveiligd hebt, of je secundaire mailbox waarmee je je hoofd mailbox het wachtwoord kan resetten, en je neemt dan aan dat je mail provider rock solid is evenals de systemen waarop je ingelogd staat).

En dan gaan we nog even voorbij aan het feit dat bovenstaande methodes allemaal (veel meer) vatbaar zijn voor social engineering. We weten allemaal dat de mens vaak de zwakste schakel is. De meeste data lekken ontstaan volgens mij ook uit menselijke fouten.

Passkeys, zeker met biometrische factor, zijn zowel meer gebruiksvriendelijk als veiliger dan wachtwoord + 2FA. Idealiter werk je niet met pincodes, maar deze zijn al een stuk veiliger als je ze combineert met een fysieke factor.

Stel jezelf deze vraag:
Gebruik jij 30+ willekeurige karakter lange wachtwoorden, uniek voor elk service? Zo ja, dan heb je vast een passwordmanager? Hoe heb je die beveiligd?

Heb je je TOTP-codes local only? (Microsoft/Google Authenticator) of heb je ze op een dienst als Authy? In het eerste geval is kwijtraken een groot probleem. Apps als Authy beveilig je met een wachtwoord of passphrase. Is deze ook extreem veilig? Zo ja? Hoe onthoud je die? Of staat die toevallig ook in de passwordmanager waar je 1e factor ook staat?

Zelfs al kan jij zulke goede wachtwoorden onthouden, dat kunnen de meeste mensen niet.

[Reactie gewijzigd door Qlimaxxx op 23 juli 2024 01:03]

laurxp @RoestVrijStaal • 28 juni 2023 03:40

Dat is leuk, totdat er een keer vertraging zit in de email. Een tijdje terug hadden we dat probleem op mijn werk: de inlogcode was 5 minuten geldig, maar de email kwam pas na een minuut of 12 binnen.

iAR @RoestVrijStaal • 28 juni 2023 06:50

Ik vind dit dus totaal onhandig. 2FA codes per sms worden nog wel automatisch ingevuld zonder te wisselen maar bij mail niet, erg onhandig.

Pinkys Brain @RoestVrijStaal • 28 juni 2023 09:10

Het mooiste zou zijn als AMD/Intel/Microsoft/Google samen een passkey systeem maken waar de passkeys wel portabel zijn. In hun eentje een ecosysteem bouwen wat met Apple kan concurreren is zelfs voor Google bijna onmogelijk. Als ze dit niet doen gaat dat de marktaandeel groei van Apple in stroomverstelling brengen, ze hebben zeer weinig tijd.

AMD/Intel kunnen met de PSP/ME de passkeys afschermen van het OS (TPM is te beperkt voor passkeys).

MXMasterNL @RoestVrijStaal • 28 juni 2023 11:16

Het hele idee achter 2FA, en nu passkeys, is nou net dat een hacker niet voldoende heeft aan alleen (toegang tot) een emailadres en een wachtwoord.

Het systeem dat jij schetst voldoet daar niet aan en is daarmee niet veel veiliger dan beveiliging met puur een emailadres en een wachtwoord.

Sysosmaster

@RoestVrijStaal • 28 juni 2023 21:43

Maar, dat worden ze wel.
Specifek in de naam van de Nitrokey 3 van https://www.nitrokey.com/
welke zels op hardware nivo 'open' zijn.

je hebt wel dan wat hardware nodig, maar dan die je het wel zelfs beter dan die passkey oplossingen die via je telefoon werken.

(overigens zit je niet aan een vender vast.... meer dat die sleutel aan een device of vender vast zit... de standaard is gewoon helemaal open.)

SinergyX 27 juni 2023 21:13

With the Chrome browser on your Android 9+ device, log in to PayPal using your existing credentials.

Blijf het vaag vinden dat nog steeds Chrome als 'eis' wordt vermeld.

Na nu 2x met telefoon issues te zitten, ga ik juist weer weg van 'alles via de telefoon', het voelt bijna als een single point of failure wanneer je zonder komt te zitten, juist in een tijd waar ik steeds vaker bewust mijn telefoon gewoon wegleg of zelfs thuis laat.

Mizgala28 @SinergyX • 27 juni 2023 22:13

Sowieso gebruik ik liever geen Chrome.

Kennis had zo’n issue tijd terug, telefoon was stuk en hij kon niet normaal bij z’n bank (ING) erdoor.

En klantenservice deed nogal moeilijk vanwege privacy en veiligheid (deels te begrijpen) dus hij moest uiteindelijk naar een kantoor in zijn stad.

Mijn bank heeft nog zo’n los apparaatje, die ondanks dat ik de app gebruik gewoon werkt.

En voor dingen als DigiD doe ik het nog via de SMS, vooral na al die ellende die ik heb meegemaakt toen ik het voor mijn ouders moest instellen.

Maar ook hier maak ik steeds vaker mee dat ik mij minder fijn voel met hoe afhankelijk je van je telefoon wordt, vooral door app dit en app dat.

Bank app heb ik vanwege betalen met telefoon zelf ingesteld, die keuze was aan mij, maar ik kan altijd terug vallen op mijn pas/cash en op de inlog apparaat van mijn bank… vraag is alleen hoe lang dit mogelijk blijft.

Vroeger vond ik het hebben van een smartphone ook een stuk leuker om het zo te noemen, muziek erop, chat apps erop, beetje browsen, ik was er niet afhankelijk van.

Maar als ik nu zie wat voor drama bepaalde mensen meemaken als hun telefoon stuk is, of erger gestolen, het is absurd hoe moeilijk het is om toegang terug te krijgen tot bepaalde diensten die je gebruikt.

Niet dat het vroeger veel beter was, maar nu creëren de instanties en bedrijven een point of failure, je smartphone.

BeyondThunder @Mizgala28 • 28 juni 2023 08:27

Maak altijd een backup van je MFA codes (Google/Microsoft Authenticator) op een andere telefoon. Dat scheelt heel veel gezeik

MXMasterNL @BeyondThunder • 28 juni 2023 11:02

Zowel Google als Microsoft ondersteunen inmiddels het backuppen van de codes naar respectievelijk Google Docs en Microsoft OneDrive.

penthadix @BeyondThunder • 28 juni 2023 12:20

Dit heeft mij inderdaad al een keer "gered".

Vlizzjeffrey @Mizgala28 • 27 juni 2023 22:29

Ik vind het ook maar vervelend dat ze tegenwoordig verwachten dat je altijd je telefoon op zak hebt, bij de supermarkt Lidl ook zo, krijg je op bepaalde producten enkel korting als je de QR code in de Lidl plus app op je smartphone laat scannen, kan je verplicht je smartphone meenemen als je boodschappen gaat doen, als je aanspraak wilt maken op korting/acties.

Ramoncito @Vlizzjeffrey • 28 juni 2023 13:15

De Lidl-app werkt in ieder geval nog zonder actieve internetverbinding (althans, zo is mij verteld door de klantenservice). De app van de Praxis werkt alleen met actieve verbinding. Ik heb zelf alleen een abbo voor bellen... Dat niet alleen: vroeger had je (zoals nu nog bij de Gamma en AH bijvoorbeeld) alleen een klantenkaart met streepjescode. De gegevens stonden dan op hún computers. Nu krijg je apps die je hele hebben en houden willen weten, je (aankoop)gedrag en locaties bijhouden en dat doodleuk doorspelen aan de winkelier.

Het vervelende van al die QR-codes en dergelijke apps, is dat de mensen die er echt gebruik van willen maken omdat ze de eindjes aan elkaar moeten knopen, vaak ook mensen zijn die dus geen gebruik maken van dergelijke smartphones. Ouderen, mensen met een (mentale) handicap, mensen die de techniek niet meer kunnen bijbenen of simpelweg mensen die het geld niet hebben voor een smartphone met duur abbo.

Spider-Gwen @Vlizzjeffrey • 28 juni 2023 01:10

Het is opzich ook wel raar als je hem niet bij je hebt. Wie doet dat nou als er niks mis mee is?

Wailing_Banshee

@Spider-Gwen • 28 juni 2023 07:14

Ik heb praktisch nooit mijn telefoon bij me als ik boodschappen doe... Genoeg mensen die niet perse hun telefoon bij zich hoeven te hebben hoor.

Sannr2 @Wailing_Banshee • 28 juni 2023 07:37

Dat lijkt me onhandig. Stel er gebeurt iets op straat, hoe bel je dan 112? Telefooncellen bestaan niet meer. Of stel je vergeet je sleutels, hoe bel je dan iemand die een reservesleutel heeft? Straks gaat ook de sirene niet meer en werkt dat via een bericht.

Waarom heb je hem niet bij je? Je kan hem toch op niet storen zetten als je even rust wilt? Dan is het nog steeds nuttig om hem mee te nemen.

africangunsling @Sannr2 • 28 juni 2023 09:56

Hehe je laat wel mooi zien hoe brainwashed je bent door je telefoon. In principe zijn alle situaties die je noemt vrij makkelijk op te lossen door mensen om je heen aan te spreken en om hulp te vragen. Maar kennelijk is dat een buitenaards concept voor je geworden door de smartphone wereld waar je in leeft... Hoe denk je dat mensen dit soort situaties oploste voor de uitvinding van de mobiele telefoon?

En daarnaast, heb je überhaupt in je hele leven al een keer gedacht 'maar goed dat ik bij deze spontane noodsituatie op straat mijn telefoon bij me had zodat ik 112 kon bellen!' ik in ieder geval niet.

[Reactie gewijzigd door africangunsling op 23 juli 2024 01:03]

eric.xkcd @africangunsling • 28 juni 2023 10:14

"Mensen om je heen aan te spreken..", om hen te vragen of ze 112 kunnen bellen met hun mobiele telefoon die zij wel bij zich hebben

Ik heb al zo vaak gedacht 'maar goed dat ik mijn telefoon bij me had'. Dat hoeft niet alleen 112 te zijn, maar ook een auto die niet start, vergeten sleutel, een opvang die belt dat je kind NU opgehaald moet worden (want doodziek), enz, enz. Als je een druk leven hebt maak je het jezelf nodeloos moeilijk door hem niet bij je te hebben.

soulcrusher @africangunsling • 28 juni 2023 11:27

Hoe denk je dat mensen lange afstanden aflegden voordat het vliegtuig, de auto of trein uitgevonden waren? Is dat ook een reden om maar niet met deze genoemde voertuigen te reizen? Mensen konden ook prima leven zonder internet en elektriciteit, dus waarom gebruik jij dat eigenlijk?

Dit soort vragen kun je overal bij stellen en zijn nogal een dooddoener. Er zijn tal van redenen waarom je graag altijd een telefoon bij je zou willen hebben en dat maakt je niet brainwashed. Dat jij besluit dat niet te doen is natuurlijk prima.

logix147 @africangunsling • 28 juni 2023 12:44

Ja - dat heb ik wel eens gedacht.

- Ik zit veel op de weg - als ik iets zie gebeuren zoals een auto met caravan die rookt (de caravan), dan ben je toch blij dat je 112 kan bellen - de eigenaar van die caravan was dat in elk geval wel. In 2019
- Auto vliegt uit de bocht, ben toen omgedraaid, was er 3 minuten later en ik was de eerste die 112 belde ervoor. Dit was ergens in 2017.
- In de supermarkt hebben collega en ik ook een reanimatie gedaan, met behulp van een 112 medewerkster. Dit was vorig jaar.

Dat zijn de 3 gevallen waarvan ik dacht fijn dat ik in elk geval kan bellen.

Portemonnee vergeet ik wel eens, kon toch met mijn telefoon betalen. Mijn telefoon = navigatie systeem, slot van mijn huis, brandmelder en camera systeem.

Dus ja - je kan het brainwashen noemen, maar smartphones met name zijn een toegangsdevice geworden voor veel diensten en het niet bij je hebben, kan voor jezelf nadelig uitpakken - missen van korting tot het bekopen als je ergens in een berm ligt en niemand anders die 112 voor je belt omdat het A/ niet gezien is B/ iedereen denkt, ah dat komt wel goed C/ je auto wel belt maar als jij T.K.O. tegen je deurstijl aanhangt, gaat het ook lang duren voordat de brandweer je vindt.

Ik noem het pas brainwashen als je op een wit strand ligt of midden in de natuur loopt en dan zegt; tis zo saai, want applicatie X doet het hier niet. Dan is er imho iets niet goed gegaan in de opvoeding?

Aldy @africangunsling • 28 juni 2023 18:33

Het woord 'Brainwashed' gebruiken, dat is pas gehersenspoeld. En waarom is iemand gehersenspoeld, die constateert dat er geen openbare telefooncellen meer zijn. Vroeger kende je zeker 10 telefoonnummers of meer uit je hoofd omdat er het enige geheugen bestond uit het opschrijven of je hersenen gebruiken. Hier heb je gelijk je antwoord op je vraag hoe mensen situaties oplosten voor de mobiele telefoon. Ben benieuwd hoeveel telefoonnummers jij nog uit je hoofd kent.

Nyarlathotep @Sannr2 • 28 juni 2023 08:26

Een beetje overtrokken inderdaad. Het kost meer moeite om je telefoon niet mee te nemen dan wél... En inderdaad gewoon op stil zetten. Sowieso staan op mijn toestel zowat alle notificaties en geluiden uit. Behalve die van directe familie (in geval van nood).
Er zijn veel meer redenen te bedenken om het toestel wél mee te nemen dan niet.

Wailing_Banshee

@Nyarlathotep • 28 juni 2023 10:57

Het kost mij meer moeite om m'n telefoon mee te nemen dan niet. Ik heb mijn telefoon niet altijd in m'n hand, hij kan overal in huis liggen. Moet ik eerst het hele huis weer af om te zoeken waar dat ding nu weer ligt (m'n portemonee zit altijd in de tas die ik meeneem naar m'n werk, dus die weet ik altijd waar die is).

Sleutels vergeten? Geen probleem, want dan is de deur ook niet op slot.
112 bellen in een winkelomgeving? Denk niet dat er een probleem is als ik m'n telefoon niet mee neem.
Geen sirene horen? Tenzij letterlijk niemand zijn telefoon meeneemt, geloof me, dat hoor je wel... En als ik ergens heen ga waar er letterlijk niemand om me heen is, heb ik meestal m'n telefoon wel bij me, omdat ik dan vaak foto's wil nemen omdat ik niet in de stad ben, maar ergens in de natuur (en ik daar met name m'n telefoon voor heb uitgezocht).

deadinspace @Sannr2 • 28 juni 2023 14:26

Waarom heb je hem niet bij je?

Dat mag hij toch gewoon zelf weten? Het is toch niet verplicht, tering zeg.

Stel dit, stel dat

Daar gaat het niet over hier. Waar het over gaat is dat een bedrijf je praktisch verplicht een smartphone te gebruiken. Niet "bij je te hebben", maar te gebruiken.

Ik zit daar ook niet op te wachten. Minder vanuit het oogpunt "wat als ik hem niet bij me heb" (al komt dat ook voor). Maar meer vanwege het feit dat niet elk bedrijf mij hoeft te tracken, al helemaal niet met een app op mijn telefoon.

Sannr2 @deadinspace • 29 juni 2023 14:49

Als ik vraag “waarom” verplicht ik hem toch niks? Het is gewoon vreemd. Z’n antwoord is ook wat wonderlijk, hij geeft aan vaak niet te weten waar hij is, terwijl het in de meeste gevallen wel een factor is in je 2FA, dus je ontkomt er bijna niet aan om er goed zorg voor te dragen en hem bij je te houden. Je hoeft ook geen zaken te doen met het bedrijf en je hoeft ook niet perse korting te krijgen toch? Allemaal je eigen keuze.

Mijn stellingen zijn gewoon wat praktische overwegingen waarom je anno 2023 normaal gesproken wel een telefoon bij je zou dragen. De introductie van de mobiele telefoon heeft nou eenmaal gezorgd voor het verdwijnen van de telefooncellen, of je dat nou wil of niet. De introductie van de smartphone heeft gezorgd voor allerlei vormen van klantenbinding waarbij een app van de winkelier centraal staat. Natuurlijk kun je er allemaal niet aan mee doen, maar je schiet vooral jezelf in je been.

Praktisch is er geen goede reden om hem niet bij je te hebben. Het klinkt vooral een beetje paranoïde om zo bang te zijn om ‘gevolgd’ te worden. Niemand die je tegen houdt, maar het zou wellicht wel verstandig zijn om er eens bij stil te staan dat het wat vreemd gedrag is dat niet werkelijk iets oplevert. De winkelier is namelijk helemaal niet geïnteresseerd in jou als individu. Het gaat meer om data te vergaren over groepsgedrag en het sturen van gerichte reclame. Die je prima kan negeren.

