WhatsApp werkt aan ondersteuning voor passkeys

WhatsApp werkt aan ondersteuning voor passkeys voor tweetrapsauthenticatie. De biometrische inlogmethode of cijfercode waarmee gebruikers zich authenticeren, wordt dan op Android opgeslagen in het Google-account.

WhatsApp heeft die functie toegevoegd in een recente bètaversie van zijn Android-app, schrijft WABetaInfo. De functie zit specifiek in versie 2.23.17.5.

Gebruikers kunnen in die WhatsApp-versie hun authenticatiemethode, zoals een vingerafdruk of gezichtsscan, opslaan als een passkey. Dat is een nieuwe inlogmethode die wachtwoorden moet vervangen. Tweakers schreef eerder dit jaar een achtergrondartikel over hoe passkeys werken.

Passkeys worden bijvoorbeeld opgeslagen op een fysiek apparaat of in een wachtwoordmanager. In de bèta van WhatsApp is het mogelijk om de passkey op te slaan in de Google Password Manager, de wachtwoordmanager op Android die passkeys sinds vorig jaar ondersteunt. Het gaat dan om de authenticatie waarmee gebruikers zich moeten authenticeren als ze WhatsApp opnieuw installeren op een nieuw apparaat. Het is niet bekend wanneer WhatsApp de feature wil uitbrengen voor alle gebruikers.

Reacties (58)

jaenster

9 augustus 2023 12:31

Ik heb weinig tegen het concept van passkeys, al gebruik ik met mijn password manager net zo lief username/password. Wat ik wel wat gek vind is om het te gaan gebruiken in applicaties die geen ondersteuning bieden voor username/passwords, zoals whatsapp. Zo ver ik begrijp hangt dat aan je telefoonnummer.

Anonymoussaurus

Whatsapp
Smartphones

@jaenster • 9 augustus 2023 12:33

Ja, en je kan ook nog een eigen 2FA-code toevoegen, dus mochten ze SIM-swappen, kunnen ze alsnog niet bij je account.

Wachten... @Anonymoussaurus • 9 augustus 2023 13:08

Ik probeer wat videos te volgen de laatste tijd over keypass, echter is het voor mijn gevoel nog niet perse waterdicht(er) t.o.v. een goed gegenereerd wachtwoord met 2fa.

Het is wel een stuk eenvoudiger. Maar als iemand je "pin" weet op je telefoon en je telefoon wordt gestolen o.i.d. dan ben je het haasje lijkt mij.

Het kan echter zijn dat ik het gehele concept nog niet volledig begrijp.

SunnieNL

@Wachten... • 9 augustus 2023 13:25

Whatsapp vraagt na instellen van een pincode om de X tijd deze te bevestigen. Doe je dat niet of verkeerd, dan sluit Whatsapp zich volledig af van je telefoon.
Deze nieuwe methode komt dan in plaats van de pincode. Dus als iemand je telefoon steelt en je pincode weet, dan kunnen ze alsnog niet inloggen als je biometrische gegevens zijn opgeslagen en Whatsapp vraagt om je vingerafdruk.

Overigens vraag ik in dit geval af waar ik deze nieuwe optie moet zoeken. Ik draai beta 2.23.17.6.
Kom het daar niet tegen, behalve een optie onder privacy om vingerafdrukvergrendeling in te schakelen, waarbij ik om in Whatsapp te komen, mijn vingerafdruk moet verifieren voor ik toegang krijg (geen idee hoe lang dat er al in zit, had die optie niet eerder gezien)

Wachten... @SunnieNL • 9 augustus 2023 14:02

Maar wat als je heen biometrische inlog gebruikt? Ik probeer daar namelijk van weg te blijven en gebruik gewoon een pincode.

Zover ik weet kun je passkeys ook gebruiken met pin of patroon. Dus als je apparaat gestolen wordt en ze weten deze gegevens, dan kunnen ze overal in toch?

SunnieNL

@Wachten... • 9 augustus 2023 14:10

Als jij overal dezelfde pincode gebruikt wel.
Maar dat is natuurlijk hetzelfde als overal dezelfde wachtwoorden gebruiken.

jjobar @Wachten... • 9 augustus 2023 13:32

Maar wanneer weet iemand je pin EN steelt hij je telefoon?

Dan gaat 2fa je ook niet meer helpen want die gaat meestal ook via je telefoon met sms of authenticator die dan ook al unlocked is.....

MrMonkE @jjobar • 9 augustus 2023 13:38

'2fa-app' vraagt om een finger print of code als je hem opstart

Aldy @MrMonkE • 9 augustus 2023 14:53

Nee hoor, wel die van Microsoft, maar die van Google gaat zo open. Kan ook niets instellen.

the_stickie @Aldy • 9 augustus 2023 19:28

Is wel instelbaar bij de Google app! (En aan te bevelen imho)

Aldy @the_stickie • 10 augustus 2023 12:52

Ben het met je eens dat je de app het beste extra kunt beveiligen, maar heb me een ongeluk gezocht en kan de Google Authenticator niet extra beveiligen. Kun je mij vertellen waar ik het e.e.a. kan vinden?

the_stickie @Aldy • 10 augustus 2023 13:57

Op m’n iphone:
In de authenticator app: instellingen - privacyscherm - aanzetten
Evt settings onder "verificatie vereisen" aanpassen met werkbare time out

Aldy @the_stickie • 10 augustus 2023 14:15

Schandelijk dat dit niet mogelijk is bij Android. Daar kun je alleen bij instellingen de tijd corrigeren.

ccnl @jjobar • 9 augustus 2023 14:43

Heel veel mensen gebruiken een unlockpatroon, ik zie b.v. vele in bedrijfskantine met een uit de verre te gokken is (Z,N,S zijn heel populair)

MarkieNL @jjobar • 9 augustus 2023 15:52

Edit: Ah het ging over de telefoon zelf en niet de sim pincode.

Mijn whatsapp is beveiligd met biometrische beveiliging op mijn iPhone, maar dat werkt dus nu nog alleen lokaal als ik het goed begrijp en niet op een andere telefoon?

[Reactie gewijzigd door MarkieNL op 24 juli 2024 23:37]

OruBLMsFrl @MarkieNL • 9 augustus 2023 17:30

Volgens mij voorkomt dat inderdaad dat iemand die je jouw telefoon in de hand geeft om een foto te maken of om even iets op internet op te zoeken, in je WhatsApp gaat rondneuzen ja.

Je kunt wel een 2-factor 6-cijferige pincode aanzetten om je WhatsApp account te beschermen tegen nieuwe registraties op andere toestellen. Dat vraagt WhatsApp dan elke week wel weer een keer opnieuw om te bevestigen, zodat je het niet vergeet.
https://faq.whatsapp.com/1278661612895630

Uiteindelijk loopt een kwaadwillende dan tegen onderstaande muur aan, zolang die maar niet in jouw WhatsApp app kan komen om (even snel) de instelling aan te passen en de 2-factor uit te zetten. Tegen zo een actie beschermt die biometrie dus weer, het werkt in die zin samen. Zolang jouw WhatsApp account maar eens in de 7 dagen succesvol online komt op jouw tel nr, is er van buitenaf met de 2-factor pincode zonder gekoppelde e-mailadres geen doorkomen aan. En anders dus die e-mailbox die je instelt even zo veilig houden, want als je die toch invult dan gaat daar wel direct een reset link heen, en is een kwaadwillende die jouw email app heel even in kan, alsnog binnen een minuut klaar met jouw beveiliging helaas. Dus andermaal, nooit je toestel uit handen geven blijft het beste advies:

Reset PIN without an email address
You’ll need to wait 7 days to reset the PIN if:

You didn't provide an email address to reset the PIN.
You forgot the email address to reset the PIN.
Someone else set up the two-step verification PIN before you started using this phone number.

The 7-day period begins from the last time your account successfully connected to WhatsApp.

[Reactie gewijzigd door OruBLMsFrl op 24 juli 2024 23:37]

Verwijderd @Wachten... • 9 augustus 2023 17:07

Wachten... schreef:

Ik probeer wat videos te volgen de laatste tijd over keypass, echter is het voor mijn gevoel nog niet perse waterdicht(er) t.o.v. een goed gegenereerd wachtwoord met 2fa.

Wellicht helpt "Passkeys voor leken" jou verder?

Zie desgewenst ook mijn follow-ups vanaf deze reactie.

Overigens hebben passkeys, zowel onder Android als iOS/iPadOS, nog steeds last van m.i. ernstige kinderziektes (ik heb bij zowel Apple als Google bugreports open staan).

Wachten... schreef:

Het is wel een stuk eenvoudiger. Maar als iemand je "pin" weet op je telefoon en je telefoon wordt gestolen o.i.d. dan ben je het haasje lijkt mij.

Klopt, zie ook Enorme risico afkijken pincode iPhone (door Joanna Stern van The Washington Post) en follow-up.

Wachten... schreef:

Het kan echter zijn dat ik het gehele concept nog niet volledig begrijp.

Zoals ik in eerder genoemd artikel schreef, kun je passkeys vergelijken met een wachtwoordmanager die de domeinnaam checkt en waarbij de gebruiker zich niet laat misleiden om diens inloggegevens, inclusief zwakke 2FA/MFA, op een "evil proxy" (nep-) website in te voeren.

Nb. onder Android, iOS en iPadOS heb je geen browser-plugins meer nodig om de domeinnaam naar een wachtwoordmanager (zoals KeePassDX of KeePassium) te sturen.

Maar als een dief die wachtwoordmanager met dezelfde pincode als jouw smartphone kan unlocken, ben je ook de Sjaak.

Mijn advies is daarom om portable devices met betrouwbare vingerafdrukscanner te kopen, en bijv. je pink te gebruiken voor unlock. Dan is het minder bezwaarlijk om een relatief lang wachtwoord (i.p.v. pincode) te gebruiken, dat je nog wel af en toe zult moeten invoeren.

GertMenkel

Beveiliging en antivirus

@Anonymoussaurus • 9 augustus 2023 12:37

Ik denkddat dit bedoeld is als alternatief voor de pincode. Als je die instelt moet je die constant invoeren zodat je hem niet vergeet als je een keer een nieuwe telefoon hebt, en met deze functie hoef je alleen maar je passkeyaccount toe te voegen aan je telefoon (in de meeste gevallen gewoon je Google-account dat je voor de Play Store toch al hebt toegevoegd). Een soort "log in met Google" voor gevorderden.

Executor16

@Anonymoussaurus • 10 augustus 2023 12:29

Ik heb dit van de week aangezet maar het is wel rete-irritant dat ik er in 1 week zeker 8 keer random om ben gevraagd het wachtwoord in te typen als je de app opent. Volgens WhatsApp moet dat zodat ik het niet vergeet

Anonymoussaurus

Whatsapp
Smartphones

@Executor16 • 10 augustus 2023 12:36

Vaag, ik krijg die vraag maar één keer per paar weken.

Nightscope 9 augustus 2023 12:32

Maar als je nou bijvoorbeeld bitwarden of protonpass gebruikt. Kan je ervoor zorgen dat de passkey daar opgeslagen wordt?

GertMenkel

Beveiliging en antivirus

@Nightscope • 9 augustus 2023 12:40

Bitwarden werkt aan passkeyondersteuning maar dat werk is nog niet af. 1Password heeft ze al wel in bèta, geloof ik.

Android zelf krijgt echter pas vanaf de volgende versie ondersteuning voor een globale passkey-API waar applicaties zich op kunnen inhaken, dus pas als je telefoon de Android 14-update krijgt, zul je er bij WhatsApp wat aan hebben. Tot die tijd zul je voor passkeys bij de Google-implementatie moeten blijven.

Tomino @GertMenkel • 9 augustus 2023 13:08

Correct: https://support.1password.com/save-use-passkeys/

Martijntjeh @Nightscope • 9 augustus 2023 19:47

Jazeker. Verschillende wachtwoord managers werken aan ondersteuning voor passkeys of hebben dat al. Bitwarden werkt eraan. Dashlane en 1Password hebben het al. Werkt nu alleen nog in een browser op een desktop. Vanaf iOS 17 en Android 14 ( dit jaar…) zijn third party wachtwoord managers te gebruiken voor de passkeys.

meller14 9 augustus 2023 15:53

Idd, ik vergat die suggestie er ook bij te zetten. Wat mij enigsinds dus heeft verbaast is dat er met een online authenticator geen master key oid moest worden ingevoerd met het verwijderen van de 2fa.

slijkie 9 augustus 2023 13:06

“ wordt dan op Android opgeslagen in het Google-account.”

Wordt het nou in Android opgeslagen of in het Google Account (cloud)?

Lekker dan, kan je net zo goed geen Passkey hebben. Zal mij niks verbazen dat Google daar bij kan.

MrMonkE @slijkie • 9 augustus 2023 13:47

Het gaat denk ik om een keypair. 1 is sleutel, 1 is in DB google.
Kunnen ze het deel dat in hun database staat veranderen in een andere waarde voor een andere key zodat een andere key jou account kan unlocken. Of is daar in het protocol rekening ook mee gehouden? (Ik hoop van wel. Of klopt het niet wat ik zeg en is het allemaal waterdicht ook vanuit de OS kant)

Tomino @slijkie • 9 augustus 2023 13:09

Behoordlijk ongefundeerde uitspraak slijkie.. "zal mij niks verbazen dat..".
Heb je de technische specificaties überhaupt wel gelezen? Of dit artikel en video van Wout? review: Sterven wachtwoorden uit? - Passkeys moeten nieuwe inlogstandaard worden

CH4OS

@Tomino • 9 augustus 2023 13:34

Het punt is, omdat je de passkeys in de cloud opslaat, dat Google dan bij die passkeys kan en een kwaadwillende vanuit Google dat vervolgens zou kunnen misbruiken.

Ik gebruik persoonlijk al een andere password manager, ik wil het dus ook niet in Googles password manager hebben (iets wat ook redelijk recent erbij is gekomen).

Aldy @CH4OS • 9 augustus 2023 14:58

Elke keer de vraag of je je wachtwoord wil opslaan in Google en elke keer 'nee'. Wanneer begrijpen ze het?

TuxDePinguïn 9 augustus 2023 13:25

De biometrische inlogmethode of cijfercode waarmee gebruikers zich authenticeren, wordt dan op Android opgeslagen in het Google-account.

Klopt dit echt? Of is het een reguliere passkey en kan je 'm opslaan waar je wil (bij Google, Apple, 1Password, Bitwarden (soon)).

Lijkt een klein verschil maar ik sla straks graag m'n passkeys op in Bitwarden, maar no way dat ik ze aan m'n Google account ga hangen.

MaestroMaus

9 augustus 2023 13:27

Ik hoop dat er vroeg of laat een neutrale identiteit autoriteit komt waar je passkeys kan halen. Bedrijven als Google dit laten doen vind ik niet zo'n fijn idee. Gebruikers volgen en mensen fingerprinten wordt zo wel extreem makkelijk.

njitter @MaestroMaus • 9 augustus 2023 13:38

Er is niet 1 bedrijf die Passkeys bewaard. Het staat normaal gesproken op je device (desktop/laptop/teledoon). Maar als service kun je het opslaan in de cloud zodat je nog steeds in je account kan als je dat device kwijt bent.

Het is opensource dus iedereen kan die service aanbieden: https://fidoalliance.org/passkeys/

jcbvm

@njitter • 9 augustus 2023 17:51

De passkeys worden wel opgeslagen bij Google of Apple anders kun je ze ook niet syncen met je andere apparaten. Deze data is echter wel encrypted.

njitter @jcbvm • 10 augustus 2023 09:33

het is geen vereiste. Dat het kan is wat anders..

Martijntjeh @MaestroMaus • 9 augustus 2023 19:50

‘ Kan halen’ … Niet om het een of ander, maar je haalt een passkey niet op. Je device maakt een public-private keypair. De publieke sleutel gaat naar de server. De prive sleutel wordt opgeslagen in je wachtwoorden kluis. Vanaf Android 14 en iOS 17 kan je daar ook andere wachtwoord kluizen voor gebruiken.

FONfanatic 9 augustus 2023 13:58

Ik zocht net in de Google Play Store naar een app genaamd Google Password Manager maar die wordt daar niet in aangeboden. Dus welke app bedoel je te vermelden, @TijsZonderH?

Auteur

TijsZonderH Nieuwscoördinator @FONfanatic • 9 augustus 2023 14:44

Dat is geen losse app, maar Googles eigen wachtwoordmanager die aan je Google-account is gekoppeld. Zie hier de info.

FONfanatic @TijsZonderH • 9 augustus 2023 15:38

Zie de bijdrage van @meller14 hieronder: niet zoiets gebruiken of aanraden! Kraken ze je Google wachtwoord en merk je de melding van het Google Accounts Team in je Gmail niet tijdig op, kunnen de hackers die mail snel verwijderen en je toestel overnemen. Wat ze dan ook doen is maken dat je geen updates meer kunt downloaden via de Google Play Store. Bij mij waren ze ook uit op mijn bankgegevens, en op dataruimte in mijn cloudopslag.

Ik heb de hackers weten te achterhalen die mijn Samsung Galaxy S10+-foon kraakten. Ze zijn inmiddels veroordeeld.

Ik gebruik daarom die Google Password Manager niet, ook niet als extensie op Chrome.

Mijn Google accounts heb ik flink vergrendeld.

meller14 @FONfanatic • 9 augustus 2023 15:56

Bij mij was de hack (gedeeltelijk?) geautomatiseerd, je hebt het over 10-20 seconden waarbij ik die mailtjes binnenkreeg. Waarna mijn toegang tot al mijn google services compleet overgenomen waren.

FONfanatic @meller14 • 9 augustus 2023 19:05

Dat was bij mij ook. Waarschijnlijk - ik ben nog bezig het te onderzoeken - hackten ze via een geïnstalleerde onbetrouwbare app. Ik kom er veel tegen die inmiddels uit de Play Store verwijderd zijn, maar wat nergens vermeld werd.

Ik vind dat een echt gebrek aan die appdistributie, dat je zelf in de gaten moet houden of een app nog bestaat. Van wat er op mijn huidige toestellen staat - veel minder - houd ik nu handmatig bij wat er geüpdatet wordt. Eens in de maand ga ik na of de niet-geüpdatete apps nog bestaan in de Play Store. En ik heb de gegevens van de ontwikkelaars nu genoteerd staan. Niet dat snel, of überhaupt, reageren op mails ... Dat zijn ze kennelijk niet eens verplicht.

Overigens reageerde Google nergens op toen ik uit de doeken deed wat er gebeurd was. Dus ook daarom: geen Google Password Manager voor mij. Er zijn zat alternatieven, gelukkig.

ccnl @FONfanatic • 9 augustus 2023 15:00

On your Android phone or tablet, open your device's Settings app.
Tap Google And then Manage your Google Account.
In the menu, tap Security.
Scroll down to "Signing in to other sites."
Tap Password Manager And then Settings .

meller14 9 augustus 2023 15:17

Beetje relevant:

Ik ben maandag gehacked middels een Keylogger, google account niet meer in mijn bezit.

Hoe zijn ze te werk gegaan? (denk ik) Sessie gekopieerd (waar je niet hoeft in te loggen na herstart browser) Security Key toegevoegd. De mijne verwijderd. (2fa Google authenticator)

Kluis comprimised. en vele wachtwoorden daarmee ook. (heb backup via 3e party)
Lang verhaal kort. Was ze om mijn crypto te doen echter is ze niet gelukt.

Leerpunten voormijzelf: meer 2fa op verschillende diensten. Dus met google (gmail youtube) geen google authenticator gebruiken maar 3e party. Waarbij ze als ze toegang hebben tot je account niet zelf de 2fa kunnen verwijderen.

Wat mij opviel was dat alles binnen 1 minuut gebeurde. Ik had geen tijd om te reageren. Je zou zeggen dat google misschien een delay (van minuten?) tussen zullke grote security wijzigingen zet. Zodat dit genoeg tijd geeft om je er als mens (incl reactietijd ) op te reageren. Want ik was in een fractie van seconden alle toegang kwijt.

Inmiddels via een herstel adres weer volledige controle terug en alles opnieuw in moeten stellen.

Het staartje komt hier, een avond erna zelfde verhaal. Alleen bleef het bij verdachte inlogpoging omdat mijn 2fa niet in de cloud (google) zat.
Ook heb ik na deze poging mijn IOS compleet opnieuw ingesteld omdat dat me niet lekker zat. (alle instellingen en apps reset met behoud van pers data)

Na de logs te hebben bekeken hebben ze ook nog mijn locatie geschiedenis bekeken. (google timeline)
En gek genoeg kwam dit van russisch grondgebied.

(typo's)

[Reactie gewijzigd door meller14 op 24 juli 2024 23:37]

FONfanatic @meller14 • 9 augustus 2023 15:47

Dat laatste kan natuurlijk ook via VPN gebeurd zijn. De linkmiechels die zich op mijn duurste foon aan het uitleven waren zaten zich in een Drenths gehucht te verlekkeren. Waren aan het gamen en zochten extra bandbreedte. De eerste dag van hun hack zaten ze via een thuisserver in Amsterdam-West te klieren.

Ik weet overigens alleen hun online identiteit, maar de politie verzekerde me dat ze gepakt en veroordeeld waren. Ze waren alleen vergeten in het dossier op te nemen dat ik me civiel had gevoegd in het strafproces. Daar zit een advocaat van mijn rechtsbijstandsverzekeraar nu achteraan.

Martijntjeh @meller14 • 9 augustus 2023 19:53

Zo das kl*te! Is een yubikey ( of ander merk) niks voor jou als je waardevolle crypto’s beheert?

meller14 @Martijntjeh • 13 augustus 2023 12:03

Yubikey is ook inmiddels onderweg.

Martijntjeh @meller14 • 14 augustus 2023 01:53

Top! Dat moet een heel stuk helpen om die hufters buiten de deur te houden…

luc7919 9 augustus 2023 15:52

Valt een FIDO2 usb key ook onder de noemer passkeys?

Yggdrasil

@luc7919 • 9 augustus 2023 20:25

Een FIDO2 key kan inderdaad ook passkeys opslaan.

Aardwolf

9 augustus 2023 18:02

Gebruikers kunnen in die WhatsApp-versie hun authenticatiemethode, zoals een vingerafdruk of gezichtsscan, opslaan als een passkey. Dat is een nieuwe inlogmethode die wachtwoorden moet vervangen.

Hoe veilig zijn deze biometrische keys nu eigenlijk stel je komt te overlijden en je nabestaanden moeten in deze accounts? of je verbrandt/verliest je lichaamsdelen? klinkt allemaal extreem, maar het kan gebeuren.
Passkey-only kan dan nogal een gevaarlijke implementatie blijken als dit de enige mogelijkheid is tot inloggen/verificatie. Minder risico bij kwaadwillenden, maar juist meer risico bij calamiteiten. Hopelijk blijft wachtwoord met MFA ook een keuze, al dan niet als tweede backup-methode.

Op dit item kan niet meer gereageerd worden.

WhatsApp werkt aan ondersteuning voor passkeys

Lees meer

Reacties (58)

Sorteer op:

Weergave: