Cybersecurityonderzoekers ontdekken dataset met 26 miljard uitgelekte records

Votlook schreef:

[...]

Het gaat langzaam, om meerdere redenen (deze kan ik nu zo snel bedenken):

1) Websites die nog geen WebAuthn voor FIDO2 hardware keys ondersteunen, hebben een hele kluif aan het implementeren en testen.

2) De kinderziektes zijn er nog niet uit. Het is niet moeilijk om op een Android smartphone in 1x alle in "Google Password Manager" opgeslagen passkeys te deleten - zonder dat er vervolgens een backup van bestaat. Ik kan reproduceren dat je het synchroniseren naar een ander (meestal nieuw) toestel kunt saboteren (hoe dit kan heb ik uitgeplozen nadat het mij, tijdens tests, bij toeval was overkomen).

3) Pas als alle belangrijke wachtwoordmanagers passkeys ondersteunen, zit je hopelijk niet vast aan zwaar irritante vendor lock-in. Hopelijk kun je dan ook zelf een backup maken van de private keys van jouw passkeys, maar eigenlijk gaat dat tegen de filosofie in dat je daar zelf niet bij moet kunnen.

4) Wat ik onder 2 en 3 schreef betekent dat account lockout niet denkbeeldig is. Precies daarom zal er een alternatieve inlogmethode moeten blijven bestaan, die zelden phishing-resistant is (zoals een recovery code).

5).Er bestaat nog geen echt stabiele webauth standaard, en bovendien zijn er interpretatieverschillen mogelijk en die bestaan ook in de praktijk, zoals over de (m.i. stomme) optie "Preferred" voor enkele parameters.

Apple ontkent dat het hierbij om een bug gaat, maar als ik in de iPhone/iPad instellingen in "Touch ID en toegangscode" de instelling "Autom. invullen wachtw." uitzet (deze staat altijd uit als je geen Touch ID en vermoedelijk ook als je geen Face ID gebruikt), kan ik op sommige websites inloggen met passkey zonder biometrie en zonder passcode, door het invoerveld voor het user-ID te activeren (dit is de zogenaamde WebAuthn Conditional UI" modus).

Dat geldt voor meerdere demo-websites, in elk geval https://webauthn.io en https://passkeys-demo.appspot.com (op beiden moet je eerste een dummy account aanmaken).

De reden daarvoor, volgens Apple, is dat die sites als default de instelling "Preferred" voor user verification gebruiken (bij webauthn.io kan ik dit op "Required" zetten en dan werkt het toch, ik weet niet waarom).

Op github lukt mij dat overigens niet, maar ik weet niet of github dit op de een of andere manier ondervangt.

5) Veel te veel focus op het gebruik van asymmetrische cryptografie; het belangrijkste aan Passkeys is dat software de domeinnaam van de website checkt waardoor phishing erg lastig is (goede wachtwoordmanagers doen dat ook).

6) Zelden relevant, maar het komt voor dat fake sites de bekende domeinnaam gebruiken en daar (onterecht) een certificaat voor verkregen hebben. In dat geval bieden Passkeys en FIDO2 hardware keys GEEN bescherming.

Votlook schreef:

[...]

Voorkómen zeker niet, en jouw login-secret zou niet het eerste moeten zijn waar je je zorgen over maakt na een lek.

Als de public key van een passkey op straat belandt is dat, in theorie, minder erg dan een sterke afgeleide van een sterk en uniek wachtwoord.

In de praktijk kan een aanvaller jouw passkey-public-key door de hare/zijne hebben vervangen, of een extra hebben toegevoegd, dus de praktijk is weerbarstiger.

Votlook schreef:

[...]

Dat is ook helemaal niet nodig als je sterke en unieke wachtwoorden gebruikt (wat nagenoeg onmogelijk is zonder wachtwoordmanager).

Aanvulling 23:44: de Apple bug die ik noemde is ook in iOS 17.3 nog niet gerepareerd.