Passkey wordt standaard loginmethode Google-accounts

Google maakt van passkeys de standaardmethode om in te loggen op accounts. Dat was tot nu toe een wachtwoord.

Een wachtwoord blijft verplicht voor op plekken waar inloggen met passkeys niet kan, maar gebruikers krijgen standaard passkeys als methode van inloggen, meldt Google. Daardoor werkt het inloggen met gezichtsscan, vingerafdruk of pincode, in plaats van een wachtwoord. Google ondersteunt passkeys sinds eerder dit jaar. Er komt ook een optie in instellingen die gebruikers laat inloggen met een passkey als dat kan.

Reacties (153)

Quentin 11 oktober 2023 08:49

Ik heb het filmpje bekeken maar begrijp die passkeys nog niet goed.

Betekent dit dat je straks als je even lekker een uurtje wilt browsen en wat sites bezoeken (tweakers, nu, nos, imdb, facebook etc) ik dus 10x mijn telefoon kan pakken en me kan identificeren?
Nu staan bij al die sites de wachtwoorden gewoon in chrome opgeslagen en wordt ik automatisch ingelogd.
Dat is toch niet te doen?
Of maak ik een denkfout hier?

Ook is het me niet duidelijk wat er gebeurd als je de telefoon kwijtraakt of als hij kapot gaat. Dan kun je nergens meer in. Is er een backup mogelijheid via oude mail/ww zodat je je login kunt aanpassen naar een nieuwe tel dan? Lijkt me erg gevaarlijk zo afhankelijk te zijn van 1 apparaat.

Strebor

@Quentin • 11 oktober 2023 11:02

Wat je beschrijft geldt al voor 2FA. Elke keer als je wil inloggen moet je je telefoon erbij pakken, een code overnamen, en de code invoeren of plakken in het 2FA invoerveld voor een website inlogpagina. Althans, de meeste mensen hebben hun 2FA authenticator op hun telefoon.

Niet werken met 2FA, betekent dat als iemand je wachtwoord onderschept, dat ze zeker je account inkunnen.

Passkeys, zal werken vanuit de wachtwoordmanager op je device. Bijvoorbeeld in de Chrome wachtwoord manger, of via een externe wachtwoordmanager zoals 1Password, Lastpass, of op een Mac in de Keychain. Bovendien kun je via die diensten je keys veilig in de cloud opslaan, zodat ze syncen op al je devices (bijvoorbeeld iphone, ipad, macbook). Bovendien werkt dit als een backup van je keys, zodat als je een device kwijtraakt, je niet je passkeys kwijt bent.

Als je dus in Chrome Tweakers.net bezoekt, en moet inloggen met een passkey, zal dat zonder tussenkomst gaan van je smartphone. De Chrome wachtwoordmanager zal de passkey doorgeven, net zoals hij dat nu met je wachtwoord doet.

[Reactie gewijzigd door Strebor op 22 juli 2024 20:44]

Stromboli 11 oktober 2023 08:07

Ik wil nóóit met een vingerafdruk of gezichtsscan inloggen. En al helemaal niet bij Google.

Om meerdere redenen, maar om te beginnen omdat je ze niet kunt veranderen. Zoals bij passwords wel het geval is. En omdat je geen verschillende onafhankelijke unieke vingerafdrukken of gezichtsscans per account kunt gebruiken.

telenut @Stromboli • 11 oktober 2023 10:09

je logt niet in met uw gezichtsscan of vingerafdruk. Maar met een key die aangemaakt is en vrijgegeven kan worden door uw systeem aan de hand van uw gezichtsscan of vingerafdruk.
Die key kan je dus wel degelijk intrekken. Maar die verlaat uw toestel eigenlijk ook al niet... zit in een beveiligde chip.

vliegendekat @telenut • 11 oktober 2023 15:17

je logt niet in met uw gezichtsscan of vingerafdruk. Maar met een key die aangemaakt is en vrijgegeven kan worden door uw systeem aan de hand van uw gezichtsscan of vingerafdruk.
Die key kan je dus wel degelijk intrekken. Maar die verlaat uw toestel eigenlijk ook al niet... zit in een beveiligde chip.

Er zijn in het verleden al vingers afgehakt om langs vingerafdrukscanners van telefoons te komen. Tegenwoordig zijn er technieken om de vingerafdruk die nodig is om de scanner te ontgrendelen en toch al op de telefoon zit, ook daadwerkelijk van de telefoon zelf af te halen en bruikbaar te maken. Kosten: onder de 15 euro per aanval.
Er zijn ogen uitgestoken om langs iris-scanners te komen. Tegenwoordig scant en kopieert men de iris gewoon op een contactlens. Kosten: 50 euro per aanval.
En er zijn mensen ontvoerd en gedrogeerd om langs de gezichtsscans te komen. Kosten: Een shot GHB.

Ook in lullige situaties voor lullige misdaden zoals een snelle beroving tijdens of na een avondje stappen.

@Stromboli heeft dus gelijk, maar onderschat nog steeds het gemak waarmee biometrie omzeild wordt en het gevaar dat er voor de gebruikers is als je het gebruik ervan verplicht, door de neus boort, of "aantrekkelijker dan de andere opties" maakt.

Biometrie in authenticatie en/of autorisatie, is dus een zeer slecht idee. Geef ze maar een FIDO2-token/smartcard + pincode.

[Reactie gewijzigd door vliegendekat op 22 juli 2024 20:44]

Kaoh

@vliegendekat • 11 oktober 2023 15:45

Er zijn mensen neergeschoten om hun pincode te ontfutselen. Er zijn mensen vermoord om hun fysieke waardevolle spullen af te pakken.

Beveiliging gaat altijd maar zo ver en als de crimineel ver genoeg wil gaan zal er altijd een punt zijn waar met genoeg geweld of druk iets berijkt wordt.
Dus drempels omhoog zodat de crimineel over hogere drempels moet werkt zeker wel. Een grote groep die wel iets wilt stelen is niet instaat tot geweld.

vliegendekat @Kaoh • 11 oktober 2023 17:00

Er zijn mensen neergeschoten om hun pincode te ontfutselen. Er zijn mensen vermoord om hun fysieke waardevolle spullen af te pakken.

Beveiliging gaat altijd maar zo ver en als de crimineel ver genoeg wil gaan zal er altijd een punt zijn waar met genoeg geweld of druk iets berijkt wordt.
Dus drempels omhoog zodat de crimineel over hogere drempels moet werkt zeker wel. Een grote groep die wel iets wilt stelen is niet instaat tot geweld.

En dat is nou net het punt van biometrie: Het verlaagt de drempels voor aanvallers in plaats van dat het deze verhoogt.

Terwijl er vrij oude en bewezen alternatieven zijn die dergelijke problemen niet hebben (smartcards, FIDO2 enzovoorts).

timmie1989 @vliegendekat • 11 oktober 2023 18:08

Ik snap niet hoe smartcards veiliger zijn dan biometric?
Als ik al zo ver wil gaan om iemands hand af te hakken dan kan ik toch ook wel een smartcard ontfrutselen?

Ik vind het maar een extreme reactie en een situatie waar mogelijk 0.001% van de users ooit mee in aanraking komt.

Muqq @vliegendekat • 12 oktober 2023 08:42

Als je partner je vinger af wilt hakken of je oogballen uit wilt lepelen om te controleren of je op Tinder zit moet je je sowieso even achter de oren krabben of je wel in een gezonde relatie zit.

Claimen dat biometrie niet veilig is, omdat wellicht iemand je iets aan kan doen is natuurlijk klinkklare onzin.

vliegendekat @Muqq • 12 oktober 2023 17:56

Als je partner je vinger af wilt hakken of je oogballen uit wilt lepelen om te controleren of je op Tinder zit moet je je sowieso even achter de oren krabben of je wel in een gezonde relatie zit.

Claimen dat biometrie niet veilig is, omdat wellicht iemand je iets aan kan doen is natuurlijk klinkklare onzin.

Je partner drukt gewoon je vinger op een scanner terwijl je slaapt.
De mensen van wie je echt iets te vrezen hebt, gaan verder.

Dus ja, het is wel degelijk minder veilig.

