WhatsApp test aanmaken van passkeys in bètaversie

WhatsApp test in een bètaversie de ondersteuning voor passkeys voor tweetrapsauthenticatie.

De functie zit in bètaversie 2.23.20.4 op Android, schrijft WABetaInfo. Gebruikers kunnen daarin een passkey aanmaken en die in Googles Password Manager opslaan.

Uit eerdere bèta's bleek al dat WhatsApp aan die functie werkte, maar toen was het nog niet mogelijk passkeys daadwerkelijk aan te maken. Nu is dat volgens WABetaInfo wel het geval. Passkeys zijn een uniforme manier om tweetrapsauthenticatie te gebruiken. Tweakers schreef er vorig jaar een achtergrondartikel over.

WhatsApp Passkeys WABetaInfo

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 20-09-2023 11:25 53

20-09-2023 • 11:25

53

Lees meer

WhatsApp laat iOS-gebruikers foto's en video's in originele kwaliteit versturen
WhatsApp laat iOS-gebruikers foto's en video's in originele kwaliteit versturen Nieuws van 4 december 2023
WhatsApp werkt aan pollfunctie voor Kanalen
WhatsApp werkt aan pollfunctie voor Kanalen Nieuws van 7 november 2023
Bitwarden laat gebruikers passkeys opslaan in zijn wachtwoordmanager
Bitwarden laat gebruikers passkeys opslaan in zijn wachtwoordmanager Nieuws van 2 november 2023
'WhatsApp werkt aan functie om andere profielfoto aan vreemden te laten zien'
'WhatsApp werkt aan functie om andere profielfoto aan vreemden te laten zien' Nieuws van 1 november 2023
WhatsApp test spraakberichten die verdwijnen nadat ze beluisterd zijn
WhatsApp test spraakberichten die verdwijnen nadat ze beluisterd zijn Nieuws van 19 oktober 2023
WhatsApp brengt wachtwoordloos inloggen met passkeys uit voor Android
WhatsApp brengt wachtwoordloos inloggen met passkeys uit voor Android Nieuws van 17 oktober 2023
WABetaInfo: WhatsApp werkt aan optie om activiteiten te plannen in groepchats
WABetaInfo: WhatsApp werkt aan optie om activiteiten te plannen in groepchats Nieuws van 12 oktober 2023
Passkey wordt standaard loginmethode Google-accounts
Passkey wordt standaard loginmethode Google-accounts Nieuws van 11 oktober 2023
Nintendo-accounts krijgen passkeys-ondersteuning voor wachtwoordloos inloggen
Nintendo-accounts krijgen passkeys-ondersteuning voor wachtwoordloos inloggen Nieuws van 22 september 2023
WhatsApp: kanalen zijn dinsdag beschikbaar voor 'vrijwel iedereen'
WhatsApp: kanalen zijn dinsdag beschikbaar voor 'vrijwel iedereen' Nieuws van 19 september 2023
WABetaInfo ontdekt testversie WhatsApp voor iOS die compatibel is met iPad
WABetaInfo ontdekt testversie WhatsApp voor iOS die compatibel is met iPad Nieuws van 19 september 2023
Bèta WhatsApp toont scherm voor ontvangen chats vanaf andere apps
Bèta WhatsApp toont scherm voor ontvangen chats vanaf andere apps Nieuws van 11 september 2023
WhatsApp zal gebruikers Kanalen laten filteren per land
WhatsApp zal gebruikers Kanalen laten filteren per land Nieuws van 5 september 2023
'WhatsApp werkt aan functie om foto's en video's zonder compressie te sturen'
'WhatsApp werkt aan functie om foto's en video's zonder compressie te sturen' Nieuws van 28 augustus 2023
WhatsApp laat gebruikers foto's met hogere resolutie sturen
WhatsApp laat gebruikers foto's met hogere resolutie sturen Nieuws van 17 augustus 2023
Meer producten en artikelen
Beveiliging en antivirus Whatsapp

Reacties (53)

-Moderatie-faq
53
53
14
1
0
35
Wijzig sortering

Sorteer op:

Weergave:
D.Elfrink 20 september 2023 11:27
Dit zal de beveiliging van onze accounts zeker verbeteren. Het feit dat we deze passkeys kunnen opslaan in Googles Password Manager maakt het nog handiger.
Zezura @D.Elfrink20 september 2023 13:19
Totdat Google je account blokkeert omdat je de terms of service zogenaamd schendt. Terwijl je amper iets gedaan hebt en je geen mens te pakken krijgt die dat ongedaan zal maken.

Inloggen bij je bank? Niet mogelijk want passkeys, inloggen op Facebook? Niet mogelijk. DigiD? Ondersteund ook alleen nog maar passkeys, jammer dan overheid kan je ook niet helpen want het is allemaal digitaal en allemaal passkeys. Leuk vooruitzicht wel … toch?
AW_Bos @Zezura20 september 2023 17:33
En daarom bieden veel websites met twee factor authenticatie ook reset codes aan. Sla die dus gewoon op!
Aldy @Zezura20 september 2023 14:14
Problemen met DigiD omdat Google je account geblokkeerd heeft? Waar sla jij je wachtwoorden op?
Zezura @Aldy20 september 2023 17:22
Dat was een mogelijk toekomstige scenario als alles overgaat op passkeys.
Aldy @Zezura20 september 2023 19:33
Afgezien dat dit een prachtig staaltje doemdenken is, dan nog vraag ik mij af wat dit met Google te maken heeft. Passkeys hebben toch niets te maken met Google. Misschien ben je in de war met 2FA?
Zezura @Aldy20 september 2023 21:05
Passkeys hebben wel degelijk te maken met een van de grote tech bedrijven. Ze synchen namelijk je passkeys. Ik las laatst een verhaal dat iemand werd buitengesloten van zijn account met cruciale data erop en het dus kwijt was. De tech giganten trekken wel steeds meer verantwoordelijkheid naar zich toe met betalingsverwerking en identiteitsauthentificatie. In combinatie met de cloud, en device sync, toch een toekomstig mogelijk scenario lijkt me.
Aldy @Zezura21 september 2023 11:10
Ik geloof dat je een paar dingen door elkaar haalt. Als Google of een ander jou buitensluit, om welke reden dan ook, dan heeft dat niets met een passkey te maken, want ook met een wachtwoord kom je er dan niet in. Dat jij je bestanden bij Google opslaat is helemaal aan jezelf.
De passkey ben je zelf en de digitale afdruk daarvan wordt lokaal opgeslagen. De tech bedrijven controleren uitsluitend of jij bent die je zegt wie je bent en laten je bij je gegevens, die je vrijwillig bij hun hebt opgeslagen. En als een tech bedrijf jou afsluit van jouw gegevens. dan heeft dat niets met een passkey te maken. Dat is precies wat ik tegen Google Chrome heb, maar ook dat is je eigen keuze als je een laptop koopt. En nogmaals, waarom je DigiD erbij haalt is mij een volkomen raadsel.
Zezura @Aldy21 september 2023 11:56
ik heb het een aantal keer geprobeerd uit te leggen.
Aldy @Zezura21 september 2023 13:49
Maar niet duidelijk genoeg. Ik heb ergens gelezen dat..... Dit kunnen we toch geen bron noemen. Voor mij ben je een doemdenker zonder dat je dit op feiten kunt onderbouwen.
cascer1 @Zezura21 september 2023 14:08
Je kan ook een Yubikey kopen, of een specifieke passwordmanager aanschaffen om je digitale passkeys te syncen. Er zijn zat opties om passkeys te gebruiken zonder afhankelijk te zijn van Google..
Zezura @cascer121 september 2023 14:31
ja klopt, dat is super fijn, ik heb er een, alleen ik gebruik hem te weinig nu je het zegt.
Luchtbakker @D.Elfrink20 september 2023 11:42
Dit zal de beveiliging van onze accounts zeker verbeteren. Het feit dat we deze passkeys kunnen opslaan in Googles Password Manager maakt het nog handiger.
En daar direct het gevaar van. Want handiger is veelal niet veiliger. Of terwijl; een hacker hoeft zich maar op 1 punt te richten. Eenmaal toegang, dan ben je de sjaak.

[Reactie gewijzigd door Luchtbakker op 28 juli 2024 07:31]

Jantjuh151 @Luchtbakker20 september 2023 13:54
Jij moet je echt eens verdiepen in hoe passkey's werken voordat je reageert en iets zegt wat foutief is.
cascer1 @Jantjuh15121 september 2023 14:09
Hoe werkt het niet zo dan? Als ik een nieuwe telefoon koop kan ik daar meteen bij de opgeslagen passkeys in mijn Google account. Wat weerhoudt een hacker ervan hetzelde te doen?
Jantjuh151 @cascer121 september 2023 18:07
"Passkeys in the Google Password Manager are always end-to-end encrypted: When a passkey is backed up, its private key is uploaded only in its encrypted form using an encryption key that is only accessible on the user's own devices. This protects passkeys against Google itself, or e.g. a malicious attacker inside Google. Without access to the private key, such an attacker cannot use the passkey to sign in to its corresponding online account."

Bron: https://security.googlebl...ePasswordManager.html?m=1
cascer1 @Jantjuh15124 september 2023 14:29
Ik haal passkeys en U2F door elkaar. Wanneer ik daadwerkelijk met een passkey inlog moet ik inderdaad een pin ingeven.
Jantjuh151 @cascer124 september 2023 17:54
Jah alleen zoals je leest moer die hacker ook het privé encryptie sleutel hebben. Wat in mijn gevoel op mijn mobiel zou staan. Dus de public key jatten op mijn password manager alleen is hier niet voldoende. Die hacker zou in dit geval ook de prive encryptie moeten hebben die alleen op mijn mobiel staat. Dus hij zou ook mijn mobiel moeten jatten.
cascer1 @Jantjuh15125 september 2023 10:11
Wat is het doel van syncen als je de private key niet synct? Dan heb je toch helemaal niets aan de sync? Dus de private key zal wel echt in de password manager moeten staan lijkt me.
Jantjuh151 @cascer125 september 2023 14:20
When a passkey is backed up, its private key is uploaded only in its encrypted form using an encryption key that is only accessible on the user's own devices.

Heb je het wel gelezen?
runaround @Luchtbakker20 september 2023 12:44
Zeker, plus het feit dat Google (beveiliging van) zijn passwordmanager niet op prio 1 heeft staan.
Raphire @runaround20 september 2023 13:21
Google's account beveiliging is wel zo'n beetje het beste. Waar haal je dit vandaan?
yoranpower @Raphire20 september 2023 15:18
Meegekregen hoe LLT is gehackt? Dat laat zien dat er nog genoeg security flaws bij Google zijn.
lenwar
@yoranpower17 oktober 2023 08:01
Dat was toch een stuk malware dat sessie-data had gedownloaded? Dat staat toch los van hoe Google en consorten de passkeys enzo opslaan op een vertrouwd apparaat of hun servers?

Het feit dat die sessie-tokens over machines heen werk(t)en was geen handig ontwerp van Google, maar het voornaamste probleem was natuurlijk hun manier van werken. (Dat erkennen ze zelf ook)
familyman @runaround20 september 2023 13:07
Feit? Bron?
D.Elfrink @Luchtbakker20 september 2023 11:43
Ja, maar is dat niet altijd zo?
mOrPhie @Luchtbakker20 september 2023 13:29
Hoewel je sec genomen gelijk hebt, is dit natuurlijk alleen van toepassing bij single-factor-authentication. Als je je diensten met MFA beveiligd heb je niets aan de wachtwoorden. Passkey is vervolgens inherent multifactor en het verkrijgen van de passkey zelf is dus nutteloos.

Bovendien, en dit is belangrijk, het hele probleem met wachtwoorden is natuurlijk hergebruik, wachtwoord complexiteit, phishing, data breaches. Passkey lost dat, naast MFA, dus inherent op.

Ik en jij doen wellicht aan complexe wachtwoorden zonder hergebruik en MFA. Een doorsnee persoon doet dat niet. De opslag van je passkeys in een password manager is dan niet alleen voor ons, maar vooral voor de doorsnee persoon een veel betere oplossing.
cascer1 @mOrPhie21 september 2023 14:10
Hoe zijn passkeys inherent MFA? je kan op sommige sites toch inloggen met alléén een passkey zonder wachtwoord?
mOrPhie @cascer121 september 2023 14:32
Passkeys hanteren per definitie de factor ownership en één andere factor. Dat kan knowledge zijn (pin of pattern), maar is vaak inherence (biometrie).

https://youtu.be/2xdV-xut7EQ?si=bYWQC_kHpjQ__Tb4
cascer1 @mOrPhie21 september 2023 14:34
Dan doet mijn Yubikey 5 het niet goed. Iemand kan die gewoon jatten en inloggen met één factor; (illegaal) ownership.
mOrPhie @cascer121 september 2023 14:55
https://passkey.org/ (Gemaakt door Yubico)
How do passkeys work?

Passkeys are a form of multi-factor authentication; those factors include something you know, something you have, and something you are.

Something you know: a PIN used to unlock the device.

Something you have: the authenticator, whether that’s a security key or something embedded in a personal device/phone.

Something you are: could include a fingerprint, scan of your face.
cascer1 @mOrPhie21 september 2023 15:34
Op Windows krijg ik inderdaad een PIN prompt wanneer ik de yubikey in de computer steek of voor een authentication request. Op Android hoef ik de pin niet in te geven.

Nu zie ik wel dat mijn Yubikey 5C op sommige sites helemaal niet werkt op mijn telefoon, dat is wel verontrustend..
Bor Coördinator Frontpage Admins / FP Powermod
@cascer111 oktober 2023 21:31
Ik neem aan dat je de yubikey als FIDO-2 oplossing gebruikt? Dat is wat anders dan een passkey. FIDO-2 vereist in de standaard afaik geen pin verificatie maar laat dit over aan de verfierende partij.. Microsoft legt dat er zelf bovenop.
CH4OS
20 september 2023 11:56
Gebruikers kunnen daarin een passkey aanmaken en die in Googles Password Manager opslaan.
Ik gebruik geen Google Password Manager (en wil dat zo houden), maar heb wel een andere password manager in gebruik (Enpass), kan ik die dan ook gebruiken? :)

[Reactie gewijzigd door CH4OS op 28 juli 2024 07:31]

runaround @CH4OS20 september 2023 12:45
Zal waarschijnlijk wel kunnen, net zoals met andere password managers (zodra die passkeys ondersteunen)
Ventieldopje 20 september 2023 12:21
WhatsApp test in een bètaversie de ondersteuning voor passkeys voor tweetrapsauthenticatie.
Is een passkey niet juist alleen een vervanging van je wachtwoord en dus géén MFA an sich?

Los naast een passkey zou dan alsnog je FIDO key of TOTP moeten gebruiken voor MFA. Dan wel geïmplementeerd door de website, dan wel door de password manager om toegang te krijgen tot je passkey.
lenwar
@Ventieldopje20 september 2023 12:58
Bij whatsapp heb je een telefoonnummer (accountnaam), die per sms geverifieerd wordt.
Dat is factor 1
Straks heb je er dus een wachtwoord/passkey bij. Factor 2
(Ik gebruik op het moment een PIN, wat als factor 2 werkt)
McBacon @Ventieldopje21 september 2023 17:04
Sommigen noemen de MFA-variant ook wel eens "security key", maar in mijn ervaring worden alle termen een beetje door elkaar gebruikt. Overigens ondersteunen sommige passkeys (authenticators eigenlijk) ook "discoverable credentials", waarbij er ook al geen username nodig is vanuit de site. Meestal kun/moet je op de authenticator dan kiezen welke credential je wilt gebruiken, die wel gekoppeld is aan die specifieke site.

De informatie van WABetaInfo is ook niet echt duidelijk, er staat nergens of het je password vervangt of dat het werkt als MFA. Alleen "sign in safely" en dat zegt nogal weinig (MFA valt daar ook gewoon onder). Ik zou het zelf ook "securely" noemen, maar goed (het gaat om security, niet safety).
markg85 20 september 2023 11:36
Wat is het nut hiervan?

De normale flow van whatsapp gebruik is:
- unlock je telefoon
- open whatsapp
- doe je ding

Krijg je nu met dit:
- unlock je telefoon
- open whatsapp
- unlock whatsapp
- doe je ding

Ik neem even aan dat het die tweede variant wordt en daar zie ik niets in. Het oogt mij zo onzinnig van sommige apps om na unlocken alsnog een eigen extra bevestiging te vragen. Let op, ik heb het due niet over inloggen in de app. Ik heb het over gebruik van de app wanneer je al ingelogd ben.

Mijn aanname kan ook fout zijn, dan is alles wat ik hierboven zij onzin :)
jimmya3 @markg8520 september 2023 11:41
ik gok dat dit daar niet voor bedoeld is maar voor het aanmelden bij Whatsapp ;)
geekeep @jimmya320 september 2023 11:44
Het was mij ook verre van duidelijk uit het tweakers artikel waar deze functie voor bedoeld is (WhatsApp als passphrase generator?).
@TijsZonderH Wat essentiële info uit de bron zou niet misstaan:
It adds an extra layer of protection to allow users to sign into their accounts easily and safely. In addition, since a passkey is always stored securely in a compatible password manager, it allows users easy access while keeping protections in place to prevent unauthorized access. It’s worth noting that users are always in control over their passkey as they can be easily revoked within the same screen.
markg85 @geekeep20 september 2023 12:35
Ah, dat had best wel in dit artikel mogen staan (@TijsZonderH !). Thanx, duidelijk. Een verbeterde aanmeld stap, niet een "app openen is elke keer bevestigen dat jij ben wie je ben" stap.

Oftewel de "normale flow" zoals ik het hierboven beschreef.
AuteurTijsZonderH Nieuwscoördinator @geekeep20 september 2023 17:53
We moeten altijd een afweging maken tussen wat lezers mogelijk al weten of wat we als nodige achtergrondinformatie zien. We hebben in het verleden al vaker geschreven over passkeys en wat ze doen, en in dit artikel noem ik het ook 'een alternatief voor 2fa'. Daar komt dan vervolgens de link bij naar onze verder vrij uitgebreide achtergrond, die zowel in artikelvorm als op video goed uitleggen wat passkeys zijn. Voor een dergelijk kort bericht als dit zou zo'n lange uitleg dan overkill zijn, dan link ik daar liever naartoe.
markg85 @TijsZonderH20 september 2023 18:53
Dat is 1 bijzin zeg, daarmee is het duidelijk.

Apple kan het ook met "Streamlined sign-in, without passwords". Je verbeterd het artikel ermee zonder dat het een klik circus wordt.

Jullie zeggen ook nog steeds "X, het voormalige twitter" zonder dat je daarvoor eerst naar een achtergrondartikel of video moet gaan.
Joncik91 @jimmya320 september 2023 12:58
Inderdaad want WhatsApp kan je al met fingerprint beveiligen. Onder instellingen-privacy
casiej @markg8520 september 2023 11:41
Deze toevoeging van pass-keys is bedoeld voor het aanmeldproces, zoals je dat ervaart wanneer je een nieuwe telefoon hebt, en niet voor het openen van WhatsApp. Beschouw het als een tweefactorauthenticatie.
berchtold @markg8520 september 2023 12:10
Passkeys moeten wachtwoorden vervangen
Zoijar @berchtold20 september 2023 12:34
Daar lijkt het op. Waarom weet niemand, want het is eigenlijk helemaal niet handig. Maar er is een sterke push. Daar zal dan wel een rede achter zitten (alu hoedje op) zoals een back-door.
Yggdrasil @Zoijar20 september 2023 14:11
Zucht, dat alu-hoedjes gedoe is nergens op gebaseerd. Die sterke push is er omdat wachtwoorden geen geschikte oplossing blijken te zijn voor de meeste mensen. De standaard waar Passkeys mee werken is open en er zijn al diverse onafhankelijke implementaties waar je tussen kunt kiezen.
berchtold @Zoijar20 september 2023 15:34
Nee. Het is gebaseerd op een technologie die al tientallen jaren bewezen is. Het is sterker omdat wachtwoorden niet meer geraden kunnen worden
x280 20 september 2023 13:15
Moet ik me zorgen maken als ik straks een nieuwe simkaart koop waarvan het nummer is gerecycled. Kan ik dat nummer niet meer gebruiken voor whatsapp ?
OruBLMsFrl @x28020 september 2023 13:49
Met de huidige security codes is het zo dat je na bevestiging SMS waaruit jouw controle/eigenaarschap van het nr blijkt en vervolgens 7 dagen cooldown zonder tegenstrijdige respons van het huidige account op dat nummer, je uiteindelijk zo na die 7 dagen dat nummer wel kan gaan gebruiken met je eigen account.
Tintel 20 september 2023 13:43
Klein kritiekpuntje: waarom is het bijgevoegde plaatje (screendump) zo groot? Het is nu niet dat daar veel informatie op te lezen is.....

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq