Google brengt Titan-beveiligingssleutel uit in Nederland voor 35 euro

Google heeft zijn Titan-beveiligingssleutel nu ook in Nederland uitgebracht. De beveiligingssleutels waren al langere tijd in diverse andere landen te koop, waaronder in België, maar waren nog niet op de Nederlandse markt beschikbaar. De sleutel is voor 35 euro te koop.

Er zijn twee varianten van de Titan-beveiligingssleutel beschikbaar, beide met dezelfde prijs. Het gaat om een USB-A-variant en een USB-C-versie. De twee sleutels bevatten allebei ondersteuning voor NFC, wat betekent dat ze ook op smartphones gebruikt kunnen worden. De sleutels zijn te koop via de webshop van Google.

Fysieke beveiligingssleutels zoals de Titan zijn te gebruiken als tweestapsverificatie. De sleutel wordt in de USB-poort van de computer gestoken om de identiteit van de gebruiker te bevestigen. Tweakers maakte eerder een overzicht van de verschillende beschikbare beveiligingssleutels.

Reacties (169)

YoMarK 27 maart 2025 10:25

Ik wil niet klagen, maar op tweakers.net zou ik toch op z'n minst iets meer IT diepgang verwachten. Bijvoorbeeld dat deze key FIDO2/WebAuthn standaard ondersteund, dat is voor veel mensen handig om te weten.

Sebazzz

@YoMarK • 27 maart 2025 10:51

Wat nog interessanter is hoeveel passkeys die ondersteund. Yubikeys ondersteunen bijvoorbeeld maar een beperkte hoeveelheid passkeys.

Llopigat

Google

@Sebazzz • 27 maart 2025 16:02

The Yubikey sinds versie 5.7 kan 100 passkeys aan. De oudere versies 25. https://support.yubico.co...-register-my-YubiKey-with

25 is inderdaad niet zo veel maar met 100 kan je wel flink vooruit. De Google heeft er inderdaad meer maar er zijn vooralsnog erg weinig sites die uberhaupt passkeys accepteren. En de meesten gebruiken ook nog eens niet de "discoverable identity" functie die je moet opslaan. Als je FIDO2 alleen als tweede-factor gebruikt, is er geen limiet. Bij de discoverable functie vervangt hij echt je gebruikersnaam en wachtwoord ook.

Ik gebruik zelf yubikeys omdat deze naast FIDO2 ook nog andere functies ondersteunen zoals OpenPGP (die gebruik ik echt heel veel, veel meer dan FIDO2), PIV (voor Windows login, gebruik ik soms voor mijn werk maar niet zoveel) en wat andere dingetjes zoals ingetypte wachtwoorden.

[Reactie gewijzigd door Llopigat op 27 maart 2025 16:04]

Sebazzz

@Llopigat • 27 maart 2025 16:35

Als je FIDO2 alleen als tweede-factor gebruikt, is er geen limiet. Bij de discoverable functie vervangt hij echt je gebruikersnaam en wachtwoord ook.

Passkeys zijn helaas altijd discoverable. Wat jij bedoeld is WebAuthn, die inderdaad niet per se discoverable zijn.

Llopigat

Google

@Sebazzz • 27 maart 2025 16:39

Ja de terminologie is een beetje verwarrend. Passkeys zijn inderdaad altijd discoverable en moeten dat ook zijn omdat ze ook de identiteit (normaal de gebruikersnaam) bevatten.

Maar wat ik bedoel is dat veel mensen yubikeys alleen gebruiken als MFA en daarvoor hoeven ze niet discoverable te zijn. De meeste sites ondersteunen uberhaupt geen passwordless. Ik heb er momenteel maar twee die het aankunnen. PayPal (helaas alleen in Chrome en niet eens op mobiel

) en Ofice 365.

Zer0 @Sebazzz • 27 maart 2025 11:41

Go passwordless and stop attacks with the best-in-class security keys that can store up to 250 unique passkeys
Een minuut zoeken met Google... als je dat nu gedaan had, en het resultaat hier gepost had om anderen te helpen.

Boxman @Zer0 • 27 maart 2025 13:20

Kan me voorstellen dat hij hier komt om het nieuws te vergaren en niet om zelf op de stoel van de journalist te gaan zitten.

Zer0 @Boxman • 27 maart 2025 13:24

Het nieuws staat in het artikel, de fijne zaken zoals de exacte specificaties niet. Moet elk artikel drie pagina's lang worden omdat alle details vermeld moeten worden?

supersnathan94

Google

@Zer0 • 27 maart 2025 13:30

Nee maar iets meer detail over dat soort dingen (want een lijstje met USPs is altijd wel handig toch) is toch wel te doen?

Remzi1993 @Sebazzz • 27 maart 2025 21:11

En of alles open source is, de software en firmware en dergelijke.

The Zep Man

Google
Beveiliging

@YoMarK • 27 maart 2025 10:27

Alstu. Wordt gewoon naar gelinkt.

CH4OS @The Zep Man • 27 maart 2025 10:33

Ik denk dat @YoMarK ín het artikel bedoelt. Nu zou het net zo goed (ook) een huissleutel kunnen zijn en dat is het dus niet.

Zer0 @CH4OS • 27 maart 2025 11:16

Een huissleutel met USB? Een huissleutel die gebruikt wordt als tweestapsverificatie? Dat staat letterlijk in het artikel, en daar kun je al een goede indruk krijgen over wat voor een product het is. Wil je er meer info, dan open je het gelinkte artikel....

svenk91 @Zer0 • 27 maart 2025 12:08

Een huissleutel met nfc is wel een ding. Dat zou nog best kunnen.

supersnathan94

Google

@Zer0 • 27 maart 2025 13:32

Tsja, laten we nou niet doen alsof we dat niet al uit de titel hadden opgemaakt.

Aangezien er wel wordt vermeld dat er een USB aansluiting is (wat nogal logisch is voor een USB key), maar niet hoeveel keys je daadwerkelijk kunt gebruiken, mogen we daar best wat van vinden toch?

Dragony @The Zep Man • 28 maart 2025 16:16

Is die 55 euro een typfout of een oude prijs?

wou5er @YoMarK • 27 maart 2025 18:36

Ach deze site is het allang niet meer van wat het geweest is.. het overgrote deel is copy paste en echt een meerwaarde hebben ze allang niet meer. In mijn ogen is het enige waardevolle nog de Pricewatch, Vraag & Aanbod en het Forum

Heineken

27 maart 2025 10:05

Mooi nieuws. Ik vind het erg handig werken.
De grote vraag hierachter: is het handig om dit bij Google af te nemen? Weten ze dan nog meer van mij?

Zer0 @Heineken • 27 maart 2025 10:08

Als je het niet van Google wil afnemen, Yubico levert dergelijke sleutels al langer, ook in Nederland.

Llopigat

Google

@Zer0 • 27 maart 2025 17:07

En die kunnen nog een stuk meer dan alleen fido (tenminste de volledige Yubikey, de yubico security key is wel hetzelfde als die van google)

TijsZonderH Nieuwscoördinator @Heineken • 27 maart 2025 13:04

Dat hangt natuurlijk volledig van je threatmodel af, maar in principe weet Google amper iets van je als je dit bestelt, behalve dan je thuisadres (maar dat kunnen ze ook makkelijker achterhalen uit je locatiegeschiedenis). Deze sleutels werken lokaal, dus dat is allemaal geen groot risico.

Ik denk dat de stap van veiligheid tussen geen 2fa naar enige vorm van 2fa al 95% veiligheid biedt. De volgende 4% veiligheid zit in het feit of je een sleutel als deze gebruikt tegenover een totp-app als Authenticator, en die laatste 1% in het feit welke fysieke beveiligingssleutel je gebruikt. Dus tenzij je écht een high-profile target bent kan ik me niet voorstellen dat het veel verschil maakt dat je deze sleutels via Google koopt versus een Yubikey.

Saph @Heineken • 27 maart 2025 10:09

Volgens mij werken dit soort sleutels lokaal en zou er niks naar Google gestuurd moeten worden. Maar om dat zeker te weten zou je wat dieper moeten duiken in hoe deze sleutels werken.

iApp @Saph • 27 maart 2025 10:15

Als ik zo een sleutel bestel, en het wordt thuis afgeleverd, dan weet Google dat die sleutel zich op dit adres bevind en dat is een potentieel risico.

Ik vind het wel een valide redenering - zo’n sleutel gebruik je vaak voor het beheer van grote applicaties en dan is de anonimiteit borgen erg belangrijk.

The Zep Man

Google
Beveiliging

@iApp • 27 maart 2025 10:19

Ik vind het wel een valide redenering - zo’n sleutel gebruik je vaak voor het beheer van grote applicaties en dan is de anonimiteit borgen erg belangrijk.

Als dat een probleem is dan laat je het elders bezorgen en gebruik je het niet waar het werd geleverd.

CH4OS @The Zep Man • 27 maart 2025 10:35

En dan ziet men toch aan de locatie vanaf waar je het meeste inlogt? Je komt er echt niet onderuit, elders laten bezorgen helpt alleen tijdelijk.

[Reactie gewijzigd door CH4OS op 27 maart 2025 10:52]

The Zep Man

Google
Beveiliging

@CH4OS • 27 maart 2025 10:45

Endan ziet men toch aan de locatie vanaf waar je het meeste inlogt?

Met Webauthn/FIDO2 wordt er niets geupload naar Google, tenzij je inlogt bij Google.

CH4OS @The Zep Man • 27 maart 2025 10:53

Wat niet betekend dat er niets kan draaien op het moment dat je überhaupt de key aansluit. Of dat het device dit doet vanuit de management software.

The Zep Man

Google
Beveiliging

@CH4OS • 27 maart 2025 11:01

Wat niet betekend dat er niets kan draaien op het moment dat je überhaupt de key aansluit.

Het is driverless. Er draait geen Google code, tenzij je jezelf daarvan afhankelijk maakt. Ook hoef je geen managementsoftware te draaien om het te gebruiken.

YubiKey doet met hun Security Key effectief hetzelfde. Ik zou mij eerst inlezen voordat je je druk gaat maken over de mogelijke beren op de weg die er niet zijn.

[Reactie gewijzigd door The Zep Man op 27 maart 2025 13:43]

RobertMe @The Zep Man • 27 maart 2025 12:36

Met het gebruik in combinatie met Chrome / Android / ChromeOS zouden ze natuurlijk wel zaken van de sleutel kunnen uitlezen (en doorsturen naar Googel) zonder dat je specifieke software ervoor geïnstalleerd hebt. Kans daarop lijkt me klein, maar zeker reëel.

Bij andere merken (die geen OS hebben of de meest populaire browser maken) is de kans daarop natuurlijk 0 (tenzij je zelf bewust een app / applicatie van de fabrikant installeert, die zoals je al aanhaalde niet nodig is).

The Zep Man

Google
Beveiliging

@RobertMe • 27 maart 2025 13:42

Met het gebruik in combinatie met Chrome / Android / ChromeOS zouden ze natuurlijk wel zaken van de sleutel kunnen uitlezen (en doorsturen naar Googel) zonder dat je specifieke software ervoor geïnstalleerd hebt. Kans daarop lijkt me klein, maar zeker reëel.

Dat scenario had ik al voorzien in mijn reactie:

Er draait geen Google code, tenzij je jezelf daarvan afhankelijk maakt.

Skywalker27 @iApp • 27 maart 2025 10:19

Als je inlogt op google en je gebruikt een sleutel weten ze dit ook...... dus wat is je punt. Ze weten namelijk allang waar je woont daar hebben ze het adres gekoppeld aan de sleutel niet voor nodig. Ze weten het ook eerder als je een scharrel on the side hebt dan je partner

. Ja zelfs als je geen google of meta zooi hebt. Tracking zooi is net onkruid je komt er bijna niet vanaf en als 1 fout maakt hebben zo weer een profiel aan je gekoppeld.

[Reactie gewijzigd door Skywalker27 op 27 maart 2025 10:20]

RobertMe @iApp • 27 maart 2025 10:34

Maar meer dan de bestel informatie wellicht gekoppeld aan een serienummer zullen ze niet hebben.

En dat serienummer wordt in ieder geval niet gebruikt in het hele authenticatie gebeuren. Als in: de sleutel zal de FIDO2 standaard voor authenticatie implementeren. En die standaard maakt geen gebruik van het serienummer of zo. Dus het is niet dat een (Google) website / app waar je deze sleutel gebruikt je direct kan identificeren op basis van bv het serienummer.

Betekent echter niet dat Google niet het serienummer van de sleutel kan uitlezen met een (lokale) app. Zo heeft Yubico ook een desktop applicatie waar je wat informatie over de sleutel in kan zien, zoals volgens mij ook het aantal gebruikte slots en ik vermoed ook zaken als firmware versie en mogelijk serienummer. Vraag is dan alleen wat er vervolgens met die informatie gedaan wordt. En bij Google zou het me eerlijk gezegd weer niks verbazen als ze wel elke keer dat je het ding gebruikt dit terugkoppelen naar een server. Zeker als dat gebruik dus plaatsvindt in Chrome of met Android. Dat zijn toch al twee "systemen" onder beheer van Google waarmee je de Titan dan gebruikt. Met bv iOS of Firefox is er dan weer geen interactie met een app/OS van die met ee sleutel moet communiceren en zal dat hopelijk ook niet plaats vinden (zeker op iOS met hun gesloten systeem neem ik aan dat bv de Google app niet kan inhaken op het aansluiten (USB) of scannen (NFC) van een Tital terwijl je vanuit bv Safari de authenticatie start).

Maar als je wat meer zekerheid wilt zijn er prima alternatieven, zoals de hierboven al aangehaalde Yubikey. Waarbij je niet verplicht bent om op enigerwijs een app van Yubico te gebruiken. IIRC is de enige "applicatie" op de sleutel die een Yubico app vereist de authenticator app voor het genereren van OTP codes. En dat hoef je niet te gebruiken (en zit ook niet op de goedkopere "Security Key"), waarbij uit veiligheid het sowieso beter is om FIDO2/Webauthn te gebruiken daar waar mogelijk. En als je geen app van Yubico nodig hebt kun je er ook vanuit gaan dat er geen gegevens over het gebruik gebruik teruggekoppeld worden naar Yubico. Want het gebruik van de sleutel maakt dan bv gebruik van de FIDO2 standaard om met dit type sleutels te communiceren, en daar zal naar ik aanneem uberhaupt geen identificeerbare informatie in zitten (zoals een serienummer). En al zit het er wel in kan dat dus alleen uitgelezen worden door het OS en/of de app/applicatie waarmee je de sleutel gebruikt. En bij een Yubikey zal dat niet iets van Yubico zijn. Bij Google uiteraard een ander verhaal aangezien die een (/meerdere) volledig OS hebben en met Chrome een enorm veel gebruikte browser die je ook gebruikt met deze sleutels.

Polderviking

@iApp • 27 maart 2025 10:26

Iedereen weet altijd waar die sleutel is, want als jij hem niet bij je hebt kan je hem niet gebruiken...

[Reactie gewijzigd door Polderviking op 27 maart 2025 10:27]

Saph @iApp • 27 maart 2025 11:40

Dus dan weet Google waar de sleutel afgeleverd is, en dan? Komt er een hitsquad van Google langs om je passwordmanager open te breken? Sorry maar ik vind dat wel erg paranoide. Als je je daar druk om maakt koop je een sleutel van een andere fabrikant en haal je deze af en betaal je contant i.p.v. online te bestellen.

Nasalis @iApp • 28 maart 2025 11:06

Kun je dat ding niet gewoon bij de Mediamarkt kopen?

Dorank @Heineken • 27 maart 2025 10:18

Wat denk je dat Google meer te weten komt over jou indien je deze sleutel gebruikt? Het enige wat ik zeker weet wat ze extra van je te weten komen is dat je de sleutel gekocht hebt.

HooksForFeet @Heineken • 27 maart 2025 10:58

Sowieso kan je je hedendaags afvragen of het slim is om dit soort dingen bij een Amerikaans bedrijf af te nemen.

SarjenS @Heineken • 27 maart 2025 13:56

Ze kunnen in ieder geval je gegevens koppelen aan het serienummer van de key. Een van de redenen dat ik voor een kleinere Europese speler heb gekozen (https://token2.com/).

bzuidgeest 27 maart 2025 10:16

Leuk idee maar ik zie zelden ook maar iets gezegd worden over "wat als de sleutel kapot gaat". En ja, het is gewoon elektronica en kan gewoon ineens kapot zijn als alle elektronica dat kan.

Dat betekend bij mij dat je altijd back-up toegang moet houden op een andere manier om toegang tot je spullen zonder key te houden. En als je dat hebt gaan de hackers gewoon naar die route in plaats van de key. Dus wat voegt dit toe behalve wellicht wat aanmeld gebruiksgemak?

Het voelt net als de kreet "passwordless". Pure marketing. Alles wat je gebruikt om te authenticeren in in weze een password. Alleen de vorm veranderd, en zelfs dat niet veel, want uiteindelijk is vingerafdruk ook vertaalt naar een lange reeks data. Enige verschil, je hoeft het niet zelf in te typen. Dus het gaat om gebruikersgemak niet om werkelijk iets nieuws. Er is altijd een vorm van een credential.

En hoe complexer en "gebruiksvriendelijker" het word, hoe minder mensen het begrijpen en hoe meer mensen toegang tot hun systemen permanent kunnen verliezen als een van die gemakken stuk gaat.

Om maar niet te spreken van methodes die aan een enkele leverancier gekoppeld zitten.

Eagle Creek

@bzuidgeest • 27 maart 2025 10:53

Het voelt net als de kreet "passwordless". Pure marketing. Alles wat je gebruikt om te authenticeren in in weze een password. Alleen de vorm veranderd, en zelfs dat niet veel, want uiteindelijk is vingerafdruk ook vertaalt naar een lange reeks data. Enige verschil, je hoeft het niet zelf in te typen. Dus het gaat om gebruikersgemak niet om werkelijk iets nieuws. Er is altijd een vorm van een credential.

Auw auw auw...

. Het gaat zeker niet louter om marketing; er zijn fundamentele verschillen die de veiligheid en efficiëntie van authenticatiemethoden verbeteren.

Een wachtwoord is wezenlijk anders dan een certificaat-gebaseerde inlog, of andere vormen van geheimen zoals challenge-response methoden. Natuurlijk klopt het dat er uiteindelijk een string data wordt verzonden, is deze string bij een wachtwoord altijd hetzelfde. Bij een OTP (One-Time Password) of passkey is de daadwerkelijke string echter elke keer verschillend, wat het aanzienlijk veiliger maakt. Bovendien zijn de eisen aan opslag en beveiliging voor deze methoden veel hoger.

Inloggen met OTP's leunt op cryptografie (HMAC) en variërende informatie (zoals tijd of tellers). Je kunt zeggen "dat is een dynamisch wachtwoord", maar het is daarmee wel een heel stuk veiliger dan een traditioneel wachtwoord. Passkeys zijn gebaseerd op asymmetrische cryptografie. Daarmee biedt het phishing-bestendigheid én bieden sterke beveiliging. Dat kun je ook wel weer platslaan naar "ja maar het is data en dus een wachtwoord", maar je doet dan echt de techieken en ontwikkelingen tekort.

want uiteindelijk is vingerafdruk ook vertaalt naar een lange reeks data.

Biometrie is hierin feitelijk weer een appels-en-peren vergelijking. De biometrie wordt in de praktijk gebruikt om te bewijzen dat jij het bent (identificatie), waarmee je weer een onderliggende technisch geheim ontgrendelt. Dit geheim kan dan een traditioneel wachtwoord zijn, een cryptografische sleutel, een willekeurige string, etc. Het is in technische zin dus geen vervanger van een wachtwoord maar kan met de juiste implementatie wel zo worden ingezet, om van iets dat je weet ("something you know") om te zetten naar dat je bent ("something you are of "do"). Dit is het koppelvlak tussen wat mensen goed kunnen en zijn (een vinger op een scanner leggen) en computers goed kunnen (een belachelijk complex getal van 800 cijfers onthouden).

En hoe complexer en "gebruiksvriendelijker" het word, hoe minder mensen het begrijpen en hoe meer mensen toegang tot hun systemen permanent kunnen verliezen als een van die gemakken stuk gaat.

Daarmee wil ik helemaal niet voorbij gaan aan je zorgen rondom back-ups en herstel, maar dat is een op zichzelfstaand probleem. Ook een wachtwoord kun je vergeten en moet je kunnen resetten. En natuurlijk wil je dat de resetmethode minstens net zo veilig is als de inlogmethode zelf (een bekend problematische methode zijn de "security questions", waarbij een sterk wachtwoord kan worden omzeild door eenvoudige vragen waarbij het antwoord op iemands social media-account terug te vinden is).

Het is aan de leveranciers en aanbieders van inlogsystemen en middelware, om hier op een juiste manier mee om te gaan zodat het begrijpelijk is voor consumenten. Binnen een bedrijf kun je bijvoorbeeld prima de servicedesk bellen, die kan controleren of er een actief contract staat in HR en zij een reset voor jou mogen uitvoeren. Binnen de grote private wereld kan dit meer uitdagend zijn maar ook dan zijn er methoden voor verificatie en herstel, die het liefste op voorhand zijn aangeboden en geconfigureerd.

Paar bronnen en reads:
- https://support.apple.com...e%20no%20shared%20secrets.
- https://www.reddit.com/r/...asskeys_secure/?rdt=53170

Edit
En ja, voorbeelden als https://www.wired.com/sto...using-passwords-passkeys/ (compatabiliteit, adoptie, ervaring en interface nog in ontwikkeling) herken ik ook. En het is goed dat daar aandacht voor is.

[Reactie gewijzigd door Eagle Creek op 27 maart 2025 11:09]

bzuidgeest @Eagle Creek • 27 maart 2025 11:01

hmm. Maar die OTP of passkey, dynamisch of niet zit achter een statisch gegeven. De vingerafdruk of pincode die de sleutel ontgrendeld. Het ding over de lijn is dynamisch, maar de input om die string te krijgen is het niet.
Dus het "statische" wachtwoord is verschoven, maar niet verdwenen.

Neem de verschillende authenicator apps. Leuk en heel veilig, tot je beseft dat de zwakke schakel is verschoven naar de beveiliging van de telefoon. En als die omzeilt word heb je ineens heel brede toegang tot een persoon zijn leven.

Ik erken dat extra hindernissen extra veilig zijn, maar te veel hindernissen leiden tot gebruikers die ze omzeilen of bijvoorbeeld hun telefoon niet beveiligen omdat de extra seconde te lang duurt.

Mantis @bzuidgeest • 27 maart 2025 11:15

Het is geen 'extra hindernis'. Passwordless is net eenvoudiger.
In bedrijven waar Windows Hello is uitgerold gaat authenticatie sneller en wordt het positief onthaald door eindgebruikers.

bzuidgeest @Mantis • 27 maart 2025 11:19

Dus zit alles achter bijvoorbeeld een vingerafdruk. Een biometrisch gegeven dat en makkelijk te vinden is van een andere persoon en waar talloze lage kwaliteit scanner van worden gebruikt die bij wijze van spreken een papiertje met ene geprinte vingerafdruk nog zouden accepteren. Ook faceId zijn nog wel problemen mee gevonden.

De software zal wel positief onthaalt worden... Maar word het daardoor veiliger?

Eagle Creek

@bzuidgeest • 27 maart 2025 12:05

In bedrijven waar Windows Hello is uitgerold

en waar talloze lage kwaliteit scanner van worden gebruikt die bij wijze van spreken een papiertje met ene geprinte vingerafdruk nog zouden accepteren.

Sorry maar ook hier spring ik weer in. Windows Hello (for Business) is helemaal niet te gebruiken met tallloze lage kwaliteit scanners. Microsoft stelt hoge, doch transparante, eisen aan apparaten die Windows Hello ondersteunen op een manier die door audits wordt geaccepteerd.

Bron:

En ja, ook hier zijn weer tegengeluiden te vinden (o.a. https://www.kaspersky.com...rics-windows-hello/50094/). Maar dat is in feite niet waar het om gaat. Je kunt ook valse paspoorten kopen. Het gaat om een systeem dat inherent veilig is ontworpen en ingezet, waarbij actief tegen uitwassen wordt gestreden en waarbij je in een situatie met bijzonder hoog risico altijd zelf wordt geacht een risico-analyse uit te voeren en aanvullende maatregelen te inroduceren waar je dat nodig acht.

Met andere woorden: in de basis is Windows Hello een veilig product dat in de praktijk door eindgebruikers positief wordt onthaald.

[Reactie gewijzigd door Eagle Creek op 27 maart 2025 12:14]

bzuidgeest @Eagle Creek • 27 maart 2025 12:08

Je zegt het zelf "in basis".

altijd zelf wordt geacht een risico-analyse uit te voeren en aanvullende maatregelen te inroduceren waar je dat nodig acht

En daar kom je in de kern... Dat doet een bedrijf (hoop je), maar we hebben het hier ook over iets voor consumenten. En hoe goed denken die ergens over na?

Eagle Creek

@bzuidgeest • 27 maart 2025 12:13

Je doet toch ook een risico-analyse als je de straat oversteekt en daarbij een rood licht negeert? En ja, ik begrijp heel goed dat een aanrijdende vrachtwagen met 50km/h voor veel mensen een stuk eenvoudiger te begrijpen is dan een Poolse hacker die onderweg is om je auth-token te onderscheppen.

Maar om die reden is het aan bedrijven van authenticatiemethoden (websites, applicaties, winkels) en middelware (authenticator-apps, fido-tokens, etc) om hun klanten zo goed als mogelijk te informeren over de werking en risico's van het product. In algemene zin geldt dat het pas verstandig is om met spullen om te gaan als je er verstand van hebt.

Zo vinden we het met z'n allen fijn dat je een rijbewijs hebt voordat je met een apparaat van 2000 kg met 100kmh over de A2 mag bewegen, en dat je weet wat het verschil is tussen de rode draad en de zwarte draad als je de meterkast openschroeft. Op vlakken waar we die eisen niet hebben, zoals met een laptop op het internet rondzwerven, doe je er zelf verstandig aan om je in te lezen, of kennis op te halen bij mensen die wél die kennis hebben.

bzuidgeest @Eagle Creek • 27 maart 2025 12:42

In algemene zin geldt dat het pas verstandig is om met spullen om te gaan als je er verstand van hebt.

Een stellingname die voor 99% van de computer gebruikers dus niet opgaat. Je vergelijkt het met een rijbewijs. Maar men vergelijkt computergebruik normaal met dat van de magnetron of TV. Niet met dat van een gevaarlijke zware machine. En dus is er geen rijbewijs voor een computer vereist. En dat terwijl de gevolgen op de computer meer te vergelijken zijn met een zwaar auto-ongeluk in leed dan met een TV die niet aan wil.