GroundBreaking @vliegendekat • 14 oktober 2023 07:05

Dus die pincode afkijken bij het gebruik van een smartcard om later die card te steken en te gebruiken is veel moeilijker dan iemand in zn slaap niet wakker maken maar wel exact de goede vinger op een apparaat te drukken?

Ik zeg niet dat er niks tegen biometrische beveiliging is. Maar de punten die je aanvoert zijn niet echt redenen.

vliegendekat @GroundBreaking • 14 oktober 2023 17:24

Dus die pincode afkijken bij het gebruik van een smartcard om later die card te steken en te gebruiken is veel moeilijker dan iemand in zn slaap niet wakker maken maar wel exact de goede vinger op een apparaat te drukken?

Ja, dat is in de praktijk echt flink wat moeilijker.

Zeker als u kijkt naar de statistieken rondom bijvoorbeeld huiselijk geweld.
Dat gaat om 8,7% van de mensen (mannen en vrouwen), dus zeg maar gerust dat daar een kans van ongeveer 1 op 10 van uit gaat.

Hoeveel zakkenrollers/diefstallen van smartcards zijn er?
Minstens 1, maar waarschijnlijk meerdere ordegroottes minder dan die 1 op 10.

Ik zeg niet dat er niks tegen biometrische beveiliging is. Maar de punten die je aanvoert zijn niet echt redenen.

Ik heb het reeds eerder en hierboven wederom met breed verkrijgbare (dat wil zeggen dat u meerdere bronnen, zoals bijvoorbeeld het CBS kunt vinden met 1 zoekopdracht) statistieken onderbouwd.

Wat wilt u nog meer, want dit argument is keihard, staat als een huis, is onderbouwd en kan niet meer door u onderuit gehaald worden.

Aldy @vliegendekat • 17 oktober 2023 15:15

Als ik jou was zou ik een einde aan mijn relatie maken. Levensgevaarlijk, direct is je hoofd eraf. $_/-\o_$

vliegendekat @Aldy • 18 oktober 2023 22:16

Als ik jou was zou ik een einde aan mijn relatie maken. Levensgevaarlijk, direct is je hoofd eraf. $_/-\o_$

U kunt of wilt niet begrijpend lezen.

Dat soort mensen zijn niet te redden of te behoeden voor de eigen stupiditeit en het is maar te hopen dat zij nooit zeggenschap krijgen over de inrichting van een dergelijk systeem.

Aldy @vliegendekat • 19 oktober 2023 09:58

Jammer dat je m'n grapje niet begreep. Maar de ondertoon daarvan is wel duidelijk, volgens mij. Indien jij je partner niet vertrouwt, of omdat hij/zij dingen achter je rug doet of omdat hij/zij nieuwsgierig is naar wat jij doet en daar alles voor over heeft, dan kun je beter de relatie verbreken. Een relatie is gebaseerd op wederzijds vertrouwen en natuurlijk komt daar meer bij kijken, maar het is wel het fundament.
Statistieken zijn leuk, maar je hebt het over huiselijk geweld en bij huiselijk geweld kun je ook een pincode en/of wachtwoord ontfutselen. Alleen daarom al is dit geen steekhoudend argument.
Juist al jouw tegenwerpingen zijn eenvoudig met geweld te ontfutselen en dat wordt moeilijker bij biometrische beveiliging, zeker als het over een gezicht gaat.

vliegendekat @Aldy • 19 oktober 2023 17:31

Jammer dat je m'n grapje niet begreep. Maar de ondertoon daarvan is wel duidelijk, volgens mij.

De grap en de ondertoon zijn duidelijk, maar beiden ontzettend domme en valse argumenten en/of vergelijkingen die duidelijk maken dat u mijn punt totaal heeft gemist.

Mijn punt gaat namelijk niet over het wel of niet vertrouwen van mijn partner.

Mijn punt gaat wel over de keuzes die gemaakt worden bij de inrichting en bouw van een dergelijk systeem.

Het punt dat ik dan maak is dat je op basis van statistieken kunt stellen dat een systeem, zelfs als het slechts 10 gebruikers heeft, al op minstens één van deze manieren zal worden aangevallen.

Alleen daarom al is dit geen steekhoudend argument.
Juist al jouw tegenwerpingen zijn eenvoudig met geweld te ontfutselen en dat wordt moeilijker bij biometrische beveiliging, zeker als het over een gezicht gaat.

Het wordt niet moeilijker bij biometrische beveiliging.
In tegendeel zelfs.

Het argument staat nog steeds als een huis en "Vanaf 10 gebruikers" is een zeer lage lat.

Dus: Een smartcard met een pincode kan worden afgegeven als er wordt gedreigd met een schending van de lichamelijke integriteit en kan derhalve letsel voorkomen.
Echter moet een aanvaller in het bezit zijn van beiden. Als deze de pincode of de kaart niet heeft, is het systeem veilig.

Biometrie opent de deur voor allerlei andere ellende:

Een gezicht kan worden gescand, vanaf (in het beste geval) een papiertje, maar als de scanner beter is en dat papiertje niet meer werkt, hebben we het al snel over schendingen van de lichamelijke integriteit, zoals ontvoering, drogeren of iemand scannen in zijn of haar slaap.

Voor irisscans geldt dat deze bij een aanval in het beste geval onder dwang worden afgegeven of worden gescand als iemand slaapt, maar daarna gaan we ook al zeer snel naar schendingen van de lichamelijke integriteit en/of lichamelijk letsel.

Voor vingerafdrukken gelden vergelijkbare argumenten.

Op basis daarvan stel ik: Biometrie voor authenticatie/autorisatie is een zeer slecht idee.
Let wel op dat authenticatie en autorisatie zwaardere eisen zijn dan louter identificatie.

Voor identificatie is biometrie uitermate geschikt, maar op basis van identificatie open je geen beveiligde deuren en/of systemen. Het gaat dus mis zodra biometrie gebruikt kan worden om acties (zoals bijvoorbeeld het openen van een deur of een login) te autoriseren.

Tevens heb ik ook gesteld dat u, omdat u dit niet uit mijn eerdere reacties kon of wilde halen, u problemen heeft met begrijpend lezen.

Aldy @vliegendekat • 19 oktober 2023 19:09

Begrijpend lezen was ook geen vak bij mij op school, ik heb leren lezen wat er staat.
En wat er staat vind ik nog steeds flutargumenten.

TrekVogel @vliegendekat • 11 oktober 2023 18:59

Waar iets te halen valt zullen criminelen ook zijn. Dat het allemaal kan wat je noemt is absoluut waar, en ook nog eens niet duur. Maar hoe groot is de kans dat zoiets gebeurt? Ik gok kleiner dan dat ik beroofd wordt en die kans is al niet heel groot. Ik ga 's avonds gewoon over straat en ik gebruik gewoon mijn vingerafdruk. Ik gok dat er wel interessantere slachtoffers zijn dan ik. En anders heb ik een keer pech.

Benjamin040 @vliegendekat • 11 oktober 2023 20:23

Ja zo lust ik er nog een paar. Daar heb ik een simpele oplossing voor, dreig je een ledemaat of erger, je leven te verliezen dan geef je de inlogcode, pin of ontgrendeling met vingerafdruk, direct af. En opgelost. Niets is je leven waard. Tenzij je natuurlijk een slechte porno op je laptop hebt staan waarin je de hoofdrol speelt, dan zou ik me kunnen voorstellen dat je er een nachtje over wilt slapen. In al andere gevallen, be my guest.

vliegendekat @Benjamin040 • 14 oktober 2023 17:31

Ja zo lust ik er nog een paar. Daar heb ik een simpele oplossing voor, dreig je een ledemaat of erger, je leven te verliezen dan geef je de inlogcode, pin of ontgrendeling met vingerafdruk, direct af. En opgelost. Niets is je leven waard. Tenzij je natuurlijk een slechte porno op je laptop hebt staan waarin je de hoofdrol speelt, dan zou ik me kunnen voorstellen dat je er een nachtje over wilt slapen. In al andere gevallen, be my guest.

Ook dat is niet waar het hier om gaat.

Het gaat erom dat de mensen die een dergelijk systeem inrichten, de verantwoordelijkheid hebben om hier op voorhand over na te denken.

En bij de inrichting van een dergelijk systeem hoort niet het oogluikend toestaan van mogelijkheden die leiden tot lichamelijk letsel.

Uw oplossing "sta de login maar af" gaat als het op biometrie aankomt dus mank op het feit dat de biometrie niet eenvoudig kan worden afgegeven als het wel nodig is.

Een smartcard + pincode kan je uit handen geven als het noodlot toeslaat.

Een vingerafdruk niet en dat resulteert in de afgehakte vinger omdat slechts een heel selecte en zeer dure reeks vingerafdrukscanners controleert of er nog een hartslag in die vinger zit.

En natuurlijk kan men een vingerafdruk kopiëren, maar dat gaat niet zo snel als een sigarenknipper.

Ik wil niet op mijn geweten hebben dat iets dergelijks gebeurt door de keuzes die ik gemaakt heb bij de inrichting van mijn systeem.

Maar dit is wel wat er gaat gebeuren.

Stromboli @telenut • 11 oktober 2023 20:44

Kan ik het ook gewoon vrijgeven met een wachtwoord? Net zoals ik nu ook doe met een password manager.

Misschien moet ik me eerst wat beter inlezen in die passkey techniek, uit het weinige wat ik er tot nu toe van weet haal ik niet zo 1-2-3 welk probleem het nou eigenlijk oplost.

vliegendekat @Stromboli • 14 oktober 2023 17:34

Kan ik het ook gewoon vrijgeven met een wachtwoord? Net zoals ik nu ook doe met een password manager.

Misschien moet ik me eerst wat beter inlezen in die passkey techniek, uit het weinige wat ik er tot nu toe van weet haal ik niet zo 1-2-3 welk probleem het nou eigenlijk oplost.

Technisch gezien, zijn wachtwoorden, mits de entropie boven de 128 bits zit, beter dan passkeys.

In de praktijk kiezen mensen vaak zeer zwakke wachtwoorden en daar gaat het mis.

Dus zwakke wachtwoorden < passkeys < sterke wachtwoorden.

Tevens vallen de passkeys, net zoals alle huidige PKI-infrastructuur, per direct om als men erin slaagt om een kwantumcomputer van serieuze afmetingen te bouwen (een paar megaqbits), maar dat is weer een heel andere discussie.

Kabouterplop01 @Stromboli • 11 oktober 2023 08:40

Helemaal eens, je blijft hun product dus aan welke instantie zullen ze deze gegevens als eerste verkopen? Niet aan de groenteboer. Het blijft de grootste spyware leverancier ter wereld.

ShinobiX9X @Kabouterplop01 • 11 oktober 2023 14:05

Lol, en degenen die dat het luidst roepen gebruiken domweg Microsoft en Windows verder. En facebook en etc. Hahaha ik lach me een bult

Aldy @Kabouterplop01 • 11 oktober 2023 14:43

Het blijft de grootste spyware leverancier ter wereld.

En ik maar denken dat dit FB is.

dutchminator @Stromboli • 11 oktober 2023 10:51

Als ik het goed begrijp, is de nuance hier dat jij met je vinger of gezicht authentiseert op je eigen apparaat om de passkey voor google.com te ontgrendelen. Google, of welke partij dan ook, krijgt niet jouw biometrische gegevens. Bij hen authentiseer je met de ontgrendelde passkey.

rijnsoft @Stromboli • 11 oktober 2023 11:39

Ik snap je reactie helemaal, en voel het zelf ook zo, maar ik denk dat dit een verloren strijd is. Je wilt niet weten hoe ongemakkelijk ik me voelde toen mijn vingerafdruk nodig was voor een nieuw paspoort. Voor de meesten is dit al normaal.

Computers zijn tegenwoordig krachtig en goedkoop genoeg om complexe biometrische gegevens te verzamelen en te bewaren. Combineer dat met een grote behoefte om mensen te controleren en het is onvermijdelijk dat het gebeurt. Dit alles gebeurt natuurlijk altijd onder het mom dat het beter en vooral veiliger is zo.

Referentie: Centrale voorziening voor biometrische gegevens Paspoortwet

vliegendekat @rijnsoft • 14 oktober 2023 18:40

Ik snap je reactie helemaal, en voel het zelf ook zo, maar ik denk dat dit een verloren strijd is. Je wilt niet weten hoe ongemakkelijk ik me voelde toen mijn vingerafdruk nodig was voor een nieuw paspoort. Voor de meesten is dit al normaal.

Één troost: De manier waarop de verwerking van vingerafdrukken in paspoorten werkt is dat men, gegeven een document EN een vingerafdruk, wel kan controleren of de twee bij elkaar horen...

Maar ook zodanig dat het niet mogelijk is om gegeven een vingerafdruk of het document, aan de hand van de databank, de bijbehorende documenten (en daarmee de persoon) te herleiden.

rijnsoft @vliegendekat • 14 oktober 2023 20:33

Ik heb dit op een aantal overheidssite nagezocht, en wat ik kan vinden is:

De vingerafdrukken staan na uitreiking, enkel opgeslagen op de chip van het document zelf.

M.a.w. volgens de overheid zelf wordt de vingerafdruk in ruwe vorm in de chip opgeslagen. Ik snap jouw logica, en dat zou inderdaad een goed systeem zijn, maar wordt het ook toegepast? Ik kan het niet vinden. Heb je het zelf bedacht?

Een aantal redenen om daadwerkelijk de min-of-meer ruwe afdruk in het paspoort op te slaan kunnen zijn:

Het is net zoiets als een foto. De foto staat in het paspoort, waarom een vingerafdruk dan niet. Dat het digitaal is maakt het alleen maar makkelijker om mee te werken.
Als je alleen een hash van de vingerafdruk in het paspoort opslaat, leg je het algorithme waarmee een afdruk herkend wordt van tevoren vast. Dat betekent dat alle landen hetzelfde algorithme moeten gebruiken, en bij elke update weer. Dat beperkt de bruikbaarheid van de vingerafdruk behoorlijk.

De reden waarom overheden verwachten, dat je van hen een paspoort koopt, is dat ze je daaraan kunnen herkennen. Waarom zouden overheden daarin dan enige terughoudendheid vertonen?

vliegendekat @rijnsoft • 18 oktober 2023 22:14

Heb je het zelf bedacht?

Nee. Ik heb ooit een vak security en cryptografie gevolgd en later gegeven waarbij dit aan bod komt.
Derhalve ook gesproken met de mensen die het hebben ontwikkeld en ontwerpliteratuur ingezien.

De vingerafdrukken worden opgeslagen als een reeks 4-tupels (x,y,r), waarvan x en y willekeurig gekozen posities op de bitmaps van de vingerafdrukken en r vervolgens een richting van een vector is waar de contour van de vingerafdruk op die positie in loopt.

Dat is veel kleiner, efficiënter en ook eenvoudiger te controleren als de vinger op een andere manier op de scanner wordt gelegd, omdat de relatieve posities en de richtingen ten opzichte van elkaar hetzelfde blijven.

Tevens is dit ook hoe bijna alle serieuze vingerafdrukscanners werken.

Een aantal redenen om daadwerkelijk de min-of-meer ruwe afdruk in het paspoort op te slaan kunnen zijn:
Het is net zoiets als een foto. De foto staat in het paspoort, waarom een vingerafdruk dan niet. Dat het digitaal is maakt het alleen maar makkelijker om mee te werken.
Als je alleen een hash van de vingerafdruk in het paspoort opslaat, leg je het algorithme waarmee een afdruk herkend wordt van tevoren vast. Dat betekent dat alle landen hetzelfde algorithme moeten gebruiken, en bij elke update weer. Dat beperkt de bruikbaarheid van de vingerafdruk behoorlijk.
De reden waarom overheden verwachten, dat je van hen een paspoort koopt, is dat ze je daaraan kunnen herkennen. Waarom zouden overheden daarin dan enige terughoudendheid vertonen?

Men slaat dus geen hashes en ook geen bitmaps op.

Verder: Zie mijn vorige bericht, want i.c.m. het bovenstaande uit deze reactie zijn al uw vragen nu beantwoord.

rijnsoft @vliegendekat • 18 oktober 2023 22:45

Zo'n reeks (x,y,r) coördinaten vormen dus wat ik bedoelde met "een min-of-meer ruwe vingerafdruk". We praten dus over hetzelfde.

Het is mij nog steeds niet duidelijk waarom dit, als het in een database is opgeslagen, niet gebruikt kan worden om een willekeurige set afdrukken te matchen met een persoon uit te database?

Ik ben trouwens programmeur, en heb weliswaar nooit met vingerafdrukken gewerkt, maar wel bijvoorbeeld met handschrift en de herkenning daarvan. Ook daar gebruiken we uiteraard geen bitmaps voor opslag, maar het handschrift kan wel degelijk, met een zekere "fidelity", gereconstrueerd worden uit de opgeslagen gegevens. Ik schrik dus niet van technische details, een weet vrij goed wat mogelijk is.

vliegendekat @rijnsoft • 19 oktober 2023 17:06

Het is mij nog steeds niet duidelijk waarom dit, als het in een database is opgeslagen, niet gebruikt kan worden om een willekeurige set afdrukken te matchen met een persoon uit te database?

Omdat het niet mogelijk is (en zeker niet zonder gerede twijfel) om de onderliggende contouren te reconstrueren uit dergelijke vector-data. Het is, wiskundig gezien en reeds bewezen, eenrichtingsverkeer.

Simpel gezegd: Iedereen kan op basis van de opgeslagen puntvectoren, een stel contouren tekenen die op een vingerafdruk lijkt en tevens ook matcht met de gegeven set puntvectoren. Tevens macht een set puntvectoren ook niet noodzakelijkerwijs met slechts één vingerafdruk en is het aantal mogelijke duplicaten en/of false-positives in de database ook substantieel als men erop tracht te zoeken.

Het is dus heel goed mogelijk dat er een andere persoon rondloopt waarvan de contouren in de vingerafdruk, kunnen matchen met de reeks vectorpunten die voor u is opgeslagen, terwijl de contouren er bij visuele inspectie (die wel verloopt op basis van bitmaps) totaal anders uit zien dan die van u.

In het verlengde daarvan: Het is dus ook mogelijk om op basis van de reeks opgeslagen punten, een contour te creëren dat matcht met wat er in uw paspoort/scanner of telefoon is opgeslagen en dus de scanners activeert. Echter zal zo'n vingerafdruk er substantieel anders uit zien dan uw echte vingerafdruk.

De kans echter, dat er iemand met een toevallig matchende vingerafdruk rondloopt, die tevens ook matcht met de attributen die ook op uw paspoort vermeld staan, is zeer gering. Het kan voorkomen en komt ook relatief vaak voor bij eeneiige tweelingen.

Het is dus wel bruikbaar voor de tests: "Geven een document EN een persoon, hoort dit document bij deze persoon?" of "Geven een document EN een persoon, hoort deze persoon bij dit document?" en niets anders.

Dit is in tegenstelling tot de vingerafdrukkendatabase voor criminelen, want die slaat wel degelijk volledige bitmaps op. Gelukkig gelden daar ook andere eisen voor, maar ook die is niet onfeilbaar.

Overigens werkt de Amerikaanse paspoort-database wel op basis van bitmaps en die behandelen u dus op voorhand als crimineel.

En wat uw telefoon doet? Dat is afhankelijk van de door de fabrikant gekozen scanner.

rijnsoft @vliegendekat • 19 oktober 2023 21:26

Ik denk dat we het eens zijn. Het is afhankelijk van de hoeveelheid opgeslagen coördinaten. Jij zegt dus dat er te weinig coördinaten in een paspoort chip ongeslagen worden om deze te gebruiken voor een search, maar genoeg voor een 1-op-1 match. Dat komt volgens mij dan vrij nauw, maar is statistisch gezien zeker mogelijk. Ben benieuwd wat dat aantal dan is...

vliegendekat @rijnsoft • 20 oktober 2023 02:57

Meestal een paarhonderd tot enkele tienduizenden.
Het geheugen van de chip in een paspoort bevat immers minder dan 8MB en het formaat vingerafdrukveld wordt gemeten in bytes.

Zeror

11 oktober 2023 07:15

Ik kan dit alleen maar toejuichen. Veel beter.

Stromboli @Zeror • 11 oktober 2023 08:09

Absoluut niet. Misschien als ze het als optie *erbij* zouden aanbieden voor wie dat wil.

Het is beslist niet veiliger dan mijn lange gegenereerde (door password manager) random alfanumerieke unieke passwords per account.

En je vingerafdruk of gezichtsscan is makkelijker te scannen of kopiëren dan een lang password. En bovendien komen ze met je vingerafdruk of gezichtsscan dan meteen in al je accounts waar je dat voor gebruit, met een password maar in één. En je kunt het niet aanpassen als er iets gelekt is.

jcbvm

@Stromboli • 11 oktober 2023 08:17

Het is ons sommige gevallen wel veiliger dan een lang wachtwoord, denk aan phishing aanvallen.

Snap je punt wel, maar als je bijv. al een wachtwoordmanager gebruikt op je telefoon die vergrendeld is met Face ID of vingerafdruk zit je in hetzelfde schuitje. Dat is net zo “onveilig” als het gebruik van een passkey.

Als je keys zijn gelekt kun je die gewoon aanpassen naar nieuwe keys.

Mizgala28 @jcbvm • 11 oktober 2023 08:42

Ik hoop dat bank apps dit niet ook af dwingen op ten duur.

Ik gebruik juist beuwst een code voor die apps, omdat als je vingerafdruk of faceid gebruikt, iemand ook met de patroon/pin of toegangscode ook in die app kan komen.

PrimusIP @Stromboli • 11 oktober 2023 09:18

Als je 2fa gebruikt, sterke wachtwoorden laat genereren en ze regelmatig weer vervangt, dan is een passkey zeker niet veiliger.
Als je echter geen 2fa gebruikt en al tien jaar het zelfde wachtwoord gebruikt dat je ook op andere sites gebruikt, zijn passkeys een stuk veiliger. En in de praktijk zie je het laatste nog veel te veel gebeuren. In de praktijk is voor 'de massa' passkeys een veiliger optie.

En wat betreft die vingerafdrukscanner of gezichtsscanner: Dat is ook zonder passkey het geval. Passwordmanagers (al dan niet geintegreerd in je OS van je telefoon) kunnen ook unlocked worden. En dat geldt ook voor 2fa (via app of sms). Dat kun je anders instellen, maar dat geldt ook voor passkeys.

F_J_K Forummoderator @Stromboli • 11 oktober 2023 09:45

Groot(ste) voordeel van passkeys is dat het
a) werkt obv PKI: de site krijgt überhaupt jouw private key niet, als van site 1 de database is gejat kan dat niet worden gebruikt om bij site 2 binnen te komen
b) de domeinnaam is deel van de 'transactie': je passkey voor google.com werkt niet op en is zinloos voor g00gle.com

Neemt niet weg dat je inderdaad wel een mogelijkheid moet hebben om te resetten als je foon wordt gejat. En dat er nog steeds prima manieren zijn om je account over te nemen.

Het is weer een extra drempel. Veiliger dan username/password - mits je dus een backupmethode hebt.

GertMenkel

Google
Beveiliging en antivirus

@Stromboli • 11 oktober 2023 14:32

90% van de wachtwoorden die ik voorbij zie komen zijn Welkom123.

Jij en ik hebben dan misschien >64 willekeuriggegenereerde tekens als wachtwoord, maar we zijn een kleine minderheid.

Zoals het artikel aangeeft is dit slechts het standaardprompt, je kunt ook nog een wachtwoord instellen als je geen passkeys wilt.

Ik snap niet helemaal waar het idee vandaan komt dat je vingerafdruk of gezichtsscan naar websites worden gestuurd. Die gegevens blijven op je apparaat en worden gebruikt om een cryptografische sleutel te ontgrendelen op de daar speciaal voor ontwikkelde chip. Iedereen doet alsof Google je vingerafdruk leest, maar dat gebeurt natuurlijk helemaal nergens.

Aldy @Stromboli • 11 oktober 2023 14:49

Mijn vingerafdruk kan ik alleen op mijn telefoon gebruiken en voor mijn laptop heb ik weer opnieuw mijn vingerafdruk moeten invoeren. Op elk nieuw apparaat moet ik dit weer opnieuw doen. Dit in tegenstelling tot mijn wachtwoord van 20 random tekens. Op elk apparaat die ik bezit is mijn wachtwoordmanager benaderbaar en één keer mijn hoofdwachtwoord bemachtigd ben ik verkocht.

jcbvm

@Zeror • 11 oktober 2023 07:37

Qua veiligheid ben ik het met je eens. Maar niet op de manier hoe het nu gaat.

Mensen staan namelijk niet stil bij wat er gebeurt als ze hun telefoon verliezen of gestolen wordt. Bij een passkey kun je niet even een backup maken op papier van je belangrijkste accounts.

De passkeys staan dan weliswaar alsnog in de cloud bij Google of Apple, maar zij bieden beide op dit moment geen optie om de keys te exporteren.

Aalard99

@jcbvm • 11 oktober 2023 07:43

Eens, ik zou graag zien dat je uit een eco systeem kan stappen van een aanbieder. Helaas is dat nu nog niet het geval.

Kroesss @Aalard99 • 11 oktober 2023 08:52

Als het vast opgeslagen ligt bij Google of een van de andere techreuzen, hoe zou het dan gaan als zij besluiten om je account te bevriezen? Er zijn voorbeelden genoeg van afgesloten accounts nadat er een foto van je kind in een zwembad geautomatiseerd is aangemerkt als KP of iets anders. En contact opnemen daarover is vaak onmogelijk.

[Reactie gewijzigd door Kroesss op 22 juli 2024 20:44]

berchtold @Aalard99 • 11 oktober 2023 08:57

Ik sla ze op in 1password. Werkt prima en al mijn apparaten kunnen erbij

Aldy @berchtold • 11 oktober 2023 14:54

en al mijn apparaten kunnen erbij

En dat is gelijk de zwakte van een wachtwoordmanager. Ik gebruik dit ook, dus dat is niet de reden dat ik dit zo schrijf. Maar als iemand mijn hoofdwachtwoord zou bemachtigen, dan is dit foute boel. Dit in tegenstelling tot mijn vingerafdruk. Die is maar voor één apparaat tegelijk en voor een ander apparaat moet ik die weer scannen.

berchtold @Aldy • 11 oktober 2023 15:25

voor 1password zou je en de secret key en het hoofdwachtwoord moeten weten.

GertMenkel

Google
Beveiliging en antivirus

@jcbvm • 11 oktober 2023 14:33

Of je nu passkeys of een wachtwoord gebruikt, de knop "wachtwoord vergeten" blijft het gewoon doen.

jcbvm

@GertMenkel • 11 oktober 2023 17:17

Ja maar dan zit je met een probleem als je niet bij je e-mail kunt

GertMenkel

Google
Beveiliging en antivirus

@jcbvm • 12 oktober 2023 17:53

Dat heb je altijd met een mailaccount, daarom vragen websites om je telefoonnummer en/of een herstelemailadres.

He passkey kwijtraken is zoiets als je wachtwoord vergeten: in beide gevallen heb je een andere oplossing nodig.

Lord Anubis @Zeror • 11 oktober 2023 08:05

Ik niet, omreden dat het ecosysteem nu kan bepalen wat jij kan bekijken ; zij kunnen nu in een keer bepalen of jij op bepaalde sites mag komen (inloggen).

jcbvm

@Lord Anubis • 11 oktober 2023 08:10

Hoe zie je dat voor je dan? Lijkt me heel sterk als ze vanuit het OS sommige keys gaan blokkeren… daarnaast kun je ze straks ook gewoon in een wachtwoordmanager naar keuze zetten.

Anoniem: 710428 @Lord Anubis • 11 oktober 2023 08:59

zij kunnen nu in een keer bepalen of jij op bepaalde sites mag komen (inloggen).?

Jerie

@Zeror • 11 oktober 2023 08:46

Beter dan wat? Ik gebruik nu een wachtmanager met Yubikey. Voor mij geheel transparant en duidelijk. Voor anderen misschien onduidelijk. Maaar mits ik de tools goed gebruik werken deze net zo goed.

HansvDr @Zeror • 11 oktober 2023 11:57

Alleen als het een keuze blijft. Want ik zit er niet op te wachten.

pizzafried 11 oktober 2023 07:22

Ik neem aan dat je niet wordt geforceerd tot het gebruik van een passkey? Ik vind het al irritant dat ik moet bevestigen met mijn telefoon bij betalingen. Vooral omdat dat ding niet altijd naast mij ligt. Zoals nu, hij ligt aan de andere kant van de woonkamer....denk ik...

tcviper

@pizzafried • 11 oktober 2023 07:28

Ik neem aan dat je niet wordt geforceerd tot het gebruik van een passkey? Ik vind het al irritant dat ik moet bevestigen met mijn telefoon bij betalingen. Vooral omdat dat ding niet altijd naast mij ligt. Zoals nu, hij ligt aan de andere kant van de woonkamer....denk ik...

Dan heb je het idee van passkeys toch niet begrepen denk ik, want passkeys kun je in je browser (chrome, safari, firefox etc), in je OS (Mac, iOS, Win etc) opslaan en je kunt die dan ook gebruiken voor het 'unlocken'.

mschol @tcviper • 11 oktober 2023 07:41

en hoe is dat veiliger dan een wachtwoord als alles op 1 apparaat staat?
dan is het overnemen van het apparaat (en dat is dmv social engineering bij heel veel mensen heel makkelijk) genoeg om bij google accounts te komen

het wordt pas veiliger als je een 2de apparaat moet gebruiken maar daar kleven ook nadelen aan.
ik heb bv een aantal weken terug best wat moeite moeten doen om mijn spontaan defecte yubikey uit allerlei accounts te halen..

telenut @mschol • 11 oktober 2023 10:03

als je mijn pc kan overnemen kan je nog altijd niet mijn gezicht voor de camera houden of mijn vinger op de scanner leggen...

pizzafried @telenut • 12 oktober 2023 22:24

Als ik die apparaten nou had op mijn laptop... maar nee. die ga ik ook los moeten kopen en overal naar toe slepen... en dan vergeten.

jcbvm

@mschol • 11 oktober 2023 08:01

Het is in die zin ook niet altijd veiliger. Maar voor de massa is het wel veiliger, want veel mensen gebruiken nog niet overal 2fa en hebben of zeer slechte wachtwoorden of gebruiken hun wachtwoord voor meerdere sites. Daarnaast is phishing via een nep domein onmogelijk met passkeys, dus dat zal zeker helpen voor de massa.

eindgebruiker

@tcviper • 11 oktober 2023 07:32

En hoe unlock je die opgeslagen passkey in je browser?

Gamebuster @eindgebruiker • 11 oktober 2023 07:36

Pincode, Windows Hello, vingerafdrukscanner, yubikey, apple watch, telefoon - wat jij wil!

elmuerte @Gamebuster • 11 oktober 2023 07:39

Net geprobeerd op https://www.passkeys.io/
Maar ik had geen keuze. In Firefox kreeg ik een vage "Windows Security" schermpje, en die wou vervolgens een "security key"...
Dat gaat echt leuk worden bij m'n ouders.

jcbvm

@elmuerte • 11 oktober 2023 08:21

Heeft Firefox wel ondersteuning voor passkeys?

elmuerte @jcbvm • 11 oktober 2023 08:44

Ja: https://passkeys.dev/device-support/
Maar ondersteuning voor passkeys is over het geheel (OS, browser, en andere clients): matig.

mifa @elmuerte • 11 oktober 2023 09:10

Op de telefoon (Fairphone 3, lineageOS, fennec f-droid) geen mogelijkheid om passkey aan te maken.

Op te laptop (lenovo ideapad 5 pro 16, ubuntu 22.04.3, firefox 118.0.1) krijg ik alleen een melding: "Touch your secuity key to continue [...]". Tja welke toets is dat? Ik heb geen Yubikey oid.

Dan maar geen passkeys.

Timelight @elmuerte • 11 oktober 2023 08:17

Leuk gevonden! Ik dacht ik probeer het ook even maar ik krijg alleen maar de mogelijkheid om een hardware token te gebruiken. Nu heb ik die wel maar ik zie mijn ouders die niet gebruiken dus ik had de hoop de andere mogelijkheden te testen. QR code bijvoorbeeld zo als ze dat nu al voor de bank zijn gewend. Maar helaas of ik doe iets verkeerd.

Gamebuster @elmuerte • 11 oktober 2023 08:31

In Firefox niet getest, maar in Chrome en Safari krijg je keuzes. Althans, ik wel. OS maakt ook verschil.

Het zal ook vast beter worden. De techniek staat open voor allerlei implementaties en ieder OS en browser doet zijn eigen ding.

[Reactie gewijzigd door Gamebuster op 22 juli 2024 20:44]

Mizgala28 @elmuerte • 11 oktober 2023 08:45

Hetzelfde issue op PC hier, irritant want daar zit ik meer op.

In FF op Android kwam meteen een Android pop up dat ik geen passkey heb.

WoutervOorschot

@elmuerte • 11 oktober 2023 10:21

Dit had ik ook bij gitlab op MS edge, terwijl ik wel de juiste windowsversie en Hello heb. Het moest perse op een telefoon of usb key. Dan wordt het nooit wat natuurlijk.

Als je een passkey niet eens kunt opslaan op het meestgebruikte OS. Op mobiel schijnt het wel beter te werken, maar daar is 2fa niet zo’n probleem want dan heb je je mobiel toch al bij de hand.

FreezeXJ @WoutervOorschot • 11 oktober 2023 10:34

Ach dan verplicht je iedereen toch gewoon om er een speciale Google-yubi bij te kopen voor $59.99? Zal niet zo'n probleem zijn, mensen zijn nogal gehecht aan hun Gmail-accountje. Daarna komt Microsoft met hun speciale MicroKey, dus mag je nogmaals $39.99 +$15 verzendkosten aftikken, en binnen no time kun je zelfs bij de Albert Heijn alleen nog maar betalen met hun eigen AppiKey, nu met ingebouwde bonuskaart en korting!

Doe mij maar gewoon username + password, dat kan tenminste niet goed uitgemolken worden. En als je em lekker op een sticky aan je monitor hangt, en een foto daarvan op Whatsapp zet, heb je em ook altijd bij je.

KroontjesPen @Gamebuster • 11 oktober 2023 08:26

Wachtwoorden worden weer pincodes

Video 03:52
Waar laat je die pincode dan weer.
Want dat is dan je nieuwe wachtwoord.
Wordt weer opslaan in Bitwarden.

Yubikey aangeschaft.
Dat moeten er dan twee zijn ingeval van zoekraken.
Ook daar pincodes.
Nu hier 2 ongebruikte voor mij te moeilijk om te begrijpen.

Gamebuster @KroontjesPen • 11 oktober 2023 08:33

Het is niet alleen een pincode maar ook een interactie met je Yubikey (aanraking).

Dit maakt het onmogelijk om de keys te stelen en gebruiken in andere computers zonder je Yubikey te stelen.

KroontjesPen @Gamebuster • 11 oktober 2023 08:58

Het gaat mij om die pincode(s).
In de video staan ze gelijk met de biometrisch mogelijkheden.
Gaat men weer makkelijke nemen om die te kunnen onthouden?
Of steeds weer dezelfde.

Gamebuster @KroontjesPen • 11 oktober 2023 19:06

De pincode is altijd hetzelfde voor al je wachtwoorden, en mag makkelijk zijn. Dat maakt weinig uit. De beveiliging wordt geregeld door je OS. De sleutel staat ergens opgeslagen (zoals in je OS, of een yubikey, of password manager) en dat is verantwoordelijk voor het afgeven van een token o.b.v. die sleutel. De pincode (of vingerafdrukscanner, oogscanner, etc) is enkel ter bevestiging, net als het unlocken van je telefoon.

Merk op dat er een hele hoop andere beveiligings-voordelen zijn die veel zwaarder wegen dan iemand die je pincode kent. De pincode werkt nl. alleen in combinatie met je specifieke hardware, terwijl een wachtwoord overal werkt. De pincode is alleen nuttig als ze je hardware stelen, kunnen inloggen op je hardware (indien relevant) en de pincode weten. Bij gestolen hardware kan je die sleutel natuurlijk gewoon intrekken en een andere sleutel gebruiken. Wel vervelend als je bij 100 sites die sleutel moet intrekken.

[Reactie gewijzigd door Gamebuster op 22 juli 2024 20:44]

KroontjesPen @Gamebuster • 11 oktober 2023 19:21

Je biometrische ontsluitingen kan je niet verliezen en kunnen ook niet nagemaakt worden.
Je pincode kan je vergeten en moet je weer veilig opslaan net als het wachtwoord dat je juist kwijt wilde zijn.
Moet nu toch al veel pincodes onthouden om ze niet elke keer echt te moeten ophalen van Bitwarden.

Gamebuster @KroontjesPen • 11 oktober 2023 19:35

Je biometrische ontsluitingen kan je niet verliezen en kunnen ook niet nagemaakt worden.

prima toch, dan gebruik je die

Je pincode kan je vergeten en moet je weer veilig opslaan

Vergeet je ook de toegangscode van je telefoon dan? Die pincode vul je meerdere keren per dag in

Moet nu toch al veel pincodes onthouden om ze niet elke keer echt te moeten ophalen van Bitwarden.

Precies wat passkeys wil oplossen

KroontjesPen @Gamebuster • 11 oktober 2023 21:48

Vergeet je ook de toegangscode van je telefoon dan? Die pincode vul je meerdere keren per dag in

Op mijn telefoon niet meerdere keren per dag.

[...]
Precies wat passkeys wil oplossen

Met een nieuwe pincode erbij.

Martinspire @KroontjesPen • 11 oktober 2023 08:38

Je moet inderdaad 2 yubikeys gebruiken omdat als je er 1 verliest, je als nog in ieder geval in je accounts kunt. En dat dupliceren is zo irritant want de meeste sites bieden dat dan niet aan

Aalard99

@eindgebruiker • 11 oktober 2023 07:41

Ik zou zeggen, kijk het filmpje waar deze reacties over gaan dan heb je volgens mij je antwoord.

tcviper

@eindgebruiker • 11 oktober 2023 08:20

Zodra je in wilt loggen op een site waar passkeys op staan (dit kun je in Wordpress bijv doen met WebAuthn), vraagt je browser om een passkey die je dan via je telefoon bijv kunt unlocken met FaceID via de camera app als deze bijv in je icloud opgeslagen is.

Mizgala28 @tcviper • 11 oktober 2023 08:49

Ik maak mij meer zorgen over hoe dat straks op PC gaat werken, ik maak altijd alleen een lokale backup van mijn FireFox als ik een verse Windows installatie uitvoer.

Op een telefoon zal het wel prima werken, maar ik wil niet mijzelf hierdoor in een ecosysteem dwingen, nu kan je nog makkelijk tussen bijv iOS en Android wisselen.

pizzafried @tcviper • 11 oktober 2023 15:53

jup. dat kan. Maar ik wil op meer dan 1 machine inloggen.

tcviper

@pizzafried • 11 oktober 2023 18:52

Ik log ook in op 3 machines hoor?

Aalard99

@pizzafried • 11 oktober 2023 07:38

Uiteindelijk is dat aan de dienst waar jij gebruik van gaat maken, die bepalen hoe jij kan inloggen.

Andere vraag, waarom vind je dit irritant? Nooit geen wachtwoord meer onthouden en altijd op een veilige manier inloggen met je mobiel, yubikey, etc? Hoe regel je nu je 2fa?

[Reactie gewijzigd door Aalard99 op 22 juli 2024 20:44]

Stromboli @Aalard99 • 11 oktober 2023 08:11

Wachtwoorden moet je natuurlijk sowieso nooit onthouden, dat is niet te doen voor echt goede veilige wachtwoorden. Die bovendien lang, random en uniek zijn per account, als het goed is.

Gewoon een password manager.

Qlimaxxx @Stromboli • 11 oktober 2023 09:50

Zelfs dan zijn passkeys veiliger. Passkeys zijn niet gevoelig voor phishing.

Daarnaast wordt een password manager ook veiliger als je deze met een Yubikey of biometrisch beveiligd. Zonder 2FA is een password manager al een stuk minder veilig, en als je dan het master password volledig vervangd door een of meerdere passkeys, dan is het veiliger en tegelijkertijd gebruiksvriendelijker.

swhnld

@Qlimaxxx • 11 oktober 2023 10:36

Uit het artikel:

Daardoor werkt het inloggen met gezichtsscan, vingerafdruk of pincode, in plaats van een wachtwoord.

Dus gebruik je overal hetzelfde gezicht, dezelfde vingerafdruk en dezelfde PIN code want die zijn ook gewoon te kopiëren.

Qlimaxxx @swhnld • 11 oktober 2023 21:05

Die pincode is niet het enige dat je nodig hebt, je hebt ook die Yubikey nodig (something you have + something you know), en sinds wanneer is een vingerafdruk of gezicht makkelijk te kopiëren. FaceID is in ieder geval niet zo makkelijk te foppen en vingerafdruk scanners ook niet.

swhnld

@Qlimaxxx • 12 oktober 2023 11:50

nieuws: Onderzoekers claimen vingerafdruk te hebben nagemaakt met foto's vinger
Zo makkelijk is het.

Qlimaxxx @swhnld • 12 oktober 2023 23:57

Dat bericht is uit 2014. Er staat claimen en sindsdien is het niet bepaald zo dat vingerafdrukken continue misbruikt worden.

Daarna zijner ook nog berichten zat geweest dat zelfs de FBI TouchID niet kon kraken, dus dat lijkt me ook wel veelzeggend.

En dan nog… het vereist fysieke toegang hardware. Een wachtwoord of TOTP code is ook te achterhalen zonder fysiek toegang te hebben. Phishing, keyloggers, geluid van toetsenborden tijdens livestreams… noem maar op. En dan nog maar hopen dat je random karakters in je lange wachtwoord hebt en voor elke dienst een ander wachtwoord gebruikt.

[Reactie gewijzigd door Qlimaxxx op 22 juli 2024 20:44]

CPD1001 @Stromboli • 11 oktober 2023 10:04

En het hoofdwachtwoord voor toegang tot de password manager? Waar onthoud ik die?

Ger0nim0 @CPD1001 • 11 oktober 2023 10:55

Dan verzin je gewoon één moeilijk en lang wachtwoord wat uniek is.
Zonder informatie die terug te leiden is naar jou, denk dan aan leeftijd, geboortedatum, naam, geboorteplaats, favoriete voetbalclub, you name it...

CPD1001 @Ger0nim0 • 11 oktober 2023 10:58

Dat is precies mijn punt, je zult een hoofdwachtwoord moeten onthouden

Ger0nim0 @CPD1001 • 11 oktober 2023 11:01

Ja maar als je maar 1 uniek wachtwoord hoeft te onthouden? Dat is beter dan 10 verschillende lijkt me? Ik heb 1 uniek verzonnen wachtwoord wat makkelijk te onthouden is en niet terug te leiden naar mij als persoon, de rest is allemaal random generated door Bitwarden. Klinkt als een best prima oplossing al zeg ik het zelf.

CPD1001 @Ger0nim0 • 11 oktober 2023 11:10

Mee eens

Ik voor bitwarden en 1password

Ger0nim0 @CPD1001 • 11 oktober 2023 11:22

Je gebruikt 2 password managers?

CPD1001 @Ger0nim0 • 11 oktober 2023 11:25

1password is duurder dan bitwarden.

Allebei zakelijk, op termijn ga ik over op 1password. Ik gebruik verschillende browsers profielen dus ik praktijk merk ik er niets van

Ger0nim0 @CPD1001 • 11 oktober 2023 11:45

Hmm interessant. Mag ik vragen waarom je dan toch voor 1Password kiest i.p.v. Bitwarden ondanks dat het duurder is?

CPD1001 @Ger0nim0 • 11 oktober 2023 12:16

Gebruiksvriendelijk en iets meer tech savy/startup achtig. Twee zaken waar ik veel om geef.

nightgold @Stromboli • 11 oktober 2023 10:16

Zinnen zijn eigenlijk veiliger dan complexe wachtwoorden en die zijn wel makkelijk te onthouden.

HansvDr @Aalard99 • 11 oktober 2023 13:10

Ik snap het voor de bank en bv de overheid. Maar ik moet nu ook al 2FA hebben bij mijn internetprovider. Via de Authenticator App. Dus als mijn vriendin de rekening wil bekijken heeft ze nu altijd mij nodig omdat het via mijn Authenticator app moet. Drama

Aalard99

@HansvDr • 11 oktober 2023 14:11

Ja lijkt me ook meer dan logisch. Via een portaal van je internet provider kan je dus gevoelige persoonsgegevens raadplegen, naam, adres, bankrekeningnummer, etc.

Vaak kan je via dat portaal ook wijzigingen doorvoeren op je diensten. Je moet er dus niet aan denken dat deze informatie niet goed afgeschermd staat.

Precies dus waar passkey dus invulling aan geeft. Veilig en eenvoudig inloggen op internet diensten.

HansvDr @Aalard99 • 12 oktober 2023 06:44

Geef mij gewoon die keuze. Of verplicht het alleen bij aanpassen gegevens.

pizzafried @Aalard99 • 11 oktober 2023 15:52

Niet iedereen heeft zijn mobiel de hele tijd bij zich. Nu ligt ie op de bank, en ben ik thuis. Maar wat als ik naar kantoor ga en mijn telefoon thuis heb laten liggen. Beetje onzinnig om dan een uur heen en een uur terug voor dat ding te moeten.

2fa? het heet e-mail. Je moet het voor de lol eens proberen.

NoobishPro 11 oktober 2023 11:31

Kan iemand mij uitleggen wat er nou exact zo veilig is aan een pincode?

Ik vind het persoonlijk namelijk schandalig. Met b.v. windows logde ik altijd in met een lang wachtwoord met allerlei karakters. Sinds ik Win11 heb (en helaas een account heb moeten koppelen), moest ik opeens een pincode instellen en nu is die pincode alles wat staat tussen alle gevoelige data op mijn PC en een eventuele hacker.

Op welke mogelijke manier is een 4 tot 6 cijferige code, veiliger dan een wachtwoord?

Ik begrijp het oprecht niet.

delphium

@NoobishPro • 11 oktober 2023 12:29

Die pincode werkt alleen op dat fysieke apparaat. Een hacker zal dus fysiek toegang moeten hebben. Bovendien kan je pincode ook een wachtwoord zijn (op Windows).

MrMarcie @NoobishPro • 11 oktober 2023 12:02

Als je Windows11 installeert en als accountmail invult no@thankyou.com en dan een willekeurig password dan accepteert ie account niet en kan je offline account aanmaken. En dan heb je die koppeling dus niet. Verder verzamelen ze as always een heleboel van je desondanks.

Hansie9999 @NoobishPro • 11 oktober 2023 12:18

Je moet zoals MrMarcie hier onder zegt GEEN online microsoft account maken als je windows 11 installeert (ze willen dat wel natuurlijk)

simpele manier bij installatie ;

je doet bij de installatie SHIFT F10 zodat je een command prompt krijgt,
daar zet je dan "oobe\bypassnro" drukt op enter,

en dan kan je op knopje "offline account" klikken

En beste wat je dan doet eenmaal de windows 11 geactiveerd is online, dan steek je uw met Rufus gemaakte windows 10 installatie USB stick in je PC (met de optie's om zo min mogelijk data te delen), je reboot, veegt bij installatie de volledige disk leeg (zodat de domme herstel partie van HP of Lenovo of whatever, ... weg is, daar win je al snel 15-30GB mee) en installeert windows 10

en dan is het wachten op windows 12

Franckey @NoobishPro • 12 oktober 2023 00:07

Op welke mogelijke manier is een 4 tot 6 cijferige code, veiliger dan een wachtwoord?

De pincode is device specifiek, daarom is dat veiliger.

Als ik zie welk wachtwoord jij intikt, kan ik dat gebruiken met een ander device, bijv mijn eigen laptop. Als ik zie welke pincode jij gebruikt, dan kan ik dat niet vanaf mijn laptop gebruiken om in jouw account te komen.

The Zep Man

Beveiliging en antivirus
Google

11 oktober 2023 07:32

Van de bron:

But while they’re a big step forward, we know that new technologies take time to catch on — so passwords may be around for a little while. That's why people will still be given the option to use a password to sign in and may opt-out of passkeys by turning off “Skip password when possible.”

Van een andere pagina:

Of course, like any new beginning, the change to passkeys will take time. That’s why passwords and 2SV will still work for Google Accounts.

Dat 'still' is een klein woord, maar ik denk dat het met de zin ervoor een addertje onder het gras is. Passkeys maken gebruik van twee factoren: biometrie of een hardware-based PIN en het apparaat zelf. Met andere '2SV' (two-step verification) authenticatiemethodes zoals U2F/FIDO2 en TOTP heb je als gebruiker meer controle over wat je gebruikt.

De context van het addertje dat ik zie is Web Environment Integrity, een manier van Google om via Chrome/de Chromium engine meer controle over endpoints te krijgen d.m.v. DRM op web content. Dit legt uit waarom dat een slecht idee is.

Google's manier van passkey valt i.c.m. 'still' perfect in die strategie. Ja, MFA is goed. Ja, passwordless (zelfs standaard) is goed wanneer het zaken makkelijker kan maken voor de gebruiker zonder diens opties te beperken. Nee, het is niet goed dat een ander bepaalt wat je wel en niet ziet op jouw apparaat, wat je wel of niet doet met je apparaat, of welk apparaat je gebruikt.

Nu wordt iets als FIDO2 ondersteund, een open standaard waarmee je voor passwordless o.a. Windows Hello, de ingebouwde authenticatiemogelijkheden van je mobiele OS (Android inclusief AOSP of iOS) of een hardware token (zoals een YubiKey) kan gebruiken. Straks heeft Google de mogelijkheid om hiervan zaken af te sluiten en m.b.v. attestation de mogelijkheid om specifieke apparaten te weren voor specifieke content. Het raamwerk hiervoor wordt steeds meer vormgegeven.

Wij weten al dat Google de gebruiker niet het belangrijkste vindt. Zie Manifest v3. Google wil het web push-based maken in plaats van pull-based om, via controle van het endpoint van de gebruiker, aanbieders van content te laten bepalen wat gebruikers zien (=advertenties of niets). Meer zekerheid dat een mens authenticeert is meer zekerheid dat een mens de content observeert en niet bijvoorbeeld een bot, dus een betere ROI voor adverteerders.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 20:44]

Faceless @The Zep Man • 11 oktober 2023 08:08

2FA + inlog kan niet vervangen worden door passkeys. Slechts één van twee. Dus je doet passkeys en een totp of inlog en passkeys als 2e factor.

Iedereen die iets anders beweert moet even goed nadenken over het concept ‘je hebt iets en je weet iets’.

The Zep Man

Beveiliging en antivirus
Google

@Faceless • 11 oktober 2023 08:10

2FA + inlog kan nog niet vervangen worden door passkeys. Slechts één van twee. Dus je doet passkeys en een totp of inlog en passkeys als 2e factor.

Fixed.

Iedereen die iets anders beweert moet even goed nadenken over het concept ‘je hebt iets en je weet iets’.

Wat je hebt: je 'trusted' (niet door jou, maar door een ander) apparaat.
Wat je weet of bent: een hardware verified PIN of biometrie.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 20:44]

Faceless @The Zep Man • 11 oktober 2023 10:14

Wat jij wilt. Maar ik doe niet mee op die manier.

BaszCore @Faceless • 11 oktober 2023 08:42

Helaas lijkt het erop dat je niet goed weet hoe Passkeys daadwerkelijk werken.

Every passkey consists of two interlocking parts: a public key that’s shared with the website or app you want to sign in to, and a private key that never leaves your devices. It's impossible to reverse-engineer one key from the other, which is what makes passkeys so secure and resistant to phishing attacks. No one can log in to your passkey-protected accounts without access to your passkeys (and a way to authorize the device that stores them). That means passkeys you choose to share stay safe with those you trust.

Bron: https://1password.com/product/passkeys

mifa @BaszCore • 11 oktober 2023 09:28

Dus eigenlijk zijn passkeys een vervolg op ssh-keys? Die keys (kunnen) worden beveiligd met een wachtwoord. En de beveiling bij een passkey is de pincode van mijn telefoon of login wachtwoord (pincode bij Windows) op mijn ubuntu-laptop.

DeerDitch @mifa • 12 oktober 2023 08:34

Ja, als ik de quote die @BaszCore hierboven post begrijp, dan is het inderdaad een meer uitgebreidde vorm van wat je met ssh-keys ook al kunt doen. Alleen als ik met mijn laptop via ssh connectie maak met een server, dan hoef ik niet eerst een vingerafdruk te scannen. De private key op mijn laptop hoort bij de public key op de server, dus authenticatie gelukt.

AB-Testing

@The Zep Man • 11 oktober 2023 08:27

Google geeft nu tal van mfa opties om uit te kiezen. Ze zijn dit niet veplicht. Al je negatieve punten zoals het device specifiek weren van content zijn nu ook al mogelijk. Google weet perfect met wat voor toestel of browser jij inlogt. Bijkomend vervalt je argument als je passkeys multiplatform via een password manager gebruikt.

Kaastosti @The Zep Man • 11 oktober 2023 08:40

Na het zien van het filmpje snap ik inderdaad waar het de verkeerde kant op gaat. MFA is prima, maar daar moet het dan ook bij blijven. Ben ik deze persoon, ja. Klaar.

Zorgwekkende is dat Google groot genoeg is om het er doorheen te duwen. De services die mensen willen gebruiken, zoals Bank apps, Netflix en dergelijken, vinden het vast een top idee. Meer controle, minder ad-blockers. Als die dit systeem implementeren en vervolgens verplicht stellen, kun je niet meer om Google heen.

Wie leest dit soort plannen nu echt? Een heel kleine groep, die de gevolgen misschien kan overzien en in opstand komt. De overige 99% van de gebruikers komt pas in opstand als er iets veranderd dat ze tegen staat. Dan is het meestal al te laat.

Google wil het web controleren, ze zijn redelijk op weg. Google is een reclame bedrijf.

Martijntjeh 11 oktober 2023 07:41

Top! Wanneer gaat tweakers.net passkeys ondersteunen?

metalmania_666

11 oktober 2023 07:53

Ik gebruik het liefst een lang wachtwoord gegenereerd door mijn KeePass icm 2FA dmv Yubikey of Authy.
Geen gezichtsherkenning en geen vingerafdruk.

eheijnen 11 oktober 2023 08:17

Biometrie en inloggen blijft toch een moeilijk vraagstuk.

Bv.: een vingerafdruk , gezichtscan of irisscan zijn vaste gegevens. Die wijzigen niet. M.a.w. als dit soort gegevens gestolen wordt zijn ze permanent te gebruiken. Een wachtwoord kun je wijzigen de voorgaande drie niet.

In eerste instantie zal dit veiliger zijn. Naar gelang de tijd vordert en er meer biometrischegegevens in andermans handen vallen wordt dit systeem steeds minder aantrekkelijk.

Berimbau @eheijnen • 11 oktober 2023 08:27

Biometrie werkt alleen op het apparaat waar je het op gebruikt, niet op andere apparaten. Kijk bv naar Windows Hello. Hetzelfde geldt voor je telefoon.

Dark Angel 58 @Berimbau • 11 oktober 2023 09:23

Tenzij een hacker je telefoon en of je computer meeneemt...

En om het verhaal nog erger te maken.... hij had je vingerafdruk en hij had ook meerdere foto's van je gezicht gemaakt om een 3D van je gezicht te printen... Bingo!

Misschien is oogirisscan wel een beste beveiling?
Oh god... ik besef net dat een hacker een kopie van je iris nog makkelijker kan maken...
Hij stuurt je een uitnodiging voor een gratis oogmeting...
Hmmm kunnen we de oogartsen en brilwinkels nog vertrouwen???

Master FX

11 oktober 2023 09:37

Net geprobeerd om dat dan maar eens in te stellen.. Maar kan niet.
Newer or different kind of device needed
Gaat om een HP laptop met Fedora F39b + Chrome 118.
https://imgur.com/a/usSMSmx

MrMarcie @Master FX • 11 oktober 2023 12:08

Fedora 39 is nog niet uit dus zit je op een beta oid. Misschien daarom?

Op dit item kan niet meer gereageerd worden.

Passkey wordt standaard loginmethode Google-accounts

Lees meer

Reacties (153)

Sorteer op:

Weergave: