PlayStation Network krijgt ondersteuning voor passkeys

Sony heeft ondersteuning voor passkeys toegevoegd aan PlayStation Network-accounts.

Gebruikers kunnen op hun PlayStations of op pc's of telefoons voortaan een passkey aanmaken en dat gebruiken om in te loggen als alternatief voor een wachtwoord, schrijft Sony. Dat kan via de beveiligingsinstellingen in hun account.

De passkey kan worden opgeslagen in verschillende wachtwoordmanagers. Sony waarschuwt dat hardwaresecuritysleutels in sommige gevallen mogelijk niet goed werken.

Passkeys zijn een initiatief van honderden techbedrijven die daarmee een alternatief voor het wachtwoord willen maken. Tweakers maakte daar vorig jaar een video over.

Door Tijs Hofmans

Nieuwscoördinator

22-02-2024 • 07:56

48

Submitter: Xtuv

Reacties (48)

Sorteer op:

Weergave:

Is dit nu veiliger dan een systeem met wachtwoord en verificatie via een key generator?
giantgiantus schreef:
Is dit nu veiliger dan een systeem met wachtwoord en verificatie via een key generator?
Meestal wel. Zowel passkeys als FIDO2 hardware keys (zoals Yubikeys) maken gebruik van het WebAuthn protocol.

Belangrijke eigenschap van passkeys
WebAuthn vereist https en laat jou alleen inloggen op een website als de domeinnaam daarvan exact klopt {1}. Dat voorkómt nagenoeg alle vormen van phishing gebruikmakend van "lijkt op" of "zou kunnen zijn van" domeinnamen. Immers, niet jij maar software checkt daar nu op.

Nb. ook 2FA met SMS, TOTP of Microsoft's "Number Matching" beschermt jou niet als je inlogt op de verkeerde site.

{1} Er is een klein risico gerelateerd aan subdomeinnamen; de server moet grondig checken of je bijv. op sites.google.com (i.p.v. bijv. accounts.google.com probeert in te loggen, want op die "sites" staat of stond potentieel misleidende content van klanten). Daarnaast komt het sporadisch voor dat criminelen domeinnamen of IP-routes (BGP-hijack) kapen, waardoor je op een foute site met een schijnbaar correct (DV) certificaat uit kunt komen.

Meer info
Eerder schreef ik (op security.nl) Passkeys voor leken.

En recentelijk publiceerde ik Android passkeys unexpectedly deleted or useless after sync (op de Full Disclosure maillijst).

Daarin kun je lezen dat passkeys helaas nog niet vrij van kinderziektes zijn: zorg dat je altijd een recovery code o.i.d. hebt voor belangrijke accounts. En laat je niet foppen door nepwebsites die liegen dat er een probleem is met jouw passkey en je daarom met een recovery code moet inloggen. En laat niet jouw iPhone stelen door iemand die jouw schermontgrendelcode heeft afgekeken (het is voor mij nog een vraag hoe effectief "stolen device protection" is).

Aanvullende overwegingen (niet alleen van mij) kun je vinden in deze draad op Mastodon (infosec.exchange).

Edit 11:47: belangrijke tekst vet gemaakt en vet kopje daarboven toegevoegd.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 20:39]

Ze zeggen van wel, echter wordt de key op je telefoon opgeslagen. Als je telefoon kapot is, wat dan?

Daarnaast vind ik het totaal niet gebruiksvriendelijk, ik heb het even geprobeerd maar kwam er niet echt uit. Heb toen mijn account weer moeten resetten. Voor de leek is dit niet heel eenvoudig, daardoor vraag ik mij af of dit breed gedragen gaat worden.
In het filmpje wordt juist genoemd dat het waarschijnlijker is dat mensen hun passkeys in de cloud gaan opslaan en dus niet op één apparaat, juist om de reden die jij noemt.
Daarbij heb ik nog vraagtekens over de portabiliteit van je inloggegevens. Bij traditionele authenticatie weet ik dat alles heel makkelijk over te zetten is naar een andere aanbieder.
En dat is een beetje het punt waarom ik het niet zo heb op dit soort oplossingen. Het idee dat ik een passkey gebruik voor een lijst met sites en service is niet echt hoopgevend.
Een passkey is in feite gewoon een keypair zo als we dat kennen van standaard cryptografische toepassingen en bijvoorbeeld gebruiken om in te loggen via SSH (waar de meeste mensen dit concept van kennen) en het is zo veilig als de private key.

Dus als ik met een private key 100 websites kan bezoeken en alles wat nodig is om de key te gebruiken is de key, de onzin dat je een biometrische of andere ontgrendeling nodig hebt klopt simpel weg niet. Ja om het apparaat te gebruiken maar de passkey is niet gekoppeld aan dat apparaat en kan dus gewoon op elk apparaat gebruikt worden. Dus als iemand die private key in handen krijgt zijn al die 100 website accounts gehacked.
Nu komt het hele mooie verhaal ja maar de cloud dat is toch gewoon veilig, ja dat is het inderdaad tot op zekere hoogte. De cloud aanvallen om duizenden keys te stelen is onwaarschijnlijk, maar duizenden telefoons of computers hacken om daar de key af te vangen is een stuk minder lastig.Dus grootschalige hacks zijn nog steeds goed mogelijk alleen moeten de hackers iets anders te werk gaan.

Dan is er nog het probleem van het concept zelf. Probeer jij maar eens aan je tante die nog maar recent Facebook heeft ontdekt uit te leggen hoe zo'n passkey werkt en hoe ze dat dan kan synchroniseren tussen verschillende apparaten en zo voort. Veel plezier daar mee...

Het grote probleem is dus dat je als gebruiker van veel sites en services wel haast gedwongen wordt om 1 "wachtwoord of passkey" te gebruiken voor al die sites en dus heel erg veel kwetsbaarder bent dan als je voor elke site een apart wachtwoord zou gebruiken. Ook is er het levens grote probleem van overheden die nu kinderlijk eenvoudig mensen kunnen dwingen hun passkey af te staan. Omdat die ene passkey voor alles gebruikt wordt is het argument van het niet meer weten van het wachtwoord meteen over. Alles wat men nodig heeft is toegang tot een van jouw apparaten en men heeft toegang tot alles. Dus biometrische beveiliging is echt niet zo veilig zolang die vinger nog intact is of dat gezicht goed genoeg nagemaakt kan worden is die sleutel verloren. Nu zul je vast denken ja maar westers land dus waar heb je het over, maar ook in Nederland zij er journalisten gegijzeld door de overheid omdat de overheid eiste dat zij hun bronnen zouden vrijgeven dan wel hun wachtwoord zouden overhandigen. En dat is niet anders in eigenlijk alle westerse landen. Sterker nog onze overheids diensten hebben allemaal al meer dan eens aangegeven niet zo blij te zijn met encryptie en dus privacy voor de gemiddelde persoon. En ze hebben het er allemaal overgehad dat ze het aan banden willen leggen dan wel regels willen maken die het ontsleutelen van geheimen verplicht als de overheid dat eist. Nu is dat in lang niet alle westerse landen al een ding maar het is een kwestie van tijd voordat we daar zijn.
Als je daar aan koppelt dat Google, Amazon en zo veel andere grote cloud diensten allemaal samen werken met de Amerikaanse overheid en er al meer dan eens dankzij lekken duidelijk is geworden dat het schenden van de lokale wetten echt geen probleem is voor deze bedrijven als de overheid er om vraagt dan kun je je een beetje voorstellen waarom het opslaan van de sleutel tot al jouw online identiteiten bij een van deze cloud diensten verre van veilig is. Want net als in alle andere situaties als iemand informatie heeft en een ander die informatie graag wil dan is er vast een deal te maken en de Amerikaanse overheid heeft er echt weinig moeite mee om informatie te delen met "partners" die hen de informatie leveren die zij graag willen ongeacht wat wetten en regelgeving daar van vinden.

Voor mij dus geen passkey omdat het vele malen onveiliger is dan een ander wachtwoord voor elke belangrijke site. Voor sites zo als Tweakers waar er weinig tot niets te verliezen is mocht je niet meer in kunnen loggen daar is het hergebruiken van wachtwoorden een stuk minder slecht en zak je dus zelfs als het ondersteunt wordt een passkey gebruiken. Maar voor dingen die je echt veilig wil houden is een uniek wachtwoord heel erg veel beter dan een passkey.

[Reactie gewijzigd door Rob Coops op 22 juli 2024 20:39]

Rob Coops schreef onder meer:
Het idee dat ik een passkey gebruik voor een lijst met sites en service is niet echt hoopgevend.
[...]
Dus als ik met een private key 100 websites kan bezoeken en alles wat nodig is om de key te gebruiken is de key, de onzin dat je een biometrische of andere ontgrendeling nodig hebt klopt simpel weg niet.
Je hebt per account een unieke passkey (sterker, je kunt vaak meerdere passkeys per account registreren).

Je kunt ook per website meerdere accounts hebben.

Beide mogelijkheden kun je zelf testen op bijvoorbeeld https://passkeys-demo.appspot.com/.

Kies een willekeurige, waarschijnlijk unieke, naam, bijv. "hutseflutsrob". Je hoeft vervolgens geen wachtwoord in te vullen, "password" is vóóringevuld (da's prima).

Zodra dat account is aangemaakt en je bent ingelogd (met flutwachtwoord), kun je één of (desgewenst) meerdere passkeys aanmaken.

Klik op "sign out" (ik moet soms nog een keer drukken in Chrome onder Android).

Druk/klik daarna in het naamveld: meestal krijg je dan al de keuze om met een opgeslagen passkey in te loggen (je kunt ook op "use one button sign in instead" klikken, daarna kun je uitsluitend met passkeys inloggen).

Omdat veel mensen als accountnaam "test" kiezen (waar ook jij op kunt inloggen) zie je daar meestal ook passkeys van anderen staan (je kunt heel flauw doen en passkeys van anderen verwijderen, waardoor zij niet meer in kunnen loggen - iets dat anderen dus ook bij jou kunnen doen als je een voor de hand liggende gebruikersnaam kiest).

Voor meer info over passkeys zie een andere reactie van mij elders op deze pagina.
Zoals in de video uitgelegd: dat moet je dus inderdaad niet doen, je moet ze synchroniseren. Voor de meeste mensen zal dat via de cloud zijn.
Ik vond dit ook onduidelijk, maar heb het toch maar een kans gegeven. Je passkeys staan dus in je iCloud Keychain (of ander alternatief), en zijn zo dus te gebruiken op all je apparaten (zelfs tvOS bijv) waar dat actief is.

Ik heb het nu geactiveerd voor PayPal, Google, eBay, en nu ook Playstation en ja, het is nieuw en niet meteen heel duidelijk--ookal ben ik technisch goed onderlegd--maar dit werkt eigenlijk wel ok zo en ik ga dit toch ook wel uitbreiden als ik vaker deze optie tegen ga komen.

Uiteindelijk kun je dan al die wachtwoorden veranderen naar iets hel complex voor enkel absolute noodgevallen, of je kunt ze zelfs helemaal verwijderen voor sommige platforms. Dat lijkt mij toch wel heel fijn eigenlijk, nooit meer ergens wachtwoorden hoeven te gebruiken.

En als laatste, wij weten natuurlijk dat dit meer en meer prominent gaat worden. Uiteindelijk gaan we gewoon niet voor eeuwig blijven klooien met wachtwoorden en zitten we nu aan het begin van een lange overgangsfase.
Het zijn vooral twee verschillende systemen, waarbij het gebruiksgemak van passkeys groter is. Wachtwoord en 2FA hoeft in principe niet minder veilig te zijn, maar er zijn wel meer punten waar het fout kan gaan:
- het wachtwoord wordt door je wachtwoord manager in de browser geplakt via je klembord
- er is geen controle op het plakken op verkeerde websites (om phising tegen te gaan)
- er is geen onderscheid tussen bekende en onbekende apparaten

Daarentegen verlies je met passkeys het gespreide risico van wachtwoordmanager + aparte 2FA app, en is het niet langer leesbaar voor mensen.
Ik betwijfel oprecht hoeveel mensen voor iedere app met 2FA het ook opslaan in een aparte app. Daarom ben ik eigenlijk wel benieuwd of Passkeys veiliger, minder veilig of gelijk is voor het gross van mensen die zowel hun wachtwoord als OTP in dezelfde wachtwoordmanager bewaren.

[Reactie gewijzigd door Sjeefr op 22 juli 2024 20:39]

In dat geval is het vrij duidelijk dat passkeys een stuk veiliger zijn dan standaard wachtwoorden.
Maar is dat ook echt zo?

Passkeys in wachtwoordmanagers synchroniseren in de cloud. Wachtwoorden in je wachtwoordmanager ook. Zonder 2FA kunnen anderen alleen je account brute-forcen. m.a.w. toegang tot je wachtwoordmanager is vereist. Dus als iemand daar geen toegang tot heeft, kan hij/zij niks. Heeft diegene dat wel, dan maakt het toch niet uit of je inlogt met ww+OTP uit dezelfde wachtwoordmanager of dat de gesynchroniseerde passkey gebruikt wordt?
Jawel, want bij Passkeys is biometrische / hardware authenticatie ingebakken, en in tegenstelling tot het wachtwoord + OTP secret komt alleen de public key bij de webservice terecht. Dus de attack surface is veel kleiner, er is geen server-side of man-in-the-middle attack meer mogelijk. Een aanvaller kan praktisch alleen nog met toegang tot je apparaat en het bypassen van biometrische authenticatie slagen.
Mee eens met je punten, maar wel een nuance:
Bij bepaalde wachtwoordmanagers zijn de eerste twee punten (en het punt over gebruiksgemak) maar af en toe van toepassing.
Bijvoorbeeld bij Proton Pass, dat ik gebruik, wordt het wachtwoord in de browser direct in het veld geïnjecteerd via JS en alleen als de site overeenkomt met de domeinnaam die opgeslagen staat. Phishing sites worden niet herkend als geldige sites voor die gegevens.
Op Android maakt de Proton Pass app gebruik van de ingebouwde functie om gegevens direct in apps in te kunnen voeren. Ook daar is een app gekoppeld aan een domeinnaam en zullen de gegevens niet voorgesteld worden als deze niet overeenkomt. Sites in de browser worden op Android op diezelfde manier gevuld.

Natuurlijk kan dit nog steeds misgaan op de door jou genoemde punten wanneer een gebruiker handmatig de copy paste uitvoert of een malafide domein toevoegt aan de geldige domeinen voor een login.
Verder werkt dit niet voor desktopapplicaties buiten de browser en sommige legitieme sites en apps.

Sowieso zijn passkeys een welkome aanvulling op het huidige beveiligingslandschap, zodat dit niveau van beveiliging en gebruiksgemak breder ingezet kan worden.
Goede punten inderdaad! Als je dit alles al voor elkaar hebt en je wachtwoordmanager van 2FA gescheiden houdt ga je er niet echt op vooruit met Passkeys. Het verschil wordt in mijn optiek gemaakt in het beveiligingsniveau voor de gemiddelde gebruiker doordat genoemde punten standaard in Passkeys is ingebakken, in tegenstelling tot plain-text wachtwoorden waarbij je dus actief op zoek moet naar een wachtwoordmanager die dit voor je doet, en niet in alle gevallen kan doen.
IMHO denk ik dat het net zo veilig/onveilig is. Kan me niet indenken waarom passkeys veiliger zijn dan ww/kg en mij lijkt de combinatie juist veiliger, immers heb je bij passkey alleen de passkey nodig en dan ben je er in, bij ww/kg heb je beide nodig.
Waarom is het net zo veilig/onveilig? Het is een andere benadering van authenticatie: wachtwoord + 2FA is “iets dat je weet” + “iets dat je hebt”, Passkey is “iets dat je hebt” + “iets dat je bent” (van het biometrische geval uitgaande). Omdat de meeste mensen 2FA die daadwerkelijk losstaat van het wachtwoord teveel moeite vinden, is Passkey wel degelijk beter.
FIDO passkeys hebben één grote prè op ww+totp 2FA en dat is het feit dat net als bij FIDO-gebaseerde 2FA, het protocol-technisch onmogelijk wordt gemaakt om per ongeluk gegevens aan een phishing site prijs te geven. Tenzij je in het zeer uitzonderlijke geval terecht komt waar men het officiële web domein van een digitale service weet over te nemen.

[Reactie gewijzigd door R4gnax op 22 juli 2024 20:39]

SuperDre schreef:
IMHO denk ik dat het net zo veilig/onveilig is. Kan me niet indenken waarom passkeys veiliger zijn dan ww/kg en mij lijkt de combinatie juist veiliger, immers heb je bij passkey alleen de passkey nodig en dan ben je er in, bij ww/kg heb je beide nodig.
Hoe zinvol en "twee-factor" is 2FA (MFA, Multi Factor Authenticatie, met 2 "factoren")? D.w.z. indien je je realiseert dat:
  • Eérste factor is vaak zeer zwak
    Veel mensen gebruiken waardeloze (korte, niet unieke, raadbare/voorspelbare, eerder gelekte) wachtwoorden; hoe dicht bij nul zit die "factor" dan? (Gelukkig moet je de waarde daarvan optellen bij de andere factor, maar toch).
     
  • Tweede factor óók zwak?
    (Toegevoegd za 11:46); 2FA middels SMS is ook erg zwak; in de praktijk blijken "SIM-swap" aanvallen doodsimpel (een oplossing daarvoor, mét een opsomming van resterende risico's, beschreef ik 4 jaar geleden).
    Maar ook TOTP-apps zijn niet zonder risico's (waaronder "time traveler"/"tijdreiziger" aanvallen). Verderop meer over problematische TOTP-apps;
     
  • Volgorde fout?
    (Toegevoegd za 11:46) Reden: het is, normaal gesproken, minder erg als een OTP (One Time Password, de code die de 2e factor vormt bij 2FA), dat slechts korte bruikbaar is, in verkeerde handen valt dan een wachtwoord.
    Dus, indien 2FA inlogpagina's, na het laten invullen van het user-ID (meestal e-mailadres), éérst om de 2FA code zouden vragen, en uitsluitend als die juist is, om het wachtwoord, kan dat helpen voorkómen dat het wachtwoord in verkeerde handen valt - namelijk in de situatie dat een internetter onbedoeld op een klassieke AitM nep inlogpagina (geen "evil proxy", zie verderop) probeert in te loggen.
    Nb. om te voorkómen dat de aanvaller te weten kan komen dat een account met een gegeven user-ID bestaat, zou de echte website, bij een onbekend user-ID, niet "onbekende gebruiker" moeten melden, maar in plaats daarvan altijd om een OTP moeten vragen (en de input negéren).
    Belangrijk is dan wél dat de server (bij bestaande user-ID's) brute-force aanvallen bestrijdt door een aangevallen account voor enige (bij voorkeur met toenemende) tijd te blokkeren (vooral SMS OTP kan minuten geldig zijn, ongewenst is dat een aanvaller in dat tijdsbestek 0000..9999 kan proberen);
     
  • Eén webbrowser op één apparaat
    Je voert jouw user-ID, wachtwoord en OTP in via één webbrowser (met eventuele plugins/extensies, die daar meestal allemaal "bij kunnen") op één apparaat - spulleboel die dus allemaal betrouwbaar moet zijn;
     
  • Eén webserver, één verbinding
    Vóórdat je bovengenoemde inloggegevens invoert - op één website, via één verbinding, - je (vooral als je op linkje hebt geklikt in plaats van op een eerder zelf opgeslagen snelkoppeling), zelf moet controleren of de domeinnaam exact klopt (waarbij je je niet moet laten afleiden door de inhoud van de pagina, die -bij een nepsite-, identiek kan zijn aan de echte site);
     
  • https?
    Niet heel moeilijk, maar je moet zelf óók checken dat het om een https verbinding gaat (beter, als je een webbrowser gebruikt die dat ondersteunt, "https only" aanzetten);
     
  • MFA leidt af
    (Toegevoegd za 11:46) De kans bestaat dat mensen worden afgeleid van het checken op https en de domeinnaam als zij weten dat 2FA vereist is (zoals bij DigiD met SMS). Daar komt bij dat, vooral voor minder (digitaal- en/of taal-) vaardige mensen, MFA vaak abacadabra is;
     
  • Smartphone gestolen
    Wat kan een dief met jouw smartphone? Denk aan SMS-berichten die gewoon te lezen zijn als het scherm vergendeld is (dit kun je overigens uitzetten). Als de dief jouw ontgrendelcode heeft afgekeken zijn jouw risico's nog veel groter: een deel van de TOTP-apps is dan meteen bruikbaar (zonder aanvullende authenticatie), en als de TOTP-secrets bijv. in jouw Google account zijn gebackupped, kan de dief daar mogelijk ook bij;
     
  • 1FA "visum"
    (Toegevoegd vr 14:38) Na succesvol inloggen stuurt de server één session cookie, JWT of ander "token", een soort tijdelijk visum, naar jouw webbrowser - om te zorgen dat je niet, bij elke communicatie tussen jouw webbrowser en de webserver, opnieuw moet inloggen (jouw webbrowser stuurt dat "visum" mee met elk verzoek aan de webserver, die daarmee weet dat jij nog dezelfde jij bent die eerder succesvol inlogde).
    Bijvoorbeeld op tweakers.net is dat "visum", standaard, eindeloos geldig - en hartstikke 1FA. Daarbij is dat cookie niet gekoppeld aan de verbinding, ook niet aan jouw huidige (externe, op internet) IP-adres, ook niet aan jouw browser en ook niet aan het apparaat met die browser. Oftewel, elke aanvaller die zo'n cookie kan kopiëren, krijgt daarmee (zonder jouw user-ID, wachtwoord en evt. 2FA code, of de private key van jouw passkey voor dat account, te kennen) toegang tot het account door de sessie te kapen (dus zonder echt in te loggen).
    Nb. Google werkt aan DBSC (Device Bound Session Credentials) (bron: verwijderde draad op Mastodon) maar dat blijkt allesbehalve simpel (vooral zonder TPM-achtige hardware).
     
Daar komt bij dat er, met 2FA, wél twéé "factoren" zijn die je "kwijt kunt raken" of die gekaapt kunnen worden.

Risico account lock-out: TOTP
Terwijl de meeste mensen van wachtwoorden snappen dat je een probleem hebt als je die vergeet, hebben de meesten er bij een TOTP-app totaal geen idee van dat de "magie" van TOTP gebaseerd is op, per account, een "shared secret" in zowel jouw app als daarnaast een (niet gehashte) kopie op de server. Daar komen zij meestal pas achter zodra hun smartphone onbruikbaar kapotvalt (of in de plee, of wordt gestolen) en blijkt dat er geen backups gemaakt zijn.

Risico account lock-out: SMS
En als van SMS gebruik wordt gemaakt, en mensen om de één of andere reden van telefoonnummer wisselen {1} en dat niet bijtijds aan elke 2FA-partij hebben gemeld, werkt die 2FA onverwacht ook niet meer. Dat naast het risico op SIM-swap aanvallen, vooral als criminelen weten dat er bij jou "wat te halen valt".

{1} Mijn moeder (van -toen nog- 91), heeft een 2G dumbphone met prepaid SIM. Nadat zij 3x een verkeerde pincode invoerde, bleek het briefje met de PUK-code onvindbaar. Een nieuwe prepaid SIM kost bijna niks, maar ik heb geen idee aan wie zij haar oude nummer allemaal heeft doorgegeven (2FA zal zij hooguit voor DigiD ivm belastingaangifte nodig hebben).

TOTP: privacy, risico datalekken
(Toegevoegd vr 15:50) Wetenschappelijk onderzoek in 2022 liet zien dat veel TOTP-apps ernstige tekortkomingen hadden, zoals dat er geen backups van de "TOTP shared secrets" worden gemaakt, of wél maar slecht beveiligd. Bij veel ("gratis") TOTP-apps "is de gebruiker het product" (bijvoorbeeld bij Authy van Twilio): soms worden alleen de "TOTP shared secrets" versleuteld, maar de rest, zoals de domeinnamen van bijbehorende websites, niet.

2FA: lapmiddel voor zwakke ww
M.i. is 2FA vooral een brak lapmiddel tegen zwakke wachtwoorden. Voor SMS, met ál háár nadelen, kan ik nog begrip opbrengen, maar als je een TOTP-app kunt installeren, waarom dan niet meteen een fatsoenlijke wachtwoordmanager, of passkeys gebruiken?

Passkeys
Nb. passkeys hebben ook een soort wachtwoordmanager nodig. Onder iOS/iPadOS is dat de "iCloud Keychain", en onder Android de "Google Password Manager" (in beide kunnen ook "gewone" wachtwoorden worden opgeslagen). Maar dat soort "platform-gebonden" oplossingen betekenen bijna altijd vendor lock-in.

KeePassium en KeePassDX
Als je nog even geen passkeys wilt gebruiken: zelf heb ik ondertussen goede ervaringen met KeePassium op iOS/iPadOS en KeePassDX onder Android. Ik heb ze zó geconfigureerd dat als je de inlogpagina van een website met een specifieke domeinnaam opent, het OS + de wachtwoordmanager daar de juiste logingegevens bij zoeken (dus geen geplak via het, mogelijk cloud-based, klembord).

Vanzelfsprekend is het bij wachtwoordmanagers essentieel dat er voor backups gezorgd wordt, maar dat is het ook bij TOTP-apps.

Sterke ww-manager vs passkeys
De sterkte, van een wachtwoordmanager die je tegen de meeste vormen van phishing beschermt, en die je, per account, een uniek, lang, random wachtwoord laat genereren, komt in de buurt van passkeys - vooral als je een browser gebruikt die je op "https only" kunt instellen.

Maar zo'n wachtwoordmanager heeft niet (of hoeft niet te hebben, afhankelijk van welke je kiest) een aantal van de nadelen van passkeys: stomme kinderziektes, zelf geen backups kunnen maken, vendor lock-in, privacy-issues t.g.v. attestation, en cross-platform ellende.

Potentieel voordeel van 2FA
(Toegevoegd vr 14:38) Een potentieel, m.i. in veel gevallen "theoretisch", voordeel van 2FA is dat als de gebruiker meerdere redelijk sterke wachtwoorden gebruikt (en zelf onthoudt, of op een briefje heeft staan), en het apparaat dat zij/hij gebruikt ernstig gecompromitteerd raakt, de aanvaller hooguit toegang verkrijgt tot dié accounts waar de gebruiker, via het gehackte apparaat, op inlogt. Bij het gebruik van een wachtwoordmanager en/of passkeys (beide op dat apparaat) is de kans zeer groot dat de aanvaller toegang tot alle accounts van de gebruiker kan verkrijgen. Het allerbelangrijkste is dus sowieso om jouw eigen apparatuur zo betrouwbaar mogelijk te houden, maar bij zo'n incident (mits je dat bijtijds opmerkt) zou 2FA de schade kunnen beperken.

2FA adviseren zonder bijsluiter?
Kortom, 2FA is veel minder zaligmakend dan velen suggereren - en Tweakers willen lezen. Als je alle Nederlanders adviseert om 2FA te gaan gebruiken, doch (onbewust of bewust?) nalaat erbij te vertellen wat de nieuwe risico's daarvan zijn en waar je beslist op moet letten, doe je m.i. veel meer kwaad dan goed. Niet in de laatste plaats omdat, hoe meer mensen 2FA gebruiken, hoe vaker criminelen "evil proxies" zullen gaan inzetten.

• Edit vr 14:38: bullet met tekst en de sectie "Potentieel voordeel van 2FA" toegevoegd.
• Edit vr 14:55: kopjes achter de bullets gezet en daar lege regels tussengevoegd.
• Edit vr 15:50: sectie "TOTP: privacy, risico datalekken" + enkele URL's toegevoegd en verduidelijkingen aangebracht.
• Edit vr 16:47: meer URL's "onder" bestaande tekst geplakt.
• Edit vr 17:41: m.b.t. TOTP-secret: "per server" —> "per account".
• Edit za 11:46: div. secties toegevoegd (aangegeven in de tekst) en elders enkele verduidelijkingen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 20:39]

Mooi om te horen, hopelijk dat dan wel zorgen dat oudere systemen, PSVITA en PS3 even als voorbeeld, dat deze wel nog altijd verbinding kunnen blijven maken, dus of te wel die functie op die apparaten ook eventueel met een update voorzien. Ik had namelijk vorige week het probleem met mijn Xbox 360 dat ik door die extra account beveiliging niet meer kon inloggen, uit eindelijk met een omweg wel gelukt.
Voor PS3 vermoed ik dat het blijft werken met een device-paswoord. PS3 had ook al geen ondersteuning voor 2FA met TOTP, dus hoe dat opgelost werd, is dat je voor jouw specifieke PS3 dan een apart wachtwoord laat aanmaken, en je daarmee dan kan inloggen op jouw PS3 (en dat zou ook op geen enkel ander device mogen werken).

Ik dacht trouwens dat dat ook bij XBox zo werkt. Ik meen me toch te herinneren dat op het moment ik 2FA activeerde op mijn Microsoft Account, ik voor de XBox 360 een device-specifiek paswoord moest laten genereren en daarmee dan via mijn 360 kon inloggen.
Als dit ervoor zorgt dat ik niet tig keer mijn passwoord+TOTP moet ingeven, ben ik helemaal fan. Ik word werkelijk gek van hoe vaak bij PlayStation mijn sessies gereset worden waarbij ik dus opnieuw moet authenticeren. Vooral op de websites gebeurt dit constant.

Anderzijds ben ik dan weer zeer huiverachtig. PlayStation heeft nu niet bepaald een goede track record als het gaat over technische implementaties. Dat constant uitgelogd worden is een voorbeeld, maar kijk bvb ook naar de vele issues die er zijn met het hele licensing systeem op PlayStation. Overschakelen naar Passkeys betekent ook dat op elk platform dit goed moet werken: je browser op PC en je browser op telefoon/tablet (om bvb in te loggen op de website), de PS apps op Android/IOS, je console zelf... Als er daar iets misloopt, en je geraakt niet meer ingelogd, heb je weer een hoop miserie aan je been.

Verder wordt vandaag ook vaak nog eens extra je wachtwoord gevraagd als extra verificatie, bvb bij het aankopen van games. Ik neem aan dat dat ineens ook wegvalt dan, waarbij je je dan de vraag kunt stellen waarom ze vroeger dan wél nog eens extra je wachtwoord vroegen als je iets wil bestellen. Het is niet dat ze al niet weten dat je in een sessie zit die jij voordien al geauthenticeerd hebt. Ik dacht ook dat het o.a. te maken heeft met het voorkomen dat je kinderen dan iets kunnen kopen zonder jouw hulp, maar dat lijkt dan ook te verdwijnen met Passkeys, zou ik denken.

[Reactie gewijzigd door Twixie op 22 juli 2024 20:39]

Ik moet zeggen dat ik dezelfde ervaing heb. De site werkt heel erg flaky op zowel Firefox als Safari. Inloggen moest ik een paar keer proberen voordat ik mijn yubikey actieveerde. Maar dan kun je gewoon meteen inloggen. Werkte gewoon wel in een keer. Hopelijk blijft het werken :)
De PSN systemen zijn altijd al super flaky geweest sinds Sony er in de PS3 dagen mee begon.
De enige van het game-console triumviraat die hier de zaakjes op orde heeft is Microsoft.

Maar ja; die hebben daar ook een tikkie meer ervaring mee vanuit al hun online services met Windows.

[Reactie gewijzigd door R4gnax op 22 juli 2024 20:39]

Een Authenticator zou een goeie zijn. Er zijn verschillende app’s voor maar Sony kan ook mogelijk een eigen app ontwikkelen, indien nodig. Mogelijk is dan alleen je mailadres nodig en een bevestiging. Inloggen bij Tweakers is via 2fa ook redelijk eenvoudig.

Wachtwoorden in een manager is een goede, veilige, keus, er is een heuse strategie onder de app bouwers. De prijs en kwaliteit uitdokteren is wel een ding, je wilt het liefst dit in één keer goed doen.

Wat te doen als je de passkey-app kwijt bent?

edit: autospelling

[Reactie gewijzigd door DefaultError op 22 juli 2024 20:39]

De hele essentie van passkeys is juist dat je geen aparte app nodig hebt voor de authenticatie. Dus er komt helemaal geen authenticator aan te pas. Het zijn de applicaties die jou moeten authenticeren die dat doen via het trusted systeem (in je device) waarop de passkeys staan, dus de browsers, service-specifieke apps (bvb hier de PlayStation app), enz... loggen jou in zonder dat jij iets hoeft te doen.
Dat trusted systeem is een authenticator.
Een FIDO compatible authenticator.

Windows 10 en 11, MacOS, iOS en Android hebben allemaal een softwarematige authenticator ingebouwd zitten die op de trusted platform module danwel secure enclave aangesloten zit voor afhandeling van het sleutelmateriaal.

Maar je hebt ook nog steeds de optie om passkeys met losse hardware authenticators te gebruiken die je via USB, Bluetooth of RFID verbindt met je systeem.

Het artikel schrijft hierbij:
Sony waarschuwt dat hardwaresecuritysleutels in sommige gevallen mogelijk niet goed werken.
Dat is niet een aanval op het kunnen blijven gebruiken van losse hardwaresleutels. Feitelijk is het eerder een dikke hint dat Sony specfiek voor hun implementatie de zaakjes niet goed op orde heeft. Onderdeel van FIDO is dat je namelijk van een authenticator op moet kunnen vragen precies welke features deze ondersteunt; welke protocollen; welke cipher-suites; etc.
Dus tenzij je een niet goed gekeurde sleutel gebruikt (die zichzelf daarmee niet FIDO compatible mag noemen) zou Sony perfect moeten kunnen weten of deze compatible zou gaan zijn met hun implementatie of niet, en jou dat vooraf perfect moeten kunnen vertellen nog voordat je met die sleutel jezelf probeert te registreren. Maar dat lijkt dus niet het geval te zijn...
Je hebt inderdaad passkeys op basis van gezichtsherkenning of vingerafdruk, maar het kan ook via een app. Vele mogelijkheden lijkt me.
Beter laat dan nooit! Veel gebruikers hebben een substantiële bibliotheek opgebouwd en die wil je niet verliezen door slechte beveiliging

Tip voor Apple-Windows gebruikers trouwens; iCloud sleutelhanger kan gewoon je passkeys afhandelen. Je stelt dat eenmalig in op je iPhone iPad of MacBook en als je op Windows Chrome gebruikt (wat ik persoonlijk sterk afraad ivm data verzameling), dan kan je het alsnog gebruiken.

Je hoeft dus nooit meer te hannesen met vage derde partij tooltjes en steeds te prutsen als je een extra apparaat koopt. Eenmalig inloggen en bevestigen en het blijft werken

[Reactie gewijzigd door OLED op 22 juli 2024 20:39]

Als je Windows gebruikt kan je beter een third party password manager kiezen. Ik heb alleen maar slechte ervaringen met iCloud Keychain op Windows. Dit naast de feit dat je Keychain niet kan exporteren (zonder een Mac) en het eventueel de Apple ecosysteem verlaten moeilijker maakt.
Bij mij werkt het vrijwel perfect, stukken beter dan keeper dat m’n werk heeft gebruikt, met name de input herkenning (keeper heeft veel false positives en herkent totp code velden vaak niet) is beter en het zit minder in de weg.
Je hoeft dus nooit meer te hannesen met vage derde partij tooltjes en steeds te prutsen als je een extra apparaat koopt. Eenmalig inloggen en bevestigen en het blijft werken
Zoiets als 1Password is juist makkelijker in het gebruik dan Apple's keychain. De interfaces rondom de keychain zijn waardeloos. Daarnaast is Apple's ondersteuning op alles wat geen Apple apparaat is gewoon ruk.

Belangrijker is echter dat Apple's beveiliging ruk is. Het feit dat je enkel hún 2FA kunt gebruiken en geen OTP is belachelijk. Als ik weer eens uitgelogd ben en wéér de 2FA in moet geven (op een "vertrouwd" apparaat - de developer portal is heel irritant), krijg ik de 2FA prompt op hetzelfde apparaat, zonder enige vorm van verificatie. Ik hoop dat ik niet uit hoef te leggen hoe onveilig dat is. En ze geven ze je ook mooi een passkey prompt, maar dat is enkel Apple Passkey, dus iets van een andere partij gebruiken kan niet. Wil je geen Apple apparaat gebruiken voor de 2FA, is de enige andere optie SMS.

Dit zijn het soort dingen waar de grote partijen als Apple, Microsoft en Google mee moeten werken aan de standaarden, maar de tooling verder over laten aan externe partijen zodat je kritieke apparaten niet allemaal aan elkaar hangen. En vooral bij Apple is dat dus bizar slecht, waarbij het verlies van één apparaat meteen je hele ecosysteem in gevaar brengt omdat ze dan ook meteen toegang tot je 2FA hebben.
Icloud sleutelhanger op windows werkt echt enorm slecht, het vind zoveel websites niet die wel in de sleutelhanger staan(Die Safari wel herkent als je via de iphone of mac er heen gaat).
Gebruik je Google Chrome? Dat is een vereiste namelijk

Volgens de handleiding werkt het alleen met Google Chrome, maar ik weet niet of dat jouw ervaring verklaart, wat ik begrepen heb is edge een Chrome skin met de Google phone homes geredirect naar Microsoft. Jammer dat het die ervaring is, ik heb het bij een aantal vrienden ingesteld en die zijn er tevreden over zonder klachten maar ik zou het niet aanraden als mensen een ervaring gelijkend de jouwe hebben (als het in edge hoort te werken althans)

[Reactie gewijzigd door OLED op 22 juli 2024 20:39]

Microsodft Edge of te wel ook CHromium browser, anders werkt de plugin niet die je nodig heb(ZOver ik weet kan je de plugin niet in firefox installeren).

[Reactie gewijzigd door Carlos0_0 op 22 juli 2024 20:39]

Ik gebruik het met edge en dat werkt gewoon prima. Niks op aan te merken.
Je zou gewoon denken dat ze het expres doen om het zo slecht op windows te laten werken.
Net even ingesteld, je 2 staps en wachtwoord verificatie worden automatisch uitgeschakeld :)
Is dit nu veiliger dan 2fa? Want dat wordt uitgeschakeld wanneer je dit instelt?

edit
Na het instellen van de passkey kan ik niet meer inloggen op de app. Er komt geen login prompt wanneer ik druk op inloggen met passkey.

[Reactie gewijzigd door doomin op 22 juli 2024 20:39]

Dat is toch al enkele maanden geleden bekend gemaakt?
Heb er diverse Twitter berichten over gezien.
Van de week heb ik geprobeerd passkey in te stellen voor PSN, maar de PS app (Android 14) werkt niet meer na de installatie. Bij het inloggen keer ik continu weer terug naar het inlogscherm in de app. Dus voor nu weer terug naar gebruikersnaam met wachtwoord, dan werkt de PS app wel.
Passkey ook ingesteld. Met moeite in kunnen loggen bij de PS App (android). Het lukte niet om via de browser in te loggen bij Sony. Heb voor nu maar weer old skool inloggen met behulp van een ww aangezet.

Op dit item kan niet meer gereageerd worden.