Mantis @bzuidgeest • 27 maart 2025 11:33

Ja, het is ontegensprekelijk veiliger. De biometrische gegevens zijn altijd gelinkt aan de computer van de gebruiker via de TPM-chip en worden niet centraal bijgehouden.
Ook al zou je een kopie van de vingerafdruk hebben, dan nog heb je ook de gebruiker zijn computer nodig om dit te misbruiken.
Daarnaast is het ook phishing-resistent aangezien je met public/private keys werkt.

bzuidgeest @Mantis • 27 maart 2025 11:35

en de gebruiker zijn "onedrive" en al die andere shared resources die erachter zitten en niet single device zijn?

telenut @bzuidgeest • 27 maart 2025 11:47

daar kan je niet in met biometrische gegevens... tenzij van op die specifieke pc

bzuidgeest @telenut • 27 maart 2025 11:49

Vreemd mijn onedrive is net als die van alle mensen van overal op het web te benaderen. Een online storage die je maar van 1 pc kan gebruiken verliest zijn nut.

telenut @bzuidgeest • 27 maart 2025 11:50

en jij denkt op mijn onedrive te raken vanaf uw pc als je mijn vingerafdruk hebt?

bzuidgeest @telenut • 27 maart 2025 11:51

Hoe denk jij erop te komen van een andere pc? Want als je pc stuk gaat, kan je vanaf de nieuwe er toch weer bijkomen.....
Als dat er voor jou is, dan is het er voor een hacker.

[Reactie gewijzigd door bzuidgeest op 27 maart 2025 11:52]

Llopigat

Google

@bzuidgeest • 27 maart 2025 16:12

Ja maar niet zonder toestemming natuurlijk.

proatjeboksem @bzuidgeest • 27 maart 2025 10:28

Hetzelfde als met al je onmisbare hardware, zorgen dat je een reserve hebt.
Yubico adviseert daarom ook om er altijd een backup sleutel er bij te nemen.

bzuidgeest @proatjeboksem • 27 maart 2025 10:50

En hoeveel mensen hebben die werkelijk? Hoeveel controleren die reserve regelmatig? Ze krijgen het nu al met wachtwoorden voor elkaar zich buiten te sluiten. Ze vergeten nu al de recovery opties in te stellen....

Ik denk niet dat hippere keys die problemen oplost en misschien zelfs wel erger maakt.

vrow @bzuidgeest • 27 maart 2025 11:28

Ik lees jouw reacties op dit topic en vat het even samen:

-Wachtwoorden zijn prut
-Fysieke keys zijn prut, die gaan stuk
-Vingerafdrukken zijn prut, want de scanners zijn slecht en vingerafdrukken zijn makkelijk te te maken
-Passkeys zijn onhandig

Mijn vraag is dus, wat is volgens jou dan wel een goede manier?
Of zullen we alle websites en diensten gewoon vragen om mensen in te laten loggen door alleen hun gebruikersnaam in te voeren, zonder wachtwoord? Wel zo makkelijk en net zo veilig denk ik, gezien het gemak waarmee mensen vingerafdrukken kunnen stelen en namaken

bzuidgeest @vrow • 27 maart 2025 11:32

Dat is een verkeerde interpretatie. Vind jij dat alles maar geaccepteerd moet als "beter" omdat het nieuw is?

Het is goed om meerdere opties te hebben. Het is ook goed om te kijken naar welke optie wanneer goed voldoet. En of een optie een verbetering is voor een gegeven situatie. En daar zitten ook weer grote verschillen in wat je realistisch kan verwachten van een consument of bedrijfs gebruiker, tweaker of niet tweaker.

En ja, je mag zeker kijken of een nieuwe oplossing niet gewoon de nieuwe kleren van de keizer vormen.

vrow @bzuidgeest • 27 maart 2025 12:13

Ik heb al jaren een Yubikey en ben daar erg tevreden over.
Voordeel voor mij is, ik ben op een 'vreemde' computer en vul daar mijn gebruikersnaam en wachtwoord in, bijvoorbeeld van mijn Gmail-account. Daarna de sleutel erin en op het knopje klikken en klaar.
Wel de incognito-browser gebruiken dan en daarna ook (voor de zekerheid) even goed uitloggen natuurlijk.

Maar dit werkt erg eenvoudig.

Daarnaast moet je wel herstelopties instellen voor als je key het niet meer doet. Dat kan een tweede key zijn (heb ik ook), maar ook een eenmalige recovery-code (die je uiteraard heel goed geheim moet houden), een OTP-code via een app of zélfs een code via sms/e-mail.

Die laatste twee zijn uiteraard minder veilig en verdienen niet de voorkeur. Maar het hangt ook af van hoe 'geheim' het account is wat je probeert te beschermen, natuurlijk. Een forum-account op Tweakers zou prima via SMS mogen, bijvoorbeeld. Mensen kunnen daar weinig spannends mee. Een bank-inlog via SMS is dan weer not-done.

Mensen moeten wachtwoorden serieus nemen. De buren (of je familie) heeft ook een reservesleutel van je voordeur, want die kan je ook onderweg verliezen. Heb je dan maar 1 sleutel dan sta je ook mooi buiten. Dat heeft iedereen goed opgelost. Maar voor wachtwoorden doen mensen dat vaak niet.

bzuidgeest @vrow • 27 maart 2025 12:19

Mensen moeten wachtwoorden serieus nemen. De buren (of je familie) heeft ook een reservesleutel van je voordeur, want die kan je ook onderweg verliezen.

eens,

Heb je dan maar 1 sleutel dan sta je ook mooi buiten. Dat heeft iedereen goed opgelost. Maar voor wachtwoorden doen mensen dat vaak niet.

En dat is waar ik het over heb. De beveiliging is zo sterk als de zwakste schakel. Ik heb niets tegen je key. Maar de grootste problemen zitten niet in hacks, maar in social engineering. Mensen iets doms laten doen en daar helpt de sleutel net zo min tegen als een zwak wachtwoord.

HenkEisDS @vrow • 27 maart 2025 14:20

Ik heb toevallig een Yubikey besteld. Wat ik echter lees is dat je in Gmail niet 100% kunt afdwingen alleen Yubikey te accepteren, maar dat je altijd een onveiligere methode ernaast moet houden. Vooral het tap-to-confirm is moeilijk uit te zetten omdat dit automatisch aangezet wordt als je inlogt op mobiel.

vrow @HenkEisDS • 27 maart 2025 14:25

Ja, eens.
Dat zouden ze moeten aanpassen.
Op je scherm (computer) moeten ze dan gewoon 2 cijfers tonen die je moet invoeren op je mobiel. Dat voorkomt ook dat je per ongeluk op 'ja' klikt terwijl je zelf helemaal niet aan het inloggen bent.

Via die notification-spam zijn veel MS365-accounts gehackt. Mensen kregen steeds de melding en klikten dan uiteindelijk maar gewoon op 'ja' om ervan af te zijn. Kort daarop heeft MS het overtypen van 2 cijfers op je telefoon verplicht gemaakt. Minimale extra handeling maar het voorkomt dat mensen dus onbedoeld op 'ja' klikken.

Llopigat

Google

@vrow • 27 maart 2025 16:13

Voordeel voor mij is, ik ben op een 'vreemde' computer en vul daar mijn gebruikersnaam en wachtwoord in, bijvoorbeeld van mijn Gmail-account. Daarna de sleutel erin en op het knopje klikken en klaar.

Het kan zelfs nog beter. Je komt op een vreemde computer, gaat naar bijvoorbeeld outlook.office.com, voert de stick in, typt de pincode ervan en raakt de stick aan ter bevestiging. En ingelogd.

Dat is passwordless. Wat jij nu doet is tweede factor (FIDO2 U2F)

vrow @Llopigat • 28 maart 2025 11:58

Ja, dat kan ook nog inderdaad.
Ik heb wel passkeys in Bitwarden staan maar nog geen passkeys op de Yubikey in gebruik. Ik heb de Yubikey al een tijdje en dit wat jij noemt, was toen nog erg nieuw allemaal en dan blijft het erbij. Ik heb wel een pincode ingesteld op de Yubikey maar ik moet me nog even verdiepen in het opslaan van passkeys op de Yubikey!

HollowGamer @bzuidgeest • 27 maart 2025 10:30

Het is vooral gebruiksgemak, daarvoor is o.a. TPM uitgevonden.

Je zou een reboot van een device kunnen laten plaatsvinden zonder dat je erna de encryptie key hoeft in te vullen. Dat scheelt echt enorm veel gedoe, en is veel beter dan overal dezelfde key/password gebruiken.

Ik denk zelfs dat het zaken veiliger maakt. Een fingerprint is vrij uniek, dus je zult echt fysiek aanwezig moeten zijn om te unlocken bijvoorbeeld.

Deze key zou je ook kunnen inpluggen, gaat koffie halen (uitpluggen + sessie vergrendeling) en je kunt erna weer verder. Maar ook genoeg andere zaken wel te verzinnen.

bzuidgeest @HollowGamer • 27 maart 2025 10:44

Een fingerprint is vrij uniek, maar ook vaak makkelijk te verkrijgen. En erger, makkelijk na te maken. Er zijn tegenwoordig betere scanners, die meer doen dan een patroontje zoeken, maar ook nog genoeg rommel. Ik denk dat biometrie overschat word in een hoop gevallen, zeker als iemand met resources er langs wil.

RobertMe @bzuidgeest • 27 maart 2025 11:55

Hoe (on)veilig een vingerafdruk is maakt eigenlijk nog niet eens heel veel uit. Je logt niet in met een vingerafdruk. Je logt in met een ander gegeven dat is opgeslagen op een apparaat en om aan dat gegeven te komen moet je je identificeren met je wachtwoord.
Ergo: om in te loggen met een vingerafdruk moet je ten eerste al hebben tot hetzelfde apparaat. Op het apparaat staat een (soort van) wachtwoord, alleen is dat wachtwoord versleuteld, en het "wachtwoord" om aan het wachtwoord te komen is de vingerafdruk. Dus hoe zwak het "wachtwoord om aan het wachtwoord te komen" is is al minder relevant aangezien je al fysiek toegang moet hebben. En afhankelijk van de risico's is dat acceptabel. Ik zou prima mijn laptop beveiligen op deze manier. De kans dat een gezinslid mijn laptop probeert te hacken schat ik klein in, en de kans op diefstal ook. Maar uiteraard kan dat per scenario verschillen, en als je bij een bank werkt is de kans bv al groter dat iemand die relatief zwakke (maar nog steeds sterker dan een wachtwoord) zijnde beveiliging probeert te omzeilen en ga je dus wellicht op zoek naar een alternatief.

Maar het is dus nooit zo dat als je bv op een website inlogt "met een vingerafdruk" dat iemand in China kan inloggen op die website onder jouw account "omdat een wachtwoord een zwakke beveiliging is". Diegene zal dan nog steeds toegang moeten hebben tot dat apparaat dat jij hebt ingesteld om op die website in te loggen met een vingerafdruk. Pas dan loop je het risico dat de (zwakke) vingerafdruk(scanner) omzeilt wordt en je " wachtwoord" prijsgeeft. Terwijl iemand in China wel vele manieren heeft om een traditionele wachtwoord gebaseerde login te "omzeilen" (van brute force tot een MitM tot een virus op jouw apparaat tot social engineering (phishing) aan toe).

bzuidgeest @RobertMe • 27 maart 2025 11:59

Ergo: om in te loggen met een vingerafdruk moet je ten eerste al hebben tot hetzelfde apparaat.

En zoals vele anderen hier stellen, om falen tegen te gaan van de key, moet je een reserve sleutel hebben. Hoe vaak controleer jij (of de gemiddelde mens) of die nog op zijn plaats ligt en nog werkt?

Het "gevaar" zo je wil komt niet van je familie. En dan hebben we het nog over fysieke sleutels. Heel vaak is de sleutel een app op een telefoon of iets anders.

OTP, sleutels, biometrie, het zijn toevoegingen geen silver bullets. Hoe mooi de techniek ook klinkt. De mens is de zwakste schakel.

stefanoroos @bzuidgeest • 27 maart 2025 10:33

YubiKey geeft zelf aan minimaal 2 keys toe te voegen aan elk account. Dan minimaliseer je het kwijtraken of kapot gaan aanzienlijk, daarom hoor je er niemand over.

Het toevoegen van twee keys is soms iets minder gebruiksvriendelijk en het uitschakelen van alternatieve methodes is soms inderdaad geen eens mogelijk. Dan voeg je inderdaad geen extra beveiliging toe, maar een extra ingang.

bzuidgeest @stefanoroos • 27 maart 2025 10:47

En hoeveel mensen zullen dat doen? Want ze zijn zuinig. En testen ze die tweede key regelmatig? Want ook met stilliggen kan iets kapot. Bitrot is een ding.

Ik realiseer mij dat je de kans op "pech" drastisch kan verminderen. Maar ik denk ook dat veel mensen niet op "pech" zullen zijn voorbereid. Wat de fabrikant ook adviseert.

En wanneer het fout gaat hoor je niemand.... Die mensen kunnen namelijk niet meer bij hun email

IcyPalm @bzuidgeest • 27 maart 2025 11:13

Bij ons in de organisatie heeft iedereen twee keys(sommige zelfs drie of vier want USB-A. en USB-C zijn een ding....)

Er is actief beleid op het roteren van de sleutels, ze zijn kleurgecodeerd en er komt een aankondiging: volgende week is het rood. De sfeer hieromheen is luchtig maar wel serieus. Dit gebeurt per twee maanden ongeveer, dus ook niet elke week, dit houdt het overzichtelijk.

Ja het is serieus beleid en er is goed over nagedacht maar het voelt niet als "moeite"

bzuidgeest @IcyPalm • 27 maart 2025 11:15

Je zegt het zelf organisatie. En dan nog een, die veiligheid heel hoog heeft zo te horen. Maar we hebben het hier over iets wat naar gewone consumenten gaat..

IcyPalm @bzuidgeest • 27 maart 2025 11:18

Dit druppelt wel door hoor

Op verjaardagen heb ik het erover, een boel familie heeft inmiddels ook sleutels en kent de voor- en nadelen. Collega's niet anders.

Ja het zal zeker wel misgaan maar als je er altijd negatief over blijft hou je dat ook zeker zo. Ik vertel daarom graag ook over de goede kanten en wat je er positief mee kan bereiken

bzuidgeest @IcyPalm • 27 maart 2025 11:22

Ik probeer realistisch naar voor en nadelen te kijken. En of wat mij verkocht word als een verbetering dat ook is en zo ja, hoe.
Dat word vaak als negatief gezien, maar vind het gewoon belangrijk om te beseffen waar je mee bezig bent en wat de voor, maar ook nadelen zijn. En nog belangrijker... of de verwachtingen om iets veiliger te doen aansluiten bij menselijk gedrag.

Mensen zijn digitaal al sinds jaar en dat niet voorbereid op problemen (gemiddeld genomen), keys, backups etc etc... Dat is niet veranderd. Ondank de positieve druppel van jou.:)

Llopigat

Google

@IcyPalm • 27 maart 2025 16:15

Er is actief beleid op het roteren van de sleutels, ze zijn kleurgecodeerd en er komt een aankondiging: volgende week is het rood. De sfeer hieromheen is luchtig maar wel serieus. Dit gebeurt per twee maanden ongeveer, dus ook niet elke week, dit houdt het overzichtelijk.

Jemig, waarom dat? Bij een grote organisatie heb je toch altijd een admin die een resetproces heeft voor als je de stick kwijtraakt.

Orama @bzuidgeest • 27 maart 2025 10:41

Ik heb 2 Yubico keys. Eentje aan mijn sleutelbos en eentje thuis opgeborgen.
Dus "wat als de sleutel kapot gaat" is niet zo'n issue.
Het voordeel hiervan is dat ik zelf mijn wachtwoord niet ken en dat hij belachelijk complex is.

bzuidgeest @Orama • 27 maart 2025 10:53

De meeste mensen zijn geen tweakers, begrijpen niets van wat ze gebruiken en volgen geen advies op....

Vraagje, test je de reserver sleutel regelmatig op functioneren? Zoals je dat ook met bijvoorbeeld een data backup zou moeten doen?

Van een tweaker die het interessant vind zou ik nog een ja willen verwachten, maar het zou mij niet verbazen als het antwoord nee is.

Orama @bzuidgeest • 29 maart 2025 00:01

Hij ligt dicht bij mijn pc. Dan hoef ik mijn sleutelbos niet te pakken.
Daarbij die aan mijn sleutelbos USB-C. en NFC en handig voor de telefoon en tablet.
Die in een bakje bij de PC is een USB-A en NFC.

HooksForFeet @Orama • 27 maart 2025 10:57

En doet die ene die je thuis hebt opgeborgen het nog? Wanneer heb je hem voor het laatst geprobeerd?

duvekot @bzuidgeest • 27 maart 2025 10:22

Dus koop je twee sleutels .. beide koppelen aan je account .. en eentje in de kluis leggen als backup .. kan je altijd zelf eea oplossen als je een key kwijt bent.

Waah @duvekot • 27 maart 2025 10:39

Goed plan. Dan gebruik je die ene key altijd, is die weg, pak je die uit de kluis.... Blijkt die defect te zijn na al die jaren.

Je kunt dit soort zaken verminderen, maar nooit voorkomen. Net zoals RAID geen backup is. En 2 lokale kopieen ook nog geen goede backup is.

Er zal altijd een recoverymogelijkheid moeten zijn.... En dat is altijd een attackvector.

bzuidgeest @duvekot • 27 maart 2025 10:40

Moet je ook wel de key in de kluis regelmatig testen. En hoeveel mensen hebben werkelijk een tweede key?

M. Schaap @bzuidgeest • 27 maart 2025 12:53

Yubico beveelt zelf aan om een tweede key als reserve te nemen; deze moet wel geregistreerd worden om als zodanig te kunnen worden gebruikt.
https://support.yubico.co...o-register-your-spare-key

bzuidgeest @M. Schaap • 27 maart 2025 15:58

Sorry, maar dat is nu al 20 keer gemeld en door mij op gereageerd.

svane @kiang • 27 maart 2025 10:56

nieuws: Mailinglijst blog Have I Been Pwned-oprichter gelekt door phishingmai...

één van de bekendere security-researchers in de wereld is onlangs gehackt. Ondanks gebruik van een wachtwoord manager. Met een passkey is 't een heel stuk moeilijker om per ongeluk bij een phishing website in te loggen!
Lijkt mij wel tenminste één degelijk argument

kiang

@svane • 27 maart 2025 11:02

Hunt opende de link, logde in met zijn gegevens en voerde een 2fa-code in.

Je wachtwoordmanager vult een wachtwoord niet in op een fake website, dat heeft hij handmatig gedaan, of zijn wachtwoordmanager is brak.

Met een goed ingestelde wachtwoordmanager moet de bel al rinkelen wanneer hij niet automatisch invult

Dus neen, wederom aanvaard ik deze drogreden niet. Ik heb echt een pesthekel aan passkeys, waarmee big tech probeert je wachtwoorden hard te koppelen aan hun gesloten apparaten. Je kan nu wel naïef geloven dat passkeys goed zijn voor je moeder en andere technoobs, maar waar je dan op aanstuurt is tante Arie die nooit meer iets anders dan een samsung kan kopen, want ze weet niet hoe ze moet inloggen behalve met jaar galaxy a21: daar werkt het automatisch, en natuurlijk maakt samsung geen makkelijke methode om je passkeys over te zeggen naar een ander merk toestel.

Nee, bedankt.

[Reactie gewijzigd door kiang op 27 maart 2025 11:04]

svane @kiang • 27 maart 2025 11:09

Dat klopt, hij heeft het handmatig gekopiëerd.

I went to the link which is on mailchimp-sso.com and entered my credentials which - crucially - did not auto-complete from 1Password. I then entered the OTP and the page hung.

Mijn punt is, dat het mogelijk is om je wachtwoord te kopiëren of over te schrijven vanuit een wachtwoord manager. Dit gaat niet (of heel moeilijk) met een passkey.

Zelfs als jij en ik perfect zouden zijn, en hier nooit in zouden trappen, dan blijft het punt staan: Niet iedereen is (atlijd) perfect, ook security-researchers die beter zouden moeten weten niet. En voor deze gevallen neemt een passkey een aanvalsvector weg.

kiang

@svane • 27 maart 2025 11:30

En mijn punt is dat het ONMOGELIJK is zelf te controleren waar je credentials zitten met passkeys: techreuzen hebben dit opzettelijk ondoorzichtig en omslachtig gemaakt, zogenaamd 'want security', maar de realiteit is dat er hier een regelrecht kwaadaardige vendor lock-in wordt gemaakt: "Oh, je wil nog bij je emailaccount? Makkelijkste is toch gewoon weer een iPhone kopen want anders kan je eigenlijk niet zomaar weer inloggen"

Dit afschilderen als 'goed voor de niet-technische gebruikers' is dan ook de wereld op zn kop.

svane @kiang • 27 maart 2025 13:34

Nu ben je dingen erbij aan 't verzinnen.

En mijn punt is dat het ONMOGELIJK is zelf te controleren waar je credentials zitten met passkeys:

Die credentials staan op de key, dat is 't hele idee.

techreuzen hebben dit opzettelijk ondoorzichtig en omslachtig gemaakt, zogenaamd 'want security', maar de realiteit is dat er hier een regelrecht kwaadaardige vendor lock-in wordt gemaakt

FIDO is een open standaard. Je hoeft niet per se de key bij google te kopen, kies lekker een andere fabrikant.

"Oh, je wil nog bij je emailaccount? Makkelijkste is toch gewoon weer een iPhone kopen want anders kan je eigenlijk niet zomaar weer inloggen"

Puur verzonnen. Ik kan prima inloggen op Google apps vanaf mijn Apple apparaat, en andersom.

Dit afschilderen als 'goed voor de niet-technische gebruikers' is dan ook de wereld op zn kop.

Met zelf verzonnen scenarios wel ja. Lees je anders een klein beetje in op wat zo'n key nou precies doet. Als je 'm kwijt raakt hoef je echt niet 'een iPhone te kopen'.
Stel je raakt 'm kwijt, en wilt inloggen bij Google.

If your security key is lost, you can follow these steps to get back into your account and protect it. Choose the right steps for you depending on whether you’ve set up another second step like:

Verification codes
Google prompts
Backup codes
A different security key you’ve added to your account
A registered computer where you previously chose not to be asked for a verification code

Genoeg opties. Maar een hacked account hebben waar je niet meer bij kan, en hackers bij je privédata kunnen is natuurlijk veel fijner....

Ik wil je niet overtuigen om het zelf te gaan gebruiken. Maar als je zegt dat je geen enkel voordeel heeft ben je bewust je ogen aan 't dichtknijpen.

kiang

@svane • 27 maart 2025 14:03

Jij hebt het nu over FIDO tehcnieken, ik had het over passkeys en dan specifiek over hoe techreuzen deze by default opslaan op hun toestel, zonder goede manier om deze over te zetten naar een alternatief (zoals een wachtwoordmanager of losse hardwarekey) zodat je vastzit in hun ecosysteem.

wooha @kiang • 27 maart 2025 15:04

Volgens mij is het idee dat je dan bij voorbaat al extra passkeys toevoegt aan het account. Net zoals je een kopie van je huissleutel maakt voordat je hem kwijtraakt of weggooit.

Overigens kan dat bij passkeys gewoon een losse hardwarekey zijn, maar soms wordt daarbij weer een pincode per site gevraagd.

Het is inderdaad wel omslachtig om alternatieve sleutels bij elk account toe te moeten voegen, in tegenstelling tot een huissleutel waarvan een kopie automatisch op elk slot werkt waarop het origineel werkt.

Voor dat laatste bestaan er hardware keys waarvan je een backup kan maken en op eenzelfde type sleutel kan herstellen. Voorzover ik uit de documentatie begrijp zou dat ook voor gebruik bij passkeys moeten werken.

Het grote voordeel van passkeys is dat het laagdrempelig (beschikbaar zonder extra kosten of hardware) is en er daarom een grotere kans is dat mensen het ook gaan gebruiken. Binnen een ecosysteem kan het ook werken op meer devices (sleutels) zonder alternatieve sleutels toe te hoeven voegen.

Teun! @kiang • 27 maart 2025 15:10

Je kan gewoon passkeys in een universele password manager zetten toch?
Ik vind het ook jammer dat big tech dit als lock-in methode gebruikt, maar je kan er zelf voor kiezen om dit niet te doen. Je zegt tegen ze maak een account bij bitwarden (of een alternatief), stop je passkeys erin en je kan er op alle apparaten bij als je 1 wachtwoord onthoud.

kiang

@Teun! • 27 maart 2025 15:21

Je kan gewoon passkeys in een universele password manager zetten toch?

Zeker, en dan heb ik er natuurlijk iets tegen, al vraag ik me dan wel af wat het voordeel is tegenover een willekeurig gegenereerd lang veilig wachtwoord.

Het probleem dat ik er echt mee heb is hoe big tech dit gewoon een grote muizenval gemaakt heeft voor een nog grotere lock in

vrow @kiang • 27 maart 2025 11:19

Hola, nu haal je passkeys en fysieke security keys door elkaar.
Dat is niet hetzelfde.

Passkeys zijn asymmetrisch, zijn een soort inlogcertificaten die alleen werken met de dienst waarop je ze hebt aangemaakt. Passkeys kunnen in je wachtwoordmanager staan of in Windows Hello oid.

Fysieke keys zijn wat anders, die bieden ook van alles, bijvoorbeeld OTP, passkeys, etc.

bzuidgeest @kiang • 27 maart 2025 11:08

uhm... een passwordmanager is in elk praktisch opzicht een digitale versie van de fysieke passkey.

RobertMe @bzuidgeest • 27 maart 2025 11:44

Nee. Want een wachtwoordmanager slaat wachtwoorden op en diezelfde wachtwoorden staan ook op d server en kun je als gebruiker zelf inzien.

Een fysieke sleutel slaat ten eerste geen wachtwoorden op (maar private keys) en die private keys kun je onmogelijk inzien en verlaten nooit het apparaat.
Ter vergelijking: Yubikeys (oudere versies) bevatten een lek waarbij je met een zeer specialistische aanval, direct op de chip, niet via USB, als je dus al in het bezit bent van de sleutel, misschien de gegevens kunt uitlezen. Dat is dus iets heel anders dan een wachtwoord dat, hopelijk gehasht, in de database van de website staat (en de database gehackt kan worden, en het wachtwoord uiteindelijk gebrute-forced kan worden (dat kan wel heel lang duren, maar het kan wel), en via phishing kan uitlekken, en via een MitM aanval kan uitlekken, en in de wachtwoordmanager inzichtelijk is (met vele manieren van social engineering om het te verkrijgen, of gewoon lekken), en via een lek in de wachtwoordmanager achterhaald kan worden, en mogelijk uberhaupt met toegang tot de computer achterhaald kan worden (zie bv KeePass die werken met het idee van "als iemand fysiek toegang heeft tot de computer dan is het altijd mogelijk dat de gegevens lekken"). Dan heeft een traditioneel wachtwoord, al dan niet met gebruik van een wachtwoord, toch veel meer aanvalsvectoren.

bzuidgeest @RobertMe • 27 maart 2025 11:48

Ik zei in praktisch gebruik, niet in implementatie, dat is een belangrijk onderscheid in mijn opmerking.
En dat was natuurlijk weer in de context van een andere opmerking.

Er zijn voordelen aan de keys, zeker, maar de zwakke plek verhuist wat mij betreft gewoon naar wat de key dan ook veilig maakt. Pincode, vingerscan etc. De zwakke schakel blijft de mens. En daar doe je weinig aan.

bzuidgeest @kiang • 27 maart 2025 11:34

Maar dat zijn implementatie verschillen, niet functionele verschillen. En passwordmanagers worden ook vaak als abbo bij 1 partij afgenomen. Ja je kan zelf hosten, maar dat is de minderheid en die minderheid moet dan ook zijn backups e.d. weer goed geregeld hebben. Een minderheid van een minderheid zal dat zijn.

kiang

@bzuidgeest • 27 maart 2025 11:35

Die ene partij werkt wel op eender welke telefoon of laptop. Passkeys zorgen ervoor dat je helemaal vast zit aan de fabrikant van je toestel dat je credentials gijzelt in naam van veiligheid.

svane @kiang • 27 maart 2025 13:44

Ik gebruik passkeys o.a. bij Github. Om in te loggen moet ik mijn username/wachtwoord invullen. (Staat in m'n wachtwoordmanager). Vervolgens kan ik als 2e factor:

- Een hardware passkey gebruiken.
- Een passkey gebruiken die bij Apple opgeslagen is. (vinger even op de scanner van m'n laptop leggen en ik ben binnen)
- Een passkey gebruiken die in mijn wachtwoordmanager opgeslagen is.
- Een gegenereerde code van een authenticator app gebruiken (Authy / Google authenticator / kies maar wat)
- In geval van nood een one-time password gebruiken wat ik ergens op een papiertje geschreven heb.

Kan jij mij vertellen welke fabrikant hier exact mijn credentials gegijzeld heeft?

Denk je écht dat geen 2fa gebruiken veiliger is?

kiang

@svane • 27 maart 2025 13:59

Leuk dat je nu liegt over wat ik zeg en je eigen ingewikkelde setup naar voren gooit als 'bewijs' dat het simpel is, maar deze onzin is makkelijk te doorprikken:

1. Ik zeg nergens iets tegen 2FA, dat verzin jij om je stroman lekker dood te meppen. 2FA is fantastisch, behalve als je passkeys gebruikt want dat zit die tweede factor keihard gegijzeld in je (in jouw geval apple) ecosysteem. Ikzelf gebruik een OTP 2FA methode waarbij ik deze data kan synchroniseren naar meerdere apparaten, van eender welke fabrikant. Daar is geen probleem mee. Mag jij me vertellen wat functioneel het voordeel is van een gesyncte passkey als 2FA tegenover een gesyncte OTP als 2FA. Doe maar geen moeite, want die is er niet: 2FA werkte al prima zonder passkeys.

2. Je hebt zelf de meest vergezochte situatie verzonnen waarbij je zelf alles kapot geconfigureerd hebt. Echter pretendeer je in al je comments het op te nemen voor de gewone gebruiker. Ofwel ben je wereldvreemd, ofwel ben je bewust aan het liegen, want je moet weten dat dit niet is hoe passkeys gemarket worden en dus niet is hoe gewone gebruikers passkeys zullen gebruiken.

Passkeys worden gemarket volledige vervanging van wachtwoorden door letterlijke elke techreus. NIET zoals jij nu pretendeert als toevoeging als 2FA. Als je dat beweert ben je of slecht geïnformeerd, of aan het liegen.

En diezelfde techreuzen pushen hun gebruikers om hun passkeys op te slaan in secure elements op hun toestellen, waar je ze niet meer uit kan halen. Niet in password managers zoals jij ook doet. Voor de gewone gebruiker betekent dat dus: tante Arie kan enkel in haar feesboek met haar iPhone, en tante Arie zal niet snappen hoe ze een ander apparaat kan instellen zodat die ook kan inloggen, behalve natuurlijk een nieuwe iPhone, want dat is eht enige wat Apple makkelijk maakt.

Dat noem ik gijzelen.

Teun! @kiang • 27 maart 2025 15:20

Zo, wat een aggressieve post.
1 functioneel voordeel van passkey (als 2FA of volledige login) is dat het niet serverside gestolen kan worden omdat dit dan alleen je publieke key betreft, niet je private, in tegenstelling tot je TOTP key (naast dat deze ook lang niet altijd voldoende bits hebben om veiligheid te garanderen, en dit komt mede doordat QR-codes lastig te controleren zijn).

Ik zou dus voorzichtiger zijn met mensen slecht geinformeerd (of nog erger, leugenaars) noemen.

Daarnaast is gemak volgens mij de factor die veel "gewone" mensen overhaalt, niet per se veiligheid. 2x iets invullen is minder moeite dan 1x.

Again, dat big tech dit als vendor lock-in gebruikt is schandalig, dus vertel dit mensen en raad ze een andere universele manier van passkeys bewaren aan!

kiang

@Teun! • 27 maart 2025 15:43

1) elke degelijke password manager versleutelt je wachtwoord gewoon voor online opslag. Dat kragen is even moeilijk als je private sleutel afleiden van je publieke, dus daar scoren passkeys echt geen punt.

Teun! @kiang • 27 maart 2025 15:51

Ik heb het hier over het endpoint waar je je authenticeert, deze staan er lang niet altijd om bekend de hoogste beveiligingseisen te hanteren (en daarnaast, waarom zou je daarop gokken als dat niet nodig is?)
Ik ga er inderdaad vanuit dat een wachtwoordmanager alles (usernames, passwords, secure notes, etc) versleuteld opslaat.

Daarnaast voorkomt dit aanvallen op mensen die hetzelfde password hergebruiken (ik geef direct toe, die zullen ook niet snel passkeys gebruiken).
Vandaar dat ik hoop dat het gemak deze mensen over kan halen (helemaal als 2FA niet afgedwongen word op de service waar je je authenticeert).

svane @kiang • 27 maart 2025 15:43

Doe eens even rustig. Je hoeft niet helemaal uit de pan te vliegen omdat ik niet jouw mening deel dat passkeys kut zijn.

Mag jij me vertellen wat functioneel het voordeel is van een gesyncte passkey als 2FA tegenover een gesyncte OTP als 2FA. Doe maar geen moeite, want die is er niet: 2FA werkte al prima zonder passkeys.

Nu al vergeten? https://www.troyhunt.com/...y-mailchimp-mailing-list/
Als Mailchimp passkeys ondersteunde, was deze mailinglist niet gehackt.

Unfortunately, Mailchimp doesn't offer phishing-resistant 2FA:

I'm enormously frustrated with myself for having fallen for this, and I apologise to anyone on that list. Obviously, watch out for spam or further phishes and check back here or via the social channels in the nav bar above for more. Ironically, I'm in London visiting government partners, and I spent a couple of hours with the National Cyber Security Centre yesterday talking about how we can better promote passkeys, in part due to their phishing-resistant nature. 🤦‍♂️

Maar wat weten security experts nou eenmaal....... jij weet 't beter.

2. Je hebt zelf de meest vergezochte situatie verzonnen waarbij je zelf alles kapot geconfigureerd hebt. Echter pretendeer je in al je comments het op te nemen voor de gewone gebruiker. Ofwel ben je wereldvreemd, ofwel ben je bewust aan het liegen, want je moet weten dat dit niet is hoe passkeys gemarket worden en dus niet is hoe gewone gebruikers passkeys zullen gebruiken.

"Meest vergezochte situatie"........ Als je het gebruik van een muis om wat knoppen aan te klikken lastig vindt, dan kan ik daar weinig aan doen, misschien een cursusje volgen? Welke stap hier brengt jou in de war? De grote "Register new passkey" knop? Of de grote "Add" knop? Heel knap dat je wél 2FA kan instellen, maar dat Passkeys instellen 'vergezocht en kapot-configureren' is, terwijl beiden op dezelfde pagina staan. In welke wereld is dit moeilijker dan een 2FA app installeren en instellen?
Als ik nu wil overstappen naar passkeys in Bitwarden, of in Chrome, of waar dan ook, dan druk ik gewoon nog een keer op die grote 'Register new passkey' knop, en voeg ik dat toe. Heel lastig

Ik zou trouwens niet weten hoe ik vanuit Authy al m'n TOTP's kan overzetten naar een andere dienst. Ben ik dan toch 'keihard gegijzeld' door big tech, zelfs zonder passkeys.

En diezelfde techreuzen pushen hun gebruikers om hun passkeys op te slaan in secure elements op hun toestellen, waar je ze niet meer uit kan halen.

Wat grappig, de keys die volgens jou er niet meer uit te halen zijn worden gewoon gesynchroniseerd tussen mijn iPhone en Laptop. Ben ik een geniale hacker?

Dat noem ik gijzelen.

Waarom daar ophouden? Noem het een genocide, or de derde wereldoorlog!

Teun! @svane • 27 maart 2025 15:55

Authy wordt dit inderdaad lastig, veel 2FA apps gebruiken ook technieken om vendor lock-in te misbruiken. Je zou een andere app kunnen overwegen waar je 2FA wel uit kan exporteren (gebruik zelf Aegis, 2FAS is ook een optie, Apple ecosysteem weet ik dat zo niet).

En kan jij je passkeys er ook echt uithalen? Oftewel inzien, niet alleen syncen (oprecht benieuwd)?

svane @Teun! • 27 maart 2025 16:32

Authy wordt dit inderdaad lastig, veel 2FA apps gebruiken ook technieken om vendor lock-in te misbruiken. Je zou een andere app kunnen overwegen waar je 2FA wel uit kan exporteren (gebruik zelf Aegis, 2FAS is ook een optie, Apple ecosysteem weet ik dat zo niet).

Thanks! maar ik vind 't juist wel prima zo. Als ik er niet makkelijk bij kan, kunnen hackers / malware / wat dan ook, er ook niet makkelijk bij

. Als ik overstap genereer ik wel nieuwe 2fa codes, zo gebeurd.
't punt was vooral dat de 'lockin' niet door passkeys veroorzaakt worden, bij TOTP codes heb je dit net zo hard

En kan jij je passkeys er ook echt uithalen? Oftewel inzien, niet alleen syncen (oprecht benieuwd)?

Goede vraag, maar nee. Misschien is het mogelijk om ze in te zien, maar dat heb ik niet kunnen vinden (en hoef ik ook niet

)
Ik zei het vooral als tegenargument op het idee van kiang dat de passkey op de secure enclave staat en dat dat de reden is dat je het er niet uit krijgt. Je kan 't namelijk wel prima synchroniseren tussen verschillende apparaten, dus 'vast in de enclave' staat het niet. (In dit geval wel vast tussen Apple apps / OS'en)

Teun! @svane • 27 maart 2025 16:41

Dat je hiervoor kiest is natuurlijk helemaal prima, maar dat anderen (waaronder ikzelf) dit als een kwalijke zaak zien (vendor lock in) kan ik zeker ook begrijpen.
Je kiest natuurlijk voor de lock in door bij deze apps te blijven, ik ga er vanuit dat je iig ook andere password managers dan keychain kan gebruiken, hetzelfde voor 2FA op de telefoon.

Ben ook benieuwd wat er zou gebeuren als je apple account (terecht of niet) gebanned zou worden, dan ben je wel echt ontzettend het haasje denk ik.

Altijd goed om even aan de andere kant te kijken (als macbooks goedkoper waren had ik dit zelf ook wel eens willen proberen!)

kiang

@svane • 27 maart 2025 16:34

Nu al vergeten? https://www.troyhunt.com/...y-mailchimp-mailing-list/
Als Mailchimp passkeys ondersteunde, was deze mailinglist niet gehackt.
...
Maar wat weten security experts nou eenmaal....... jij weet 't beter.

Mailchimp heeft een rookie fout gemaakt. Wederom: als je je wachtwoordmanager goed gebruikt gebeurt dit niet. Sterker: als je en wachtwoordmanager bouwt die simpelweg niet toestaat dat je je credentials handmatig gebruikt an heb je dit probleem niet, dus als iemand morgen een brakke passkeymanager schrijft die ook op phisingsites je credentials doorspeelt dan heb je hetzelfde probleem.

Dit is dus echt een non-argument.

"Meest vergezochte situatie"........ Als je het gebruik van een muis om wat knoppen aan te klikken lastig vindt, dan kan ik daar weinig aan doen, misschien een cursusje volgen?

Passkeys zijn gemaakt voor en worden gemarket naar niet-technische gebruikers die nu al geen 2FA aanzetten. Alles wat je nu noemt, al die managementopties, die bewijzen mijn punt en het is hilarisch/dieptriest dat je dit niet doorhebt.
De manier waarop jij passkeys zegt te gebruiken is NIET hoe tante Arie ze zal gebruiken want zij heeft nog nooit op account settings geklikt.

Ik zou trouwens niet weten hoe ik vanuit Authy al m'n TOTP's kan overzetten naar een andere dienst. Ben ik dan toch 'keihard gegijzeld' door big tech, zelfs zonder passkeys.

JA! Authy had een export functie, maar heeft deze in 2024 gesloopt toen ze hun desktopapp uitgeschakeld hebben. Daarvoor hebben ze enorm veel kritiek gekregen, ik ben daarom overgestapt naar een andere app die zijn gebruikers niet wil opsluiten, maar dat is jou blijkbaar ontgaan.
Je wijst naar het exacte asociale wangedrag van een techbedrijf, dit mis precies het punt dat ik aankaart, en je hebt het niet eens door.
Het grote verschil is dat dit NIET standaard is bij wachtwoordmanagers en OTP apps: die hebben doorgaans altijd een functie om je credentials te exporteren. Passkeys hebben dat (bij de grote platformen) niet.

Wat grappig, de keys die volgens jou er niet meer uit te halen zijn worden gewoon gesynchroniseerd tussen mijn iPhone en Laptop. Ben ik een geniale hacker?

Voor de gewone gebruiker (dat is dus iemand die geen 3rd party wachtwoordmanager heeft) werkt dit enkel en alleen als het een iPhone en een Macbook is. Precies het probleem dat ik aankaart: bigtech gebruikt passkeys om iedereen nog meer op te sluiten in hun ecosysteem.

svane @kiang • 27 maart 2025 16:56

Mailchimp heeft een rookie fout gemaakt.

De fout van Mailchimp was om geen Passkeys aan te bieden, waardoor Phishing mogelijk was.
De fout van Troy Hunt was om het wachtwoord van 1Password handmatig in te vullen op een phishingsite.

als je je wachtwoordmanager goed gebruikt gebeurt dit niet

Nog één keer dan: Je kan niet verwachten dat iedereen wachtwoordmanagers goed gebruiken, niet iedereen is een expert, en zelfs experts maken dit soort fouten. Dat jij hier misschien nooit zou intrappen houdt niet in dat phishing geen probleem is..........

Dit is dus echt een non-argument.

Tuurlijk, bescherming tegen Phishing is een non-argument.

Https ook afschaffen? Als je internet 'juist' gebruikt heb je dat ook niet nodig.

Je wijst naar het exacte asociale wangedrag van een techbedrijf, dit mis precies het punt dat ik aankaart, en je hebt het niet eens door.

Dus jouw punt is:
1. Er is een 'probleem', dat zowel speelt bij TOTP codes (Bij o.a. Authy, en ik denk ook google authenticator?), als bij Passkeys (Apple etc.)
2. Je gebruikt dat 'probleem' (dat voor beide oplossingen geldt) als argument om te stellen dat Passkeys kut zijn, en TOTP geweldig is.
3. TOTP, de oplossing die aantoonbaar kwetsbaar is voor Phishing aanvallen, zelfs bij experts.
4. Heel goed punt inderdaad

De manier waarop jij passkeys zegt te gebruiken is NIET hoe tante Arie ze zal gebruiken want zij heeft nog nooit op account settings geklikt.

Tante Arie gebruikt geen Github nee. Maar de meeste gebruikers zullen inderdaad niet snel overstappen omdat in hetzelfde ecosysteem blijven makkelijker is. Heeft niks met passkeys zelf te maken, ga lekker bij Google klagen. Tante Arie gaat namelijk ook niet van de chrome password manager overstappen naar 1Password, ook al is dat mogelijk.

RobertMe @bzuidgeest • 27 maart 2025 11:29

Alles wat je gebruikt om te authenticeren in in weze een password.

Nee, absoluut niet. De kreet die je aanhaalt, passwordless, werkt juist al niet met een password. Passwordless is gebaseerd op de FIDO2 standaard en dat werkt juist helemaal niet met een wachtwoord, maar met public key cryptografie.
Als je op een website gebruik wilt maken van passwordless inloggen dan registreert deze Titan sleutel (of Yubikey, of een van de vele alternatieven) een unieke private key die gekoppeld aan de domeinnaam van de website wordt opgeslagen op deze sleutel. Vervolgens wordt ook de bijbehorende public key gegenereerd en deze wordt naar de website gestuurd.
Op het moment dat je later wilt inloggen dan stuurt de website een willekeurig stukje tekst (zogenaamde nonce) die via de browser samen met de domeinnaam naar de sleutel wordt gestuurd. De sleutel zoekt vervolgens de private key op (en vindt die er geen dan mislukt het inloggen, phishen is dus direct onmogelijk) en met deze private key wordt de nonce versleuteld. Het versleutelde resultaat wordt vervolgens teruggestuurd naar de browser die het vervolgens naar de website stuurt. En de website heeft dan eerder de public key opgeslagen waarmee de versleutelde data ontsleuteld kan worden en de website dus kan controleren of die ontsleutelde data inderdaad de nonce is die die zelf verstuurd heeft.

Het gebruik van een wachtwoord is in principe dus symmetrisch en gelijk aan een "preshared key". Ik bedenk een wachtwoord en onthoud dat of sla dat op, en wissel dit de eerste keer uit met de website die dit ook op slaat. Waarmee we samen overeenkomen dat ik elke keer deze afgesproken sleutel (het wachtwoord) gebruik om mij te authenticeren.
Bij "passwordless" wordt echter geen gebruik gemaakt van iets dat symmetrisch is. Maar (letterlijk) asymmetrische cryptografie. Ik heb een cryptografische sleutel en ik ben de enige die deze heeft en deze zal (/kan!) ik nooit afstaan (deze staat in de hardware en het is onmogelijk om deze uit de hardware uit te lezen, daar bestaat simpelweg niks voor in het protocol tussen PC / telefoon / ... en de hardware sleutel). En vervolgens hoort er bij mijn prive sleutel een publiek deel dat ik wel kan (/moet) uitwisselen. En de website de mogelijkheid geeft om te verifiëren dat ik in het bezit van de prive sleutel ben.

Het grote verschil tussen een wachtwoord, en in principe ook OTP, en het gebruik van deze hardware keys is dat ik een wachtwoord ten alle tijden geheim moet houden, maar tegelijkertijd mijn geheime wachtwoord (elke keer!) moet afgeven aan de website, en er op moet vertrouwen dat die website mijn wachtwoord ook geheim houdt. (En bij OTP mag ik nooit de secret afgeven, moet ik er vanuit gaan dat de website de secret nooit afgeeft, en mag ik nooit een OTP afgeven behalve als ik zelf op de website wil inloggen).
Bij passwordless daarentegen is er dan wel nog een ding dat geheim moet zijn, namelijk de private key, maar dat ding is zo geheim dat zelfs ik als eigenaar van de hardware onmogelijk er aan kan komen. En de public key is zoals de naam al zegt publiekelijk. Als ik wil kan ik die opschrijven en op een postit op mijn scherm plakken, hier op Tweakers posten, of wat dan ook. Die public key is "waardeloos". En als de website waarmee ik deze uitwissel de public key uitlekt is er totaal niks aan de hand en is de boel nog steeds helemaal veilig. Het enige dat iemand met die public key kan is gegevens die met mijn private key versleuteld zijn ontsleutelen (/inzien). Maar dat heeft geen nut, want die versleutelde gegevens hebben geen betekenis (het is een willekeurige tekst die de website al "in plain tekst" naar de browser heeft gestuurd). En die public key kan dus ook niet gebruikt worden om iets te versleutelen, alsof het van mij afkomstig is. Want alleen mijn private key kan dat (IIRC kan los van passwordless inloggen een public key wel gebruikt worden om iets te versleutelen, maar dat kan dan alleen ontsleuteld worden door de private key (en dus niet diezelfde public key) maar daar maakt passwordless inloggen geen gebruik van).

bzuidgeest @RobertMe • 27 maart 2025 11:44

Passwordless is gebaseerd op de FIDO2 standaard en dat werkt juist helemaal niet met een wachtwoord, maar met public key cryptografie.

potato, patato... Je identificeert jezelf uniek met je wachtwoord, je identificeert jezelf uniek met een certificaat. Voeg daar aan toe dat de nieuwe methode weer beveiligd moeten worden door iets dat men heeft of kan onthouden. Sleutel word ontsloten door een pincode of een vingerafrduk. Allemaal gegevens die je kan krijgen, gebruiken met een reservesleutel die je moet hebben en die niet vlug als missend opvalt.

Ik denk niet dat de verschillen in de praktijk zo groot zijn. Extra hindernissen zeker, maar niet veel meer.
Er is altijd een zwakste schakel in de keten en zover ik zie word die verschoven maar ook niet meer.

Laten we OTP op de telefoon nemen. Dat is precies zo veilig als de toegang tot de telefoon. En hoeveel mensen hebben niet eenvoudige gestures? of pincodes? Of een telefoon met een matige vingerscanner?

Ja je hebt fantastische techniek in je sleutels... In theorie hardstikke veilig, tot het in aanraking met menselijk gedrag komt en gebruiksvriendelijk moet zijn.

Dat betekend niet dat ik het allemaal slecht vind of dat het niet gebruikt moet worden. Ik denk dat het gewoon niet de silver bullet is die mensen denken dat het is.

RobertMe @bzuidgeest • 27 maart 2025 12:12

Ja je hebt fantastische techniek in je sleutels... In theorie hardstikke veilig, tot het in aanraking met menselijk gedrag komt en gebruiksvriendelijk moet zijn.

Onzin. Want deze sleutels beschermen al tegen heel veel (vaak voorkomende!) beveiligingsproblemen van wachtwoorden (en OTP codes). Punt 1 is al dat phishing letterlijk onmogelijk is bij het gebruik van passkeys. Terwijl phishing juist, ik vermoed, de grootste oorzaak van lekken is. Zonder bezit van de passkey is phishing dus onmogelijk. En iemand moet al of mijn sleutel stelen of ik moet hem onbewaakt achterlaten (of mij social engineeren om hem op te sturen/af te staan, zoals met bankpassen gebeurt) om uberhaupt de mogelijkheid te krijgen om het ding te gebruiken. Terwijl wachtwoorden en OTP op afstand, zonder in het bezit van een apparaat te zijn, misbruikt kunnen worden. Ergo: ook al gebruik ik een verschrikkelijk onveilige pincode op de sleutel, dan nog kan een aanvaller niks totdat hij mijn sleutel bezit. En voor een normale ("anonieme") consument voegt dat dus echt wel heel veel bescherming toe ten opzichte van een gewoon wachtwoord. Phishen van wachtwoorden kun je immers met hagel schieten (zie bv het recente bericht van Troy Hunt, vele personen die die mail gehad hebben, een enkeling die daadwerkelijk er in trapte). Bij het gebruik van een security key kun je niet met hagel schieten, want je moet toegang tot de fysieke sleutel hebben (en het verkrijgen daarvan is een stuk lastiger).

Maar schijnbaar vind jij bankpassen dan ook onveilig, en onhandig? (net zo (on)veilig als alleen een wachtwoord en veel lastiger dan een wachtwoord) Immers is dat exact hetzelfde. Daar moet je ook in het bezit zijn van de bankpas (/security key) en kennis hebben van de pincode.
En met bankpassen is er wel fraude, maar dat valt relatief mee (qua aantal slachtoffers) en moet de kwaadwillende veel meer moeite voor doen (social engineering om bv een bankpas aan de deur op te halen of op te laten sturen en de pincode te verkrijgen). En bij een pinpas staat daar (vaak) direct geld tegenover. Maar zoveel moeite gaat "niemand" zich doen om op een Facebook account van een "anoniem" persoon te komen of om op iemand zijn GitHub account te komen. Dat zal (vaak) alleen de moeite waard zijn bij iemand die of een publiek persoon is en kwaad gezet kan worden, of waar op een andere manier "iets te halen" is (bv het GitHub account van iemand die aan een veelgebruikt stuk software werkt om malware in te bouwen).

bzuidgeest @RobertMe • 27 maart 2025 12:16

Bankpassen vind ik niet onhandig, maar of ze nou zo super veilig zijn?
Veilig genoeg, maar je bewijst hier mijn punt mee. Mensen zijn de zwakke schakel. Hoeveel mensen delen niet hun pincode? Hoeveel mensen hebbben 1234?

De banken hebben tonnen beveiliging. De grootste bedreiging is niet een fysieke hack. De grootste is social engineering en zie daar maar eens tegen te beveiligen. Hoe helpt een key als men zelf op de knop duwt? Hadden ze bijna net zo goed een simpel wachtwoord kunnen hebben.

Wat mij betreft kijk jij te veel naar techniek. Ik kijk ook naar wat die techniek inzet, mensen.

Je mag dat onzin vinden, maar ik denk daar anders over en niets van je lange uitleggen brengt daar iets tegenin. Ik zie eerder juist bevestigingen in zoals je bankpas voorbeeld.

RobertMe @bzuidgeest • 27 maart 2025 12:32

Behalve dan dat de techniek daadwerkelijk beveiliging toevoegt en mensen beschermd. Want phishing is onmogelijk. En dat zal vast de grootste kwetsbaarheid zijn. Nu kun je social engineeren om login gegevens (incl. OTP) in te vullen op een phishing website. Met passkeys is dat daadwerkelijk onmogelijk. Dat neemt waarschijnlijk meer dan 50% van de huidige lekken gewoon weg. (Wederom, zie Troy Hunt. Als Mailchimp passkeys ondersteunde was hem dat nooit gebeurd).

En ja, je kunt wel alles schuiven onder "wachtwoorden zijn 100% veilig tenzij je het wachtwoord zelf afstaat" (als in: mens is zelf die het wachtwoord lekt). En daarmee zeggen dat passkeys net zo onveilig zijn want de mens is het nog steeds die het onveilig maakt. Maar bij passkeys is het voor de gebruiker een stuk lastiger om per ongeluk iets te lekken (wederom: phishing is onmogelijk) en dus ook voor de aanvaller lastiger om iets te halen. Dat maakt het niet 100% veilig. Maar het beschermd wel tegen heel veel "domme" lekken. En dan kun je achteraf wel zeggen "ja, maar de gebruiker had nooit...". Maar het is de techniek die het mogelijk maakt. En bij het gebruik van security keys is het de techniek die veel van die mogelijkheden weg haalt (maar andere, minder makkelijk te misbruiken, mogelijkheden toevoegt).

bzuidgeest @RobertMe • 27 maart 2025 12:48

Nu kun je social engineeren

Yes, het grootste risico op dit moment , waar banken en dergelijke zich het meest zorgen over maken. Waar het meeste leed op dit moment van komt. En daar veranderd een key weinig aan in mijn opinie.

En daarmee zeggen dat passkeys net zo onveilig zijn want de mens is het nog steeds die het onveilig maakt

Ja, de mens blijft de zwakste schakel.

passkeys zullen vast wel iets toevoegen. Ik zou ze ook niet afraden. Ik zou ze zelfs aanmoedigen als het er op aankomt. Zeker in bedrijven. Maar voor een grote groep consumenten voegen ze niets toe, omdat die consumenten de zwakke schakel zijn. De social engineer, krijgt ze zo ver om zelf de key er in te steken en zelf op de knop te duwen. En dan maakt de vorm niet uit, wachtwoord of pincode of hardware key.
Ik heb niets tegen passkeys, ik heb iets tegen de aanname dat ze als silver bullet alles ineens opgelost hebben in een wereld waar social engineering de grootste bedreiging lijkt te zijn.

RobertMe @bzuidgeest • 27 maart 2025 13:15

De social engineer, krijgt ze zo ver om zelf de key er in te steken en zelf op de knop te duwen.

Ja, en dan? Er komt niks uit de key.
Je kunt de eigenaar niet social engineeren om de private key uit te lezen en die aan de aanvaller te geven. Want het is onmogelijk om de private key uit te lezen.
En je kunt ook niet social engineeren om bij een phishing site "de key in te steken en zelf op het knopje te duwen". Want de key bevat geen gegevens voor de phishing site (en je kunt vervolgens ook niet selecteren "dan gebruik die van die andere site maar", dus het scenario van Troy Hunt is onmogelijk).

Het enige waar je iemand die een security key heeft toe kunt social engineeren is dat hij begint met inloggen op de echte site, vervolgens zelf de key insteekt, en vervolgens zelf op het knopje drukt. Poepoe, stel je voor dat je denkt bij Mailchimp in te loggen en dat je daarna daadwerkelijk bij Mailchimp bent ingelogd

En best een kans dat die gebruiker toch al was ingelogd en die niet eens hoefde in te loggen.

bzuidgeest @RobertMe • 27 maart 2025 16:01

Social engineering richt zich niet op iets uitlezen. social engineering richt zich op de gebruiker iets doms te laten doen. Zoals zelf aanmelden met de key. En dan zelf iets overmaken. Of zelf een alternatieve login instellen, of een door de social engineer aangeboden script of tool doet dat waarna zonder de key door de engineer kan worden aangemeld.

Het hele idee achter social engineering is dat je niets hoeft uit te lezen of te hacken om je doel te bereiken. Als je het zo wil zien dan kan je zeggen dat ze de gebruiker hacken, niet de computer of de key. Maar het effect is hetzelfde.

RobertMe @bzuidgeest • 27 maart 2025 17:00

Maar dat heeft dan weer niks met authenticatie en wachtwoord vs security key te maken. Als het alleen gaat om "gebruiker iets laten doen" kan dat dus ook prima als die gebruiker al lang was ingelogd en hoeft er daar niet veel aan ge-social-engineerd te worden. Dus dat is voor hier dan een non-discussie.

En via social engineering credentials laten toevoegen aan het account is bij security keys dus ook onmogelijk. Want net zoals de security key via USB of NFC "verbonden" moet zijn om in te loggen moet deze ook "verbonden" zijn om een nieuwe security key toe te voegen. Dus het slachtoffer kan niet via social engineering een security key van aanvaller registreren onder zijn account zonder die security key in zijn bezit te hebben. Terwijl het via social engineering wel mogelijk is om iemand zijn wachtwoord te laten wijzigen, of een wachtwoord reset naar de aanvaller te sturen, of.... Dus wederom: ook dat soort zaken wordt door een security key veiliger gemaakt.

bzuidgeest @RobertMe • 28 maart 2025 09:39

En via social engineering credentials laten toevoegen aan het account is bij security keys dus ook onmogelijk

Dat is zeker niet onmogelijk. Meerdere leveranciers als bijvoorbeeld Microsoft en Google ondersteunen meerdere authenicatie methoden per account. Je overtuigd het slachtoffer om een "onveilige" extra methode naast de methode met de key te plaatsen.

Ik denk dat je social engineering enorm onderschat. Het is de primaire aanvalsvorm tegenwoordig en er zijn nog al wat heel goede social hackers in de wereld. De digitale versie van een oplichter.

Travelan @bzuidgeest • 27 maart 2025 10:57

Backup key op een papiertje in de kluis leggen? Zo moeilijk is het niet om een oplossing te vinden...

bzuidgeest @Travelan • 27 maart 2025 11:04

Nee, maar dat wat niet zozeer het punt van mijn opmerking. Ik zie het probleem meer als, "hoeveel mensen hebben dat papiertje gemaakt"? Hoeveel mensen testen het papiertje. Controleren of het er nog is?

Met een ouderwets wachtwoord kan je nog gokken, proberen (en ja dat is tegelijk onderdeel van het probleem er mee), maar een recovery is makkelijker dan met een certificaat sleutel. En recovery is iets dat veel mensen toch nodig hebben op deze wereld. Alles is single sign on en dan gaat er iets stuk en weten ze geen toegang tot hun eigen spullen te krijgen...

Ik zie ook in de crypto wereld genoeg mensen roepen over hun offline wallets en wat niet. Maar geen backup want dat ding gaat "nooit kapot".... Dus er zullen veel mensen zijn die dat ook over deze dingen gaan geloven.

[Reactie gewijzigd door bzuidgeest op 27 maart 2025 11:05]

Travelan @bzuidgeest • 27 maart 2025 11:11

Nee, maar dat wat niet zozeer het punt van mijn opmerking. Ik zie het probleem meer als, "hoeveel mensen hebben dat papiertje gemaakt"? Hoeveel mensen testen het papiertje. Controleren of het er nog is?

Iedereen die de handleiding leest en de waarschuwingen die je overal ziet tijdens het genereren van je keys?

Als je besef genoeg hebt om zo'n hardwarematige toegangssleutel aan te schaffen, neem ik aan dat je ook wel het besef hebt voor gedegen backups te zorgen...

[Reactie gewijzigd door Travelan op 27 maart 2025 11:11]

bzuidgeest @Travelan • 27 maart 2025 11:12

Weet je zeker dat je ervaring hebt met mensen?? Je moet toch weten hoe een onrealistische verwachting dat is?
Niet alleen dat een handleiding gelezen word, maar dat mensen er ook nog naar luisteren.... Wat een grap.

Travelan @bzuidgeest • 27 maart 2025 11:19

Dan heb ik ook geen medelijden met mensen als het fout gaat.

Sommige mensen moeten tegen zichzelf beschermd worden. Vroeger loste het Darwin-effect het voor ze op, maar tegenwoordig moet alles maar het hand boven het hoofd gehouden worden. Laat mensen vooral fouten maken. Als we anderen maar blijven beschermen leren ze het nooit, en dan gaat het inderdaad een keer goed fout.

HooksForFeet @bzuidgeest • 27 maart 2025 11:34

Wie heeft er sowieso een kluis?

metalmania_666

@HooksForFeet • 27 maart 2025 12:03

Ik. Zowel een fysieke (waar mijn belangrijke papieren inzitten zoals paspoort, verzekeringen etc) als een digitale

tw-backdoorbug @bzuidgeest • 27 maart 2025 11:04

Ik zou het daarom heel fijn vinden als ik in een account de verschillende MFA mogelijkheden als 'primair' en 'secondair' en 'backup' kan aanwijzen, waarbij ik direct, verschillende, alerts krijg als een backup wordt gebruikt. Die kan ik, als ik het zelf was, negeren. Zo niet: kan ik het blokkeren.

Elke vorm die extra wordt toegevoegd als inlogmethode op een account is een extra attack vector, ik wil daar dan, zeker op de zwakste, hoge alert van binnen krijgen. A la Google met z'n 10 mails 'bent u dit wel?'

bzuidgeest @tw-backdoorbug • 27 maart 2025 11:06

Dat zou een goede feature zijn.

vrow @tw-backdoorbug • 27 maart 2025 11:30

Dat werkt goed hoor, ik word regelmatig gebeld door Bitvavo en anderen dat iemand probeert in te loggen op mijn account.
Ik hoef dan met diegene aan de lijn alleen maar wat stappen te doorlopen om mijn crypto over te zetten naar een veilig account. Je ziet ze dan zelf even niet meer staan, maar krijgt ze na 30 dagen automatisch weer terug in je eigen account. Echt heel fijn!

metalmania_666

@bzuidgeest • 27 maart 2025 11:58

Als de sleutel kapot gaat heb je -in ieder geval bij yubikey- ook nog een lange backup code. Die heb ik dan weer opgeslagen in mijn keepass. En die staat weer op mijn NAS

Heb er al eens gebruik van moeten maken omdat ik mijn key vergeten was mee te nemen. Omdat ik keepass ook op mijn telefoon heb staan, kan ik er altijd bij

bzuidgeest @metalmania_666 • 27 maart 2025 12:00

Dan heb jij je best gedaan om voor te bereiden en getest.... Maar hoeveel mensen doen dat werkelijk en hoeveel vertrouwen er blind op de 1 sleutel? De techniek is 1 ding. Menselijk gedrag een heel ander.

metalmania_666

@bzuidgeest • 27 maart 2025 12:05

Sowieso adviseert yubico om 2 sleutels te gebruiken. Eentje als back-up.
Aangezien je meerdere profielen kan opslaan, heeft mijn vrouw er 1 in gebruik, en ik de andere

bzuidgeest @metalmania_666 • 27 maart 2025 12:10

Ja dat klopt. Maar terug naar mijn standpunt over menselijk gedrag. Advies word niet altijd opgevolgd. We geven al jaren advies over backups. Hoeveel consumenten denk jij dat er 1 hebben?

Beveiliging kan perfect tot er mensen mee in aanraken komen.

metalmania_666

@bzuidgeest • 27 maart 2025 14:58

Klopt inderdaad. De zwakste schakel is én blijft de mens.

Maar ik denk dat als iemand al zo'n sleutel gebruikt dat die iets beter met zijn veiligheid omgaat

bzuidgeest @metalmania_666 • 27 maart 2025 16:07

Maar ik denk dat als iemand al zo'n sleutel gebruikt dat die iets beter met zijn veiligheid omgaat

Laten we het hopen

Verwijderd @bzuidgeest • 27 maart 2025 13:36

Leuk idee maar ik zie zelden ook maar iets gezegd worden over "wat als de sleutel kapot gaat". En ja, het is gewoon elektronica en kan gewoon ineens kapot zijn als alle elektronica dat kan.

Dan heb je, net als met de conventionele sleutel voor je huis, een alternatieve methode achter de hand. Dat kan een extra sleutel zijn of, wat veel websites doen, een toegangscode die je apart, bij voorkeur fysiek, bewaart.

Het voelt net als de kreet "passwordless". Pure marketing.

De usb sleutel is minder gevoelig voor phishing via nepwebsites.

En hoe complexer en "gebruiksvriendelijker" het word, hoe minder mensen het begrijpen en hoe meer mensen toegang tot hun systemen permanent kunnen verliezen als een van die gemakken stuk gaat.

Een beter resultaat dan dat onbevoegden toegang krijgen tot die systemen. Helemaal voor mensen die werken met gegevens van anderen.

Om maar niet te spreken van methodes die aan een enkele leverancier gekoppeld zitten.

Wat dat betreft zit juist zo een usb sleutel goed; het maakt gebruik van de open fido standaard, die door meerdere concurrerende fabrikanten wordt gehanteerd.

[Reactie gewijzigd door Verwijderd op 27 maart 2025 13:52]

bzuidgeest @Verwijderd • 27 maart 2025 16:05

Je stelt een herhaling van zetten waar ik de overige comments nu al drie keer doorheen ben gegaan. Ik raad je aan die te lezen. In het kort. Ik denk niet dat mensen gemiddeld zorgen dat ze goed voorbereid zijn op een kapot iets. Dat zijn ze nooit geweest. Zeker niet digitaal.

En phishing en hacking is niet het doel meer. Social engineering is. Dat is namelijk makkelijker. Je hacked de gebruiker, niet de computer. De gebruiker verleid je aan te melden en iets te doen. En tegen dat beschermt een key niet extra. En onder iets doen valt bijvoorbeeld weer alternatieve aanmeldmethoden instellen of gewoon geld overmaken of wat dan ook.

Llopigat

Google

@bzuidgeest • 27 maart 2025 17:03

Leuk idee maar ik zie zelden ook maar iets gezegd worden over "wat als de sleutel kapot gaat". En ja, het is gewoon elektronica en kan gewoon ineens kapot zijn als alle elektronica dat kan.

Daar zijn verschillende oplossingen voor. Je kan vaak meerdere keys aanmelden. En er zijn vaak eenmalige backup tokens (One-Time-Password) die je kan gebruiken om je account te resetten.

De achilleshiel van het gebruik van een yubikey als passkey zit hem meer in de recovery procedure. Als je er eentje vervangt of verliest dan moet je *alle* sites langs om de nieuwe key aan te melden. Dat is een onganse hoeveelheid werk.

Met passkeys zoals bedoeld door Apple en Google heb je dat probleem niet. Want die passkey is in software en je gebruikt je hardware alleen om die te unlocken. Alleen ik wil niet afhankelijk zijn van big tech dus die zijn geen opties voor mij.

Dat betekend bij mij dat je altijd back-up toegang moet houden op een andere manier om toegang tot je spullen zonder key te houden. En als je dat hebt gaan de hackers gewoon naar die route in plaats van de key. Dus wat voegt dit toe behalve wellicht wat aanmeld gebruiksgemak?

Die backup tokens sla ik op op een ge-encrypte USB stick die hier in de kluis ligt. Dus daar is al meer voor nodig dan een beetje hacken.

[Reactie gewijzigd door Llopigat op 27 maart 2025 17:04]

Rackhage 27 maart 2025 10:07

Of het nou perse verstandig is om dit van een partij als Google af te nemen is, is al een kwestie op zichzelf.
De handigheid van het product stel ik ook wel een beetje in twijfel aangezien je met 2FA in kan stellen dat je meermaals een wachtwoord/code in moet vullen om bij die code te komen (telefoon vergrendeling en/of app vergrendeling).

Lijkt me dat 2FA in dat opzicht toch beter beveiligd is, als iemand deze key van je jat komen ze overal in lijkt me toch?

Zer0 @Rackhage • 27 maart 2025 10:10

Lijkt me dat 2FA in dat opzicht toch beter beveiligd is, als iemand deze key van je jat komen ze overal in lijkt me toch?

Het is 2FA, dus twee factoren. Zolang ze de andere factor niet hebben, hebben ze ook niet veel aan de key.
Daarnaast kun je in sommige systemen ook de key nog voorzien van een pincode voor gebruik.

stefanoroos @Rackhage • 27 maart 2025 10:26

Het is inderdaad zo dat je een beveiligingssleutel zoals de Titan Key kunt beveiligen met een wachtwoord of pincode. Dit voegt een extra laag beveiliging toe, zelfs als iemand de fysieke sleutel in handen krijgt.

Het grote voordeel van zo'n sleutel is dat het een fysiek hardwareapparaat is, los van je telefoon. Dit maakt het een stuk veiliger dan bijvoorbeeld sms-codes, die onderschept kunnen worden. Je telefoon kan gehackt worden, maar een fysieke sleutel is offline en daardoor veel moeilijker te compromitteren.

Een authenticator-app is zeker een goede optie en biedt ook sterke beveiliging, maar een hardwarematige sleutel gaat nog een stapje verder.

Veel beveiligingssleutels ondersteunen ook nog veiligere standaarden, zoals de FIDO2-standaard, welke nog net iets veiliger is.

RobertMe @Rackhage • 27 maart 2025 10:55

De kans op verlies (/diefstal en misbruik) van de sleutel is vele malen kleiner dan de kans dat je de uiteindelijke OTP codes invult op een phishing site. Zie bv nieuws: Mailinglijst blog Have I Been Pwned-oprichter gelekt door phishingmai... Hierbij maakte het niet uit hoeveel lagen van authenticatie er op zitten. Uiteindelijk zijn het een gebruikersnaam, wachtwoord, en code die de gebruiker zelf invult in een website. En de aanvaller kan als hij deze gegevens heeft (/kent) daarmee inloggen op de legitieme website.

mFA draait juist om het feit dat je meerdere facroren nodig moet hebben voor authenticatie. Terwijl traditionele 2FA met een OTP code uiteindelijk nog steeds neer komt op 1 factor, de factor kennis. Waarbij een van de dingen die je moet kennen de dan geldige OTP code is (of de secret om zelf OTP codes te genereren, die mogelijk ook uit te lezen is uit bv een slecht beveiligde OTP app). Achter hoeveel lagen van beveiliging die OTP code vervolgens zit is irrelevant. Want de gebruiker vult het (mogelijk) op een phishing site in die het zo kan overnemen.

Met deze security keys (maar ook bv Windows Hello onder Windows dan of inloggen met vingerafdruk / ... op Android & iOS) heb je juist daadwerkelijk een tweede factor nodig. De browser (of applicatie) doet "onder water" een "gesprekje" voeren met de sleutel (of beveiligingshardware van de telefoon bv). Waarbij ten eerste de hardware weigert te communiceren met een niet vertrouwde website (als in: een website die je niet eerder hebt ingesteld) en ten tweede er een onzichtbare en onleesbare "handshake" plaatsvindt. Oftewel: het is én onmogelijk om in te loggen ol een phishing website (want die is nooit gekoppeld) en het is voor de gebruiker onmogelijk om een "wachtwoord" (/code / handshake / ...) zelf te lezen en aan iemand anders te geven. Dát is wat het gebruik van passkeys / Webauthn / FIDO2 zo veilig maakt. Er is niks uit te lezen en de gebruiker kan dus niks aan de verkeerde geven (en de sleutel zelf kan ook niks aan de verkeerde geven).

En zowel bij "platform keys" (ingebakken, zoals bij telefoons, tablets, laptops, ...) als bij roaming keys (zoals deze Titan of Yubikey, een los apparaat met USB / NFC en te gebruiken met meerdere telefoons/tablets/laptops/PCs) kan een website vereisen dat er nog een extra vorm van authenticatie plaatsvind, bv een pincode of vingerafdruk. Waardoor je direct 2FA op dat ene ding hebt. Want je hebt de factor bezit (van de hardware) nodig en of de factor kennis (van de pincode) of de factor "wie je bent" (vingerafdruk / gezichtsherkenning). Waarbij het onmogelijk is om de hardware "zijn ding te laten doen" zonder dat aan de andere factor voldaan wordt.

Terwijl bij een OTP app die beveiligd is met bv een vingerafdruk de zwakste schakel dus nog steeds is wat er met de OTP code gebeurt nadar die zichtbaar is gemaakt (de app is ontgrendelt). En die code kun je nog steeds mondeling, per SMS/..., of per phishing website aan iemand anders geven, en dan is die hele pincode op de OTP app compleet nutteloos.

SiErRa 27 maart 2025 10:14

35 Euro is wel een goede prijs, als je kijkt naar de concurentie: https://www.yubico.com/products/yubikey-5-overview/

Maar bij Yubico koop je het wel van een Europeese partij (Zweeds bedrijf) die geen geld verdient met data verzamelen

begintmeta @SiErRa • 27 maart 2025 10:21

De YubiKey 5 kan veel meer dan de Google Titan key (o.a. OpenPGP, PIV), je kan de Google Titan eerder vergelijken met de Yubico Security Key. Die producten zijn gelijkaardig, alleen kan de Titan meer FIDO2 credentials opslaan dan de Security Key. De security Key is vergelijkbaar geprijsd.

Verder zijn er natuurlijk ook nog producten van allerlei andere fabrikanten (Feitian, NitroKey, Solokey (project lijkt inactief),...). Een beetje vergelijken kan interessant zijn.

[Reactie gewijzigd door begintmeta op 27 maart 2025 10:28]

The Zep Man

Google
Beveiliging

@begintmeta • 27 maart 2025 10:26

Die producten zijn gelijkaardig, alleen kan de Titan meer FIDO2 credentials opslaan dan de Security Key.

Ondersteunt de Titan firmware updates? Bij YubiKeys kan dat niet, en zijn oudere varianten niet meer zo veilig als nieuwere door in de tussentijd gevonden kwetsbaarheden.

M. Schaap @The Zep Man • 27 maart 2025 12:46

Dat je Yubikeys niet met nieuwe firmware kunt upgraden is opzettelijk zo gedaan, om te voorkomen dat kwaadwillenden daar misbruik van kunnen maken. Dat maakt oudere keys niet per se onveiliger, maar mogelijk hebben ze wel minder functionaliteiten dan keys met nieuwere versies.

The Zep Man

Google
Beveiliging

@M. Schaap • 27 maart 2025 14:29

Dat je Yubikeys niet met nieuwe firmware kunt upgraden is opzettelijk zo gedaan

Dat snap ik, maar het beantwoordt mijn vraag niet.

Dat maakt oudere keys niet per se onveiliger,

Helaas maakt dat ze wel onveiliger wanneer kwetsbaarheden worden gevonden.

[Reactie gewijzigd door The Zep Man op 27 maart 2025 14:30]

M. Schaap @The Zep Man • 27 maart 2025 14:56

Dat is een volkomen theoretische "kwetsbaarheid", waar ik geen moment van wakker lig.

The Zep Man

Google
Beveiliging

@M. Schaap • 27 maart 2025 15:09

Of jij ergens wakker van ligt of niet is niet relevant voor beantwoording van mijn vraag.

Tegelijkertijd komen hierdoor nieuwe risico's aan het licht, zoals het verlies van certificering bij oudere YubiKeys. Naast informatiebeveiliging speelt duurzaamheid ook een rol wanneer deze sleutels vanuit compliance niet meer bruikbaar worden geacht voor het beoogde doel.

[Reactie gewijzigd door The Zep Man op 27 maart 2025 15:11]

cadsite @SiErRa • 27 maart 2025 10:17

Als ik jouw link volg en daar naar de store ga zie ik dat een gelijkaardige sleutel daar €30,25 kost.

Postman @cadsite • 27 maart 2025 10:27

Is dat niet de FIDO only versie? Niet dat ik persoonlijk het verschil weet tussen die Fido en deze Google key.

Edit: zie dat Google ook Fido only is. Dus inderdaad een valide vergelijking met Yubico.

[Reactie gewijzigd door Postman op 27 maart 2025 10:30]

stefanoroos @cadsite • 27 maart 2025 10:29

Dat betreft de FIDO only variant. De YubiKey 5 Series zijn het dubbele. Die zijn meer te vergelijken met de Titan.

yevgeny 27 maart 2025 10:26

Ik heb een beveiligingssleutel van feitian geprobeerd, het vervelende is dat voor iedere autorisatie de pin van de sleutel moet worden ingevoerd.

HollowGamer 27 maart 2025 10:14

Werkt dit op Linux? Ik zoek eigenlijk een soort fingerprint oplossing zoals op de MacBook Pro, maar dan voor sudo.

Is de firmware opensource?

[Reactie gewijzigd door HollowGamer op 27 maart 2025 10:15]

Dorank @HollowGamer • 27 maart 2025 10:23

Als je met fingerprint een daadwerkelijk vingerafdruk van een vinger bedoelt, deze sleutel doet dat niet er zit geen vingerafdrukherkenning op.

Jje kan sudo opvoeden dat deze met een ssh key sufficient informatie heeft, er zijn keys/smartcards die b.v. gpg ondersteunen en daarmee als ssh sleutel kunnen dienen (o.a. Yubikey).

HollowGamer @Dorank • 27 maart 2025 10:26

Dat is jammer, had gehoopt dat we iets soortgelijks in zou zitten. Misschien een connectie met iets anders op bio gebied?

Ik heb Yubikey een kans gegeven, maar het werkte voor mij helaas niet. Ik geloof ook niet dat ze iets van software hebben voor Linux, zodat je het veel eenvoudiger kan gebruiken. Toen moest ik allemaal zaken met pam enzo gaan doen, en het unlocken van het device was ook meh.

Apple doet dit erg goed in mijn ogen.

Dorank @HollowGamer • 27 maart 2025 10:32

Ik gebruik Yubikeys al jaren met Linux, de software van yubikey die je nodig hebt werkt al jaren en is alleen nodig om bepaalde features in te schakelen (gpg), vervolgens zit alles wat je nodig hebt in de smartcard services van het OS, en ja dan zal je pam moeten opvoeden naar wens.

Shuriken 27 maart 2025 10:09

Made by Feitian, iemand een idee of er nog iets firmware technisch anders is dan bv. https://www.virtualsecuri...authenticatiesleutel.html?

slijkie 27 maart 2025 10:20

Is er een website die de security keys vergelijkt in een mooie overzicht sheet? zou wel mooi zijn.

Heb nu zelf een aantal Yubikey 5's van Yubico, zie niet de waarde in om te switchen.

[Reactie gewijzigd door slijkie op 27 maart 2025 10:32]

The Zep Man

Google
Beveiliging

@slijkie • 27 maart 2025 10:27

Jazeker.

Alxndr

@slijkie • 27 maart 2025 10:28

Was is er mis met de laatste link in het artikel?

darkfader @slijkie • 27 maart 2025 11:07

Als je een telefoon hebt met vingerafdruklezer heb je zo'n key niet meer nodig. Zo'n (goedkope) key is ook maar slechts een stukje van de hele keten in beveiliging.
Ik heb in het verleden wel gespeeld met die oude Yubikeys met OTP en zelfs FIDO 1 en Bluetooth. Maar Ik zie het nut niet meer.
Passkeys op de telefoon is veilig genoeg lijkt me en je kunt ze ook nog synchroniseren.
Alles echt wachtwoordloos maken en tevens MitM/phishing aanvallen voorkomen duurt nog jaren. En er zal qua technologie elke keer weer iets niets uitkomen.
Mijn volgende telefoon zal wel sonische vingerafdruklezer hebben en AI aan boord voor weet ik veel wat. M'n huidige telefoon zou al verbeterde anti-diefstalfuncties hebben.

g_v_rijn @darkfader • 27 maart 2025 11:33

De Yubikeys zijn wel gesloten keys, dus de firmware is niet aan te passen.
Geen idee of dit voor andere merken keys ook zo is.
Wellicht is dit qua security nèt veiliger dan een mobile devices.

[Reactie gewijzigd door g_v_rijn op 27 maart 2025 11:34]

i-res 27 maart 2025 10:20

Er wordt geen data verzameld bij een betalende service. Trouwens die vergelijking gaat dan ook op voor alle 2FA apps die je op je telefoon hebt en dagelijks gebruikt.

Op dit item kan niet meer gereageerd worden.

Google brengt Titan-beveiligingssleutel uit in Nederland voor 35 euro

Lees meer

Beveiligingssleutels onder de loep

Reacties (169)

Lees meer

Beveiligingssleutels onder de loep

Reacties (169)

Sorteer op:

Weergave: