WhatsApp test aanmaken van passkeys in bètaversie

WhatsApp test in een bètaversie de ondersteuning voor passkeys voor tweetrapsauthenticatie.

De functie zit in bètaversie 2.23.20.4 op Android, schrijft WABetaInfo. Gebruikers kunnen daarin een passkey aanmaken en die in Googles Password Manager opslaan.

Uit eerdere bèta's bleek al dat WhatsApp aan die functie werkte, maar toen was het nog niet mogelijk passkeys daadwerkelijk aan te maken. Nu is dat volgens WABetaInfo wel het geval. Passkeys zijn een uniforme manier om tweetrapsauthenticatie te gebruiken. Tweakers schreef er vorig jaar een achtergrondartikel over.

WhatsApp Passkeys WABetaInfo

Door Tijs Hofmans

Nieuwscoördinator

20-09-2023 • 11:25

53

Lees meer

Reacties (53)

Sorteer op:

Weergave:

Dit zal de beveiliging van onze accounts zeker verbeteren. Het feit dat we deze passkeys kunnen opslaan in Googles Password Manager maakt het nog handiger.
Totdat Google je account blokkeert omdat je de terms of service zogenaamd schendt. Terwijl je amper iets gedaan hebt en je geen mens te pakken krijgt die dat ongedaan zal maken.

Inloggen bij je bank? Niet mogelijk want passkeys, inloggen op Facebook? Niet mogelijk. DigiD? Ondersteund ook alleen nog maar passkeys, jammer dan overheid kan je ook niet helpen want het is allemaal digitaal en allemaal passkeys. Leuk vooruitzicht wel … toch?
En daarom bieden veel websites met twee factor authenticatie ook reset codes aan. Sla die dus gewoon op!
Problemen met DigiD omdat Google je account geblokkeerd heeft? Waar sla jij je wachtwoorden op?
Dat was een mogelijk toekomstige scenario als alles overgaat op passkeys.
Afgezien dat dit een prachtig staaltje doemdenken is, dan nog vraag ik mij af wat dit met Google te maken heeft. Passkeys hebben toch niets te maken met Google. Misschien ben je in de war met 2FA?
Passkeys hebben wel degelijk te maken met een van de grote tech bedrijven. Ze synchen namelijk je passkeys. Ik las laatst een verhaal dat iemand werd buitengesloten van zijn account met cruciale data erop en het dus kwijt was. De tech giganten trekken wel steeds meer verantwoordelijkheid naar zich toe met betalingsverwerking en identiteitsauthentificatie. In combinatie met de cloud, en device sync, toch een toekomstig mogelijk scenario lijkt me.
Ik geloof dat je een paar dingen door elkaar haalt. Als Google of een ander jou buitensluit, om welke reden dan ook, dan heeft dat niets met een passkey te maken, want ook met een wachtwoord kom je er dan niet in. Dat jij je bestanden bij Google opslaat is helemaal aan jezelf.
De passkey ben je zelf en de digitale afdruk daarvan wordt lokaal opgeslagen. De tech bedrijven controleren uitsluitend of jij bent die je zegt wie je bent en laten je bij je gegevens, die je vrijwillig bij hun hebt opgeslagen. En als een tech bedrijf jou afsluit van jouw gegevens. dan heeft dat niets met een passkey te maken. Dat is precies wat ik tegen Google Chrome heb, maar ook dat is je eigen keuze als je een laptop koopt. En nogmaals, waarom je DigiD erbij haalt is mij een volkomen raadsel.
ik heb het een aantal keer geprobeerd uit te leggen.
Maar niet duidelijk genoeg. Ik heb ergens gelezen dat..... Dit kunnen we toch geen bron noemen. Voor mij ben je een doemdenker zonder dat je dit op feiten kunt onderbouwen.
Je kan ook een Yubikey kopen, of een specifieke passwordmanager aanschaffen om je digitale passkeys te syncen. Er zijn zat opties om passkeys te gebruiken zonder afhankelijk te zijn van Google..
ja klopt, dat is super fijn, ik heb er een, alleen ik gebruik hem te weinig nu je het zegt.
Dit zal de beveiliging van onze accounts zeker verbeteren. Het feit dat we deze passkeys kunnen opslaan in Googles Password Manager maakt het nog handiger.
En daar direct het gevaar van. Want handiger is veelal niet veiliger. Of terwijl; een hacker hoeft zich maar op 1 punt te richten. Eenmaal toegang, dan ben je de sjaak.

[Reactie gewijzigd door Luchtbakker op 28 juli 2024 07:31]

Jij moet je echt eens verdiepen in hoe passkey's werken voordat je reageert en iets zegt wat foutief is.
Hoe werkt het niet zo dan? Als ik een nieuwe telefoon koop kan ik daar meteen bij de opgeslagen passkeys in mijn Google account. Wat weerhoudt een hacker ervan hetzelde te doen?
"Passkeys in the Google Password Manager are always end-to-end encrypted: When a passkey is backed up, its private key is uploaded only in its encrypted form using an encryption key that is only accessible on the user's own devices. This protects passkeys against Google itself, or e.g. a malicious attacker inside Google. Without access to the private key, such an attacker cannot use the passkey to sign in to its corresponding online account."

Bron: https://security.googlebl...ePasswordManager.html?m=1
Ik haal passkeys en U2F door elkaar. Wanneer ik daadwerkelijk met een passkey inlog moet ik inderdaad een pin ingeven.
Jah alleen zoals je leest moer die hacker ook het privé encryptie sleutel hebben. Wat in mijn gevoel op mijn mobiel zou staan. Dus de public key jatten op mijn password manager alleen is hier niet voldoende. Die hacker zou in dit geval ook de prive encryptie moeten hebben die alleen op mijn mobiel staat. Dus hij zou ook mijn mobiel moeten jatten.
Wat is het doel van syncen als je de private key niet synct? Dan heb je toch helemaal niets aan de sync? Dus de private key zal wel echt in de password manager moeten staan lijkt me.
When a passkey is backed up, its private key is uploaded only in its encrypted form using an encryption key that is only accessible on the user's own devices.

Heb je het wel gelezen?
Zeker, plus het feit dat Google (beveiliging van) zijn passwordmanager niet op prio 1 heeft staan.
Google's account beveiliging is wel zo'n beetje het beste. Waar haal je dit vandaan?
Meegekregen hoe LLT is gehackt? Dat laat zien dat er nog genoeg security flaws bij Google zijn.
Dat was toch een stuk malware dat sessie-data had gedownloaded? Dat staat toch los van hoe Google en consorten de passkeys enzo opslaan op een vertrouwd apparaat of hun servers?

Het feit dat die sessie-tokens over machines heen werk(t)en was geen handig ontwerp van Google, maar het voornaamste probleem was natuurlijk hun manier van werken. (Dat erkennen ze zelf ook)
Ja, maar is dat niet altijd zo?
Hoewel je sec genomen gelijk hebt, is dit natuurlijk alleen van toepassing bij single-factor-authentication. Als je je diensten met MFA beveiligd heb je niets aan de wachtwoorden. Passkey is vervolgens inherent multifactor en het verkrijgen van de passkey zelf is dus nutteloos.

Bovendien, en dit is belangrijk, het hele probleem met wachtwoorden is natuurlijk hergebruik, wachtwoord complexiteit, phishing, data breaches. Passkey lost dat, naast MFA, dus inherent op.

Ik en jij doen wellicht aan complexe wachtwoorden zonder hergebruik en MFA. Een doorsnee persoon doet dat niet. De opslag van je passkeys in een password manager is dan niet alleen voor ons, maar vooral voor de doorsnee persoon een veel betere oplossing.
Hoe zijn passkeys inherent MFA? je kan op sommige sites toch inloggen met alléén een passkey zonder wachtwoord?
Passkeys hanteren per definitie de factor ownership en één andere factor. Dat kan knowledge zijn (pin of pattern), maar is vaak inherence (biometrie).

https://youtu.be/2xdV-xut7EQ?si=bYWQC_kHpjQ__Tb4
Dan doet mijn Yubikey 5 het niet goed. Iemand kan die gewoon jatten en inloggen met één factor; (illegaal) ownership.
https://passkey.org/ (Gemaakt door Yubico)
How do passkeys work?

Passkeys are a form of multi-factor authentication; those factors include something you know, something you have, and something you are.

Something you know: a PIN used to unlock the device.

Something you have: the authenticator, whether that’s a security key or something embedded in a personal device/phone.

Something you are: could include a fingerprint, scan of your face.
Op Windows krijg ik inderdaad een PIN prompt wanneer ik de yubikey in de computer steek of voor een authentication request. Op Android hoef ik de pin niet in te geven.

Nu zie ik wel dat mijn Yubikey 5C op sommige sites helemaal niet werkt op mijn telefoon, dat is wel verontrustend..
Bor Coördinator Frontpage Admins / FP Powermod @cascer111 oktober 2023 21:31
Ik neem aan dat je de yubikey als FIDO-2 oplossing gebruikt? Dat is wat anders dan een passkey. FIDO-2 vereist in de standaard afaik geen pin verificatie maar laat dit over aan de verfierende partij.. Microsoft legt dat er zelf bovenop.
Gebruikers kunnen daarin een passkey aanmaken en die in Googles Password Manager opslaan.
Ik gebruik geen Google Password Manager (en wil dat zo houden), maar heb wel een andere password manager in gebruik (Enpass), kan ik die dan ook gebruiken? :)

[Reactie gewijzigd door CH4OS op 28 juli 2024 07:31]

Zal waarschijnlijk wel kunnen, net zoals met andere password managers (zodra die passkeys ondersteunen)
WhatsApp test in een bètaversie de ondersteuning voor passkeys voor tweetrapsauthenticatie.
Is een passkey niet juist alleen een vervanging van je wachtwoord en dus géén MFA an sich?

Los naast een passkey zou dan alsnog je FIDO key of TOTP moeten gebruiken voor MFA. Dan wel geïmplementeerd door de website, dan wel door de password manager om toegang te krijgen tot je passkey.
Bij whatsapp heb je een telefoonnummer (accountnaam), die per sms geverifieerd wordt.
Dat is factor 1
Straks heb je er dus een wachtwoord/passkey bij. Factor 2
(Ik gebruik op het moment een PIN, wat als factor 2 werkt)
Sommigen noemen de MFA-variant ook wel eens "security key", maar in mijn ervaring worden alle termen een beetje door elkaar gebruikt. Overigens ondersteunen sommige passkeys (authenticators eigenlijk) ook "discoverable credentials", waarbij er ook al geen username nodig is vanuit de site. Meestal kun/moet je op de authenticator dan kiezen welke credential je wilt gebruiken, die wel gekoppeld is aan die specifieke site.

De informatie van WABetaInfo is ook niet echt duidelijk, er staat nergens of het je password vervangt of dat het werkt als MFA. Alleen "sign in safely" en dat zegt nogal weinig (MFA valt daar ook gewoon onder). Ik zou het zelf ook "securely" noemen, maar goed (het gaat om security, niet safety).
Wat is het nut hiervan?

De normale flow van whatsapp gebruik is:
- unlock je telefoon
- open whatsapp
- doe je ding

Krijg je nu met dit:
- unlock je telefoon
- open whatsapp
- unlock whatsapp
- doe je ding

Ik neem even aan dat het die tweede variant wordt en daar zie ik niets in. Het oogt mij zo onzinnig van sommige apps om na unlocken alsnog een eigen extra bevestiging te vragen. Let op, ik heb het due niet over inloggen in de app. Ik heb het over gebruik van de app wanneer je al ingelogd ben.

Mijn aanname kan ook fout zijn, dan is alles wat ik hierboven zij onzin :)
ik gok dat dit daar niet voor bedoeld is maar voor het aanmelden bij Whatsapp ;)
Het was mij ook verre van duidelijk uit het tweakers artikel waar deze functie voor bedoeld is (WhatsApp als passphrase generator?).
@TijsZonderH Wat essentiële info uit de bron zou niet misstaan:
It adds an extra layer of protection to allow users to sign into their accounts easily and safely. In addition, since a passkey is always stored securely in a compatible password manager, it allows users easy access while keeping protections in place to prevent unauthorized access. It’s worth noting that users are always in control over their passkey as they can be easily revoked within the same screen.
Ah, dat had best wel in dit artikel mogen staan (@TijsZonderH !). Thanx, duidelijk. Een verbeterde aanmeld stap, niet een "app openen is elke keer bevestigen dat jij ben wie je ben" stap.

Oftewel de "normale flow" zoals ik het hierboven beschreef.
AuteurTijsZonderH Nieuwscoördinator @geekeep20 september 2023 17:53
We moeten altijd een afweging maken tussen wat lezers mogelijk al weten of wat we als nodige achtergrondinformatie zien. We hebben in het verleden al vaker geschreven over passkeys en wat ze doen, en in dit artikel noem ik het ook 'een alternatief voor 2fa'. Daar komt dan vervolgens de link bij naar onze verder vrij uitgebreide achtergrond, die zowel in artikelvorm als op video goed uitleggen wat passkeys zijn. Voor een dergelijk kort bericht als dit zou zo'n lange uitleg dan overkill zijn, dan link ik daar liever naartoe.
Dat is 1 bijzin zeg, daarmee is het duidelijk.

Apple kan het ook met "Streamlined sign-in, without passwords". Je verbeterd het artikel ermee zonder dat het een klik circus wordt.

Jullie zeggen ook nog steeds "X, het voormalige twitter" zonder dat je daarvoor eerst naar een achtergrondartikel of video moet gaan.
Inderdaad want WhatsApp kan je al met fingerprint beveiligen. Onder instellingen-privacy
Deze toevoeging van pass-keys is bedoeld voor het aanmeldproces, zoals je dat ervaart wanneer je een nieuwe telefoon hebt, en niet voor het openen van WhatsApp. Beschouw het als een tweefactorauthenticatie.
Passkeys moeten wachtwoorden vervangen
Daar lijkt het op. Waarom weet niemand, want het is eigenlijk helemaal niet handig. Maar er is een sterke push. Daar zal dan wel een rede achter zitten (alu hoedje op) zoals een back-door.
Zucht, dat alu-hoedjes gedoe is nergens op gebaseerd. Die sterke push is er omdat wachtwoorden geen geschikte oplossing blijken te zijn voor de meeste mensen. De standaard waar Passkeys mee werken is open en er zijn al diverse onafhankelijke implementaties waar je tussen kunt kiezen.
Nee. Het is gebaseerd op een technologie die al tientallen jaren bewezen is. Het is sterker omdat wachtwoorden niet meer geraden kunnen worden
Moet ik me zorgen maken als ik straks een nieuwe simkaart koop waarvan het nummer is gerecycled. Kan ik dat nummer niet meer gebruiken voor whatsapp ?
Met de huidige security codes is het zo dat je na bevestiging SMS waaruit jouw controle/eigenaarschap van het nr blijkt en vervolgens 7 dagen cooldown zonder tegenstrijdige respons van het huidige account op dat nummer, je uiteindelijk zo na die 7 dagen dat nummer wel kan gaan gebruiken met je eigen account.
Klein kritiekpuntje: waarom is het bijgevoegde plaatje (screendump) zo groot? Het is nu niet dat daar veel informatie op te lezen is.....

Op dit item kan niet meer gereageerd worden.