RTM93 @Wailing_Banshee • 28 juni 2023 15:24

Feitelijk verleg je het probleem en hoop ja dat je medemens dus wel 'gebrainwasht' is.

Vinnie.1234 @Spider-Gwen • 28 juni 2023 08:43

Ik stond letterlijk van de week in de Albert Heijn zonder telefoon. Toen ik in de AH was besefte ik pas dat ik daarom ook mijn Bonus kaart niet mee had.

Eigenlijk zouden mensen gewoon veel vaker dat ding thuis moeten laten, is echt nergens voor nodig. Misschien praat je is wat vaker met random mensen op deze manier. Het is een stuk makkelijker met iemand te praten in de bus of trein ls ze niet constant tegen een schermpje aan kijken

logix147 @Vinnie.1234 • 28 juni 2023 12:47

Ook als iemand tegen zo'n schermpje aan zit te staren kan je gewoon 'Hoi - mag ik je .... vragen?'

Vroeger toen ik nog 'uitging' had ik er ook weinig boodschap aan hoor dat de dame des huizes druk in gesprek was met haar vriendinnen... Ik wilde ook even een praatje maken.

Dat is een stukje mentaliteit + opvoeding die imho as we speak fubar is anno 2023.

sellh @Vinnie.1234 • 28 juni 2023 15:17

Als fietsers hier in Amsterdam het kreng eens collectief vergeten mee te nemen, wordt het een stuk veiliger op straat :-)

Ik heb mijn telefoon standaard bij me, maar aan de andere kant vind ik niet dat dat een vanzelfsprekendheid zou moeten zijn. Voor wie vindt zonder het ding de straat op te kunnen... waarom niet? Jaren terug had niemand zo'n ding.

Herinner me nog de eerste keer dat ik iemand met een mobiele telefoon in de trein zag (een meisje van een jaar of 18). Eind jaren 80 of begin jaren 90 zal het geweest zijn. Was een immens apparaat met nog een grotere antenne. Toen ze ermee ging bellen, werd er door de hele coupé gelachen. Dus wat nu heel normaal is, was in die tijd heel apart.

Vlizzjeffrey @Spider-Gwen • 28 juni 2023 17:25

Als ik naar de supermarkt ga ga ik daar naartoe om boodschappen te doen, daar heb ik mijn telefoon niet voor nodig. In de zomer als ik een korte broek draag met kleine broekzakken, dan is het heel irritant als ik mijn telefoon moet meenemen als ik hem eigenlijk niet eens nodig heb.

SirLenncelot @Vlizzjeffrey • 27 juni 2023 22:45

Die kortingen in die app zijn zo miniem dat je het volgens mij alleen al aan stroom, data en afschrijving van je toestel bespaart door het niet te doen.

ATIradeon8500 @SirLenncelot • 28 juni 2023 00:31

Nou, voor een keer in de 2-3 weken een gratis pak vla, hagelslag, boter enz kun je heel wat jaren je phone van accusap voorzien. Dus jouw stelling gaat niet op.

Vlizzjeffrey @SirLenncelot • 28 juni 2023 17:26

Paar weken geleden nog tomaten voor 1 euro per kg, enkel met de Lidl app kreeg je die korting.

dimdek @Vlizzjeffrey • 29 juni 2023 13:18

Ik denk alleen dat Lidl met de kennis die ze inmiddels over je hebben vergaard die korting al weer heeft terugverdiend.

Vlizzjeffrey @gianluca194 • 28 juni 2023 17:27

Ondertussen is dat woordje al zo uit de mode dat je er zelf 1 bent als je het nog gebruikt

GertMenkel

Beveiliging en antivirus

@SinergyX • 27 juni 2023 23:03

Nou, Firefox heeft geen Passkeys, bijvoorbeeld.

Andere browsers hebben het wel maar niet-Google passkeys komen pas in Android 14, dus browsers zullen zelf hun eigen alternatief moeten bedenken of de Google Passkeys zien te implementeren.

Overigens hoeven passkeys niet via je telefoon te lopen. Als je computer een TPM heeft (de meeste wel, is tenslotte een vereiste voor Win11) en je browser het ondersteunt, kun je ook passkeys op je desktop registreren. In de praktijk is dat volgens mij alleen Safari + macOS, maar Windows 11 gaat het ook ondersteunen aldus het nieuws van vandaag.

[Reactie gewijzigd door GertMenkel op 23 juli 2024 01:03]

mr_evil08 @SinergyX • 28 juni 2023 07:33

Terwijl in deze tijd het steeds meer onmogelijk wordt om je telefoon thuis te laten, denk aan autopech, praatpaal? Oh nee is weg, iemand anders aanhouden om te bellen? Met al die scam/phishing zijn mensen daar ook voorzichtig in geworden.

Dit is 1 voorbeeld van de vele, een uitgeschakelde telefoon meenemen is ook voldoende.

Zelf heb ik ook niet alle tokens op mobiel om precies dezelfde reden.

[Reactie gewijzigd door mr_evil08 op 23 juli 2024 01:03]

iAR 28 juni 2023 07:25

Ik heb voor mijn Google burner account een passkey ingesteld, op zich praktisch. Maar het wachtwoord staat nog in mijn manager en is ook nog te gebruiken om in te loggen.

Dat lijkt me toch een issue. Doordat het een alternatief is, wijzig je je wachtwoord niet meer. En als dat niet al een complex wachtwoord was, dan kunnen anderen fiasco’s toch nog via een hack inloggen dunkt me.
Hoe zet je een wachtwoord compleet uit? Of is dat onmogelijk?

mjl @iAR • 28 juni 2023 12:24

Gister nog een halve dag mogen puzelen om op een oud itunes account in te loggen. Was nog beschermd met security vragen waarvan niemand het antwoord nog wist...

Apple kon me niet helpen, "helaas dan moet u maar een nieuw account aanmaken" (nee dan kopen we dit keer een android want die zijn toch al goedkoper).

Uiteindelijk een oud device gepakt en met alleen het wachtwoord kon ik wel inloggen en 2FA instellen. Dat werkte wel alleen Apple weet zelf niet dat dat ook nog kan....

Je bent dus makkelijk controle kwijt over een account als je de authentication informatie niet meer hebt. Een keepass met meerdere backups is minimaal nodig en ook je masterpassword moet je iets mee... stel ik krijg een ogeval of TIA, raak mijn geheugen (deels) kwijt en kan nergens meer in komen. Zal ons gezin niet handig vinden

iAR @mjl • 28 juni 2023 12:35

Doorgaans zijn security vragen zo duidelijk dat je het antwoord wel moet weten, dus dat is dan toch echt een user probleempje als je het mij vraagt.

En wat je als login gebruikt, het heeft allemaal zijn nadelen. Je moet dus een afweging maken.

mjl @iAR • 28 juni 2023 13:11

Het was een ‘gezamenlijk’ account, degene die ‘m aangemaakt heeft zal vast niks zinnigs ingevuld hebben

Overigens was de eerste vraag iets van: wie was je eerste baas, alsof ik me nu nog kan herinneren wie de eigenaar was van mijn eerste baantje… moet ik op LinkedIn gaan kijken … ja dat is lekker veilig zo een vraag….

[Reactie gewijzigd door mjl op 23 juli 2024 01:03]

iAR @mjl • 28 juni 2023 22:00

Gezamenlijk en lastige vragen uitkiezen, dat doe je dan toch echt zelf. Sorry.

mjl @iAR • 28 juni 2023 22:46

De vragen waren vast, 1 persoon heeft de vragen ingevuld, die werkt er niet meer

is ook al een jaar of 8 geleden denk ik maar goed ik ben er weer in gekomen en heb het account kunnen opheffen.

sellh @iAR • 28 juni 2023 13:43

Dat vind ik dan weer het bezwaar van dat soort security vragen. Antwoorden op vragen: "Wat is de naam van je moeder" of "In welke plaats ben je geboren" zijn niet zo moeilijk door derden te achterhalen.

World Citizen 27 juni 2023 23:16

Ik gebruik dit soort software ook, maar het blijft me tegen de haren strijken.

Een single point of failure inbouwen voor je wachtwoorden. Ipv een goed wachtwoordbeleid stap je over naar een product wat een single point of failure is.

"Al je wachtwoorden goed beveiligd en makkelijk inzetbaar".
Maar in praktijk heb je eigenlijk nog maar 1 wachtwoord. Het wachtwoord waarmee je toegang krijgt tot al je wachtwoorden.
2FA helpt, maar uiteindelijk ga ik nog steeds terug van 100 wachtwoorden naar 1 ding.

Geneuzel wellicht, maar het blijft me raar aanvoelen.

jaquesparblue @World Citizen • 28 juni 2023 05:36

Nordpass heeft in die zin 2 lagen. Op een nieuw apparaat moet je eerst aanmelden via je reguliere Nord account, met 2FA, voordat je Nordpass in kan met je master.

Ramoncito @World Citizen • 28 juni 2023 13:29

Maar in praktijk heb je eigenlijk nog maar 1 wachtwoord. Het wachtwoord waarmee je toegang krijgt tot al je wachtwoorden.
2FA helpt, maar uiteindelijk ga ik nog steeds terug van 100 wachtwoorden naar 1 ding.

Geneuzel wellicht, maar het blijft me raar aanvoelen.

Nee hoor, niet echt geneuzel. Het probleem is beperkt als er slechts één wachtwoord openbaar is geworden voor één van je accounts. Maar als je hoofdwachtwoord gecompromitteerd is, moet je meteen alle wachtwoorden vervangen voor al je accounts. Als je altijd inlogt met Google/FB/Twitter/Discord etc, en je raakt zo'n wachtwoord kwijt, dan zijn ook meteen al die andere websites gecompromitteerd, en de ellende niet te overzien...

GekkePrutser 27 juni 2023 21:21

Alleen passkeys of kan ik ook gewoon met mijn FIDO2 token passwordless inloggen zoals dat kan op Office 365? En er moeten wel meerdere toegevoegd kunnen worden als backup, dat is ook iets dat bij PayPal tot nu toe helemaal niet mogelijk was (zelfs niet met 2FA FIDO functionaliteit).

SjonSaus @GekkePrutser • 27 juni 2023 22:10

Ik ging het meteen checken en je kan nu inderdaad ook een FIDO2-sleutel instellen. Echter kan je er maar een configureren, dus als je met een backup werkt, kan je dat niet instellen. Wel vereisen ze voor de registratie van de FIDO2-sleutel, dat je daarnaast ook een One-Time-Password middels bijv. een Microsoft of Google Authenticator-app instelt.

[Reactie gewijzigd door SjonSaus op 23 juli 2024 01:03]

GekkePrutser @SjonSaus • 27 juni 2023 22:12

Oh daar heb ik helemaal niks aan, jammer. Die appjes vind ik zo irritant.

Wat ik wil is gewoon echte passwordless dus token + PIN (pin is de tweede factor). En natuurlijk meerdere.

Overigens kon je al een fido sleutel instellen maar alleen als 2FA. En toen ook maar eentje, helaas.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 01:03]

R4gnax @SjonSaus • 27 juni 2023 22:15

Echter kan je er maar een configureren.

Opmerkelijk. Daarmee houden ze zich niet aan de specificaties.
Die stellen vziw dat het mogelijk moet zijn om meerdere authenticators te registreren.

Als ik me niet vergis betekent dit dan ook dat ze eigenlijk niet officieel mogen claimen dat ze FIDO passkeys ondersteunen?

[Reactie gewijzigd door R4gnax op 23 juli 2024 01:03]

Ralph84 27 juni 2023 21:40

Nice, ik hoop dat meer bedrijven zullen volgen, maar zover ik weet ondersteunt 1Password het nog niet publiekelijk alleen voor de beta en dev gebruikers.

[Reactie gewijzigd door Ralph84 op 23 juli 2024 01:03]

.MaT 27 juni 2023 21:50

Langs de ene kant mooi mee met de tijd gaan en langs de andere kant een limiet van 20 characters op je wachtwoord..

Niet dat het zo'n ramp is met 2FA maar kom, van een een dienst die met geld omgaat mag je toch iets meer verwachten?

mjl 28 juni 2023 00:25

Ik kan niet wachten tot het mogelijk wordt mijn iPhone te kunnen gebruiken om passwordless in te loggen op een windows machine. Lijkt me ideaal om op alle PC's die ik gebruik niet overal weer een ander password te moten opzoekken in (bijvoorbeeld) keepass!

Pinkys Brain @mjl • 28 juni 2023 07:24

Moet je altijd je iphone binnen bluetooth bereik hebben en af en toe biometrisch/pin identificeren op je iphone. Kan je beter meteen een macbook kopen. Die kan syncen met je iphone passkeys.

Waarmee je dan het grootste probleem van passkeys ziet, het bouwt de muur om de ecosysteem tuin weer wat groter.

[Reactie gewijzigd door Pinkys Brain op 23 juli 2024 01:03]

mjl @Pinkys Brain • 28 juni 2023 12:19

Ja, maar ik ga ze op mijn werk niet overtuifgen alle Windows PC's te vervangen voor een Mac

nagenoeg geen enkele leverancier van de aplicaties die we gebruiken ondersteund dat ...

Bluetooth zit op bijna elke PC en is makkelijk toe te voegen, NFC er bij en je kan zelfd touchless inloggen. Helaas is de markt nog niet zover dat dit met een iphone kan, tot nog toe alleen dedicated wearables met NFC en bleutooth gevonden waar dit mee kan.

Pinkys Brain @mjl • 28 juni 2023 12:53

NFC is niet ontworpen om touchless inloggen veilig te doen, dan hadden ze een protocol in moeten bouwen om onder een nanoseconde de latency tussen de apparaten te meten (had ook makkelijk gekunt, worden de NFC ICs een cent duurder, maar niemand heeft de wil om het door te drammen bij de standaard). Kijk naar de recente Tesla PoC relay hack.

Het is niet een heel realistische bedreiging maar toch, NFC bewijst niet dat de iphone dicht in de buurt is van de computer.

mjl @Pinkys Brain • 28 juni 2023 13:08

NFC is meer de ‘proximity’ sensor, vervolgens is de authenticatie via Bluetooth en een applicatie op de PC (verbinden met een server die de rechten haalt uit AD).

Authenticatie is biometrisch op de wearable (fingerprint).

avlt 28 juni 2023 11:10

Passkeys op zich zijn heel veilig, veiliger dan wachtwoorden omdat ze niet te kraken zijn. Maar toch gebruik ik ze niet.

Wat mij er van weerhoudt om ze te gebruiken is het het feit dat ze op mijn telefoon staan. Wat als die defect raakt? Dan heb ik een probleem. En een nog veel groter gevaar is: wat als mijn telefoon gestolen wordt samen met mijn pincode (pincode kan een keer meegelezen zijn).

Met alleen de pincode en de telefoon liggen alle passkeys in handen van de telefoondief.

Raphire @avlt • 28 juni 2023 23:41

Wachtwoordmanagers als 1password ondersteunen ook langzaamaan passkeys. Hierdoor staan ze niet op 1 apparaat, maar kun je ze (zodra dit helemaal geimplementeerd is) op elk van je apparaten gebruiken. \

sellh 28 juni 2023 13:50

Als dubbele authenticatie voor PayPal en ook voor andere systemen, zoals Joomla, waarin ik mijn webpagina beheer, gebruik ik al enige tijd een YubiKey die standaard in mijn desktop PC ingeplugd is.

Buitenshuis gebruik ik authenticatiecodes.

YubiKey maakt het inloggen voor mij dus niet veiliger, maar wel makkelijker en sneller. Hoef op mijn thuiswerkplek niet telkens voor dubbele authenticatie mijn telefoon te pakken, de authenticator te starten en de 6-cijferige code in te tikken, maar slechts even de Yubikey aan te tikken.

Het invullen van het wachtwoord is voor mij overigens geen bezwaar, want dat wordt keurig door 1Password gedaan.

[Reactie gewijzigd door sellh op 23 juli 2024 01:03]

Op dit item kan niet meer gereageerd worden.

PayPal brengt wachtwoordloos inloggen wereldwijd uit

Lees meer

Sterven wachtwoorden uit?

Reacties (68)

Lees meer

Sterven wachtwoorden uit?

Reacties (68)

Sorteer op:

Weergave: