GitHub maakt wachtwoordloos inloggen via passkeys in bèta mogelijk

Nu loggen veel mensen in diensten in met een Facebook/Google/Microsoft-account, en heb je hetzelfde probleem.

Kan je in GitHub zelf niet een vertrouwde Relying Party-server opgeven? Zo ja, kan je het altijd nog zelf hosten. Verder zie ik geen probleem zolang het niet verplicht is.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 10:39]

Is de relying-party niet gewoon de server waar je op authentificeert? Dus precies hetzelfde waar je nu nog je username/password invult?

Dit klopt niet helemaal. Meestal draait de webauthentication API in de browser en die handelt de user side af. De Relaying party operations worden door de server afgehandeld. Dit kan betekenen dat ze calls doen naar andere services. Maar dat hoeft zeker niet.

In Principe moet je gewoon een public key registeren. Nu zijn er mogelijkheden om te zeggen nee alleen echter yubikeys bijvoorbeeld. Maar dan nog kan dat ook gebaseerd zijn op de yubikey public key. Dus zonder dat je met yubikey moet praten. Maar er zijn ook varianten mogelijk dat je wel met een 3rdparty moet praten.

De bewoording is misschien een beetje ongelukkig maar als je inlogt met je security key of met 1password passkey of met je face id enabled iphone. Dan hoeft het allemaal niet. Sterker nog ik denk dat in veel gevallen ze dit allemaal lokaal op de servers van github zullen afhandelen omdat dat gewoon een dependency op andere services weg haalt en sneller is.

Als het goed is zul je om authenticatie worden gevraagd bij het gebruik van de passkeys. Dat kan biometrie zijn (zoals je vingerafdruk of de 3D-gezichtsherkenning van Apple en Windows, bijvoorbeeld) maar ook een wachtwoord.

Als je een externe key gebruikt die geen verdere verificatie eist, zoals de goedkopere Yubikeys zonder vingerafdrukscanner, zul je de sleutel mee moeten nemen naar de WC. Een fysieke authenticatiesleutel in je PC achterlaten is als je sleutelbos in de voordeur achterlaten, dan is het snel gedaan met de beveiliging. Het voordeel van een fysieke sleutel is dat je geen losse wachtwoorden meer nodig hebt, het nadeel is dat je je sleutel wel goed moet bewaken.

Maar goed, als je je PC ingelogd achterlaat kan men net zo goed een keylogger installeren of de JWT tokens uit je browser stelen.

Dat zelfde kan ook als mensen hun wachtwoorden opslaan in de browser, die automatisch alles in vult zonder authenticatie.

Desalniettemin, Het idee achter passkeys is dat deze keys in bijvoorbeeld de TPM chip worden opgeslagen en enkel dmv authenticatie met pin/biometrische gegevens kan worden gebruikt.

[Reactie gewijzigd door Raphire op 23 juli 2024 10:39]

2FA op zichzelf is niets meer dan het hebben van 2 beveiliging methodes, ongeacht hoe veilig deze zijn. Gebruikelijk wordt 2FA geimplementeerd met een wachtwoord als 1e "factor" en een Time-based One-Time Password, die 6-cijferige codes die iedere 30 seconden veranderen of in sommige gevallen naar je SMS of e-mail verzonden worden.

TOTP via E-mail, SMS of authenticator app is beter dan niets, maar het biedt geen bescherming tegen phishing, waarbij de "foute pagina" je gewoon ook om die 6-cijfere code kan vragen, of er 1tje kan opsturen door in te loggen bij de "echte loginpagina" met de username/password die jij net hebt opgegeven.

SMS en E-mail kan vaak gelijktijdig gehackt zijn met het platform waarop een aanvaller probeert in te loggen, wat het een zwakke methode maakt (maar beter dan niets). Bij een TOTP via authenticator app zit de "secret key" in ieder geval in jouw telefoon en hebben ze echt jou nodig om die code over te typen, maar je kan die alsnog intypen in een nep pagina.

Passkeys automatiseren het hele proces. Net als TOTP is er een secret key (ergens), alleen ipv dat jij handmatig de gegenereerde code moet overtypen, gaat het volledig automatisch en hoef je alleen maar te bevestigen dat je inlogt. De passkey provider zal alleen tokens genereren voor exact dezelfde domeinnaam en username, dus phishing is hierbij niet mogelijk. Jij zal vrijwel altijd moeten bevestigen dat je inlogt, soms kan dit door ergens te klikken, en in het geval van een Yubikey moet je de key fysiek aanraken (iemand die je PC heeft overgenomen kan dat dus niet doen)

Passkeys zijn wat mij betreft zoveel veiliger dan wachtwoorden, TOTP via auth-app, SMS of E-mail, dat het voldoende moet zijn om exclusief met passkeys te werken en gewoon de rest de deur uit te doen. Naar mijn mening moet het dan wel blijven werken met Yubikeys of vergelijkbaar, want in geen geval laat ik mijn secrets achter in een cloud Merk op dat je yubikey of whatever provider vrijwel altijd ook vraagt om een pincode of "master password" om deze te unlocken; een gestolen key biedt dus nog geen toegang. Deze master password of pincode komt echter nooit je systeem uit, dus die kan niet lekken door hergebruik, en zelfs als ze wel de master password of pincode hebben, moeten ze je eventuele fysieke key ook nog fysiek verkrijgen.

Merk op dat de meeste websites het mogelijk maken om meer dan 1 provider te nemen. Zo heb ik 2 yubikeys geregistreerd. Als ik er 1 verlies, kan ik de ander nog gebruiken.

[Reactie gewijzigd door Gamebuster op 23 juli 2024 10:39]

Het is makkelijker en veiliger dan username/password. Het ding is namelijk dat er niets meer gelekt kan worden. Ook een MFA sessie schijnt gekaapt te kunnen worden, met Passkeys heb je dus ALTIJD het device zelf nodig om te kunnen inloggen.

Wat @Anoniem: 710428 eigenlijk ook al zegt. Je wilt niet elke dag 30+ minuten bezig zijn met inloggen op websites en MFA afhandelen, gewoon inloggen met FaceID/Windows Hello en dan overal bij kunnen (en dat die sites dan authenticeren onder water met private/public key pairs zal mij een zorg zijn, zolang het maar veilig gaat en snel is).