Wachtwoorden zijn zo oud als de weg naar Rome, letterlijk: het Romeinse leger werkte met wachtwoorden om te bepalen of iemand vriend of vijand was. Klopte je aan bij een fort en kon je het juiste wachtwoord niet overleggen, dan kwam je niet binnen. In tegenstelling tot vandaag de dag werden wachtwoorden daarmee niet gebruikt om individuen te identificeren, maar lag de rol in het bepalen of iemand deel was of mocht uitmaken van een bepaalde groep. Of toegang mocht krijgen tot iets: denk maar aan ‘Sesam open u’ uit Ali Baba en de veertig rovers. In de Tweede Wereldoorlog werkten de geallieerden rondom D-Day met een ‘stelling-antwoord’-systeem. Kwam je een ander tegen, dan riep je ‘flash’. Antwoordde deze met ‘thunder’, dan wist je dat het om een bondgenoot ging.
Wachtwoorden maken dus al millennia deel uit van onze cultuur. Het is daarom niet gek dat toen halverwege de twintigste eeuw de moderne computer uitgevonden werd, al snel werd gekeken naar wachtwoorden om (delen van) systemen af te schermen en gebruikers te authenticeren. Daarmee verschoof het zwaartepunt van verifiëren of iemand tot een groep behoort, naar het identificeren van individuen via de nu aloude combinatie van gebruikersnaam en wachtwoord. Hoe meer we gebruik gingen maken van computersystemen, hoe meer gebruikersnamen en wachtwoorden we moesten bedenken en onthouden. Het makkelijkst is het om één zo'n gebruikersnaam-wachtwoordcombinatie te hebben, maar het veiligst is het om overal een unieke combinatie te nemen.
Het passkey-logo
Omdat al die combinaties onthouden lastig is, gebruiken veel mensen nog steeds eenvoudige wachtwoorden of worden wachtwoorden hergebruikt. Meer techsavvy gebruikers wijken vaak uit naar een wachtwoordmanager, zodat ze per account unieke wachtwoorden kunnen gebruiken zonder dat ze die zelf moeten onthouden. Voor het grote publiek kan een wachtwoordmanager best ingewikkeld zijn. Bedrijven zoeken dan ook al jaren naar een nieuwe manier van inloggen en authenticeren, een manier die veilig is, die niet meer werkt met wachtwoorden en die zo eenvoudig werkt dat iedereen ermee om kan gaan.
Dat zijn passkeys. Of beter: dat is de belofte van passkeys, een initiatief van de FIDO Alliance, een samenwerkingsverband waarbij ondere andere Apple, Google en Microsoft aangesloten zijn. In dit artikel bekijken we wat passkeys zijn, hoe ze technisch werken, hoe jij er nu al mee aan de slag kunt en natuurlijk de voor- en nadelen ten opzichte van wachtwoorden.
Wat is een passkey?
Wat is er eigenlijk mis met wachtwoorden? Zolang je voor elk account een uniek, sterk wachtwoord gebruikt, scherp bent op phishingmails en 2fa gebruikt, is de kans dat je gehackt wordt klein. Toch? Dat klopt, maar heel veel mensen hebben die sterkwachtwoorddiscipline niet. Steeds vaker blijkt uit onderzoeken dat veel gebruikers van onlinediensten, maar ook werknemers binnen bedrijfsnetwerken, ervoor kiezen om hetzelfde wachtwoord voor verschillende diensten te gebruiken. Bovendien voeren klassiek zwakke wachtwoorden als '123456' en 'qwerty' nog steeds de lijsten van meest voorkomende wachtwoorden aan. Moeilijke én unieke wachtwoorden zijn namelijk lastig en mensen volgen vaak de weg van de minste weerstand.
Lijst van Nordpass met veelvoorkomende, zwakke wachtwoorden
Met passkeys willen de aangesloten bedrijven het daarom gemakkelijker maken om inloggegevens te beheren zonder daarbij iets in te leveren aan veiligheid. Het conceptuele verschil is dat mensen hun credentials niet meer zelf hoeven te bedenken en onthouden. Passkeys werken op basis van publickeycryptografie. Hierbij worden per account waarop je moet kunnen inloggen, een public key en een private key gegenereerd. Alleen de public key wordt gedeeld met de instantie waarbij je inlogt.
Het keypaar wordt veelal gekoppeld aan een fysiek apparaat. Dit kan een smartphone zijn, maar ook een laptop of YubiKey. De verificatie vindt plaats op dit device en in de praktijk kun je het ook nog eens met biometrische verificatie beveiligen. Zo kun je je vingerafdrukscanner op je telefoon gebruiken om bij een app of website in te loggen, of Face ID op een iPhone. Ook Windows Hello kan ingezet worden als authenticatie.
Bij elke inlogpoging vindt een cryptografische handshake plaats waarbij de private key gebruikt wordt om te verifiëren dat de twee sleutels onderdeel zijn van hetzelfde paar. Mocht een website gehackt worden en alle public keys op straat komen te liggen, dan is er geen man overboord. In tegenstelling tot bij een gebruikersnaam-wachtwoordcombinatie heeft een aanvaller aan enkel een public key helemaal niets. Door gebruik te maken van een tweede factor, zoals een sms of gegenereerde totp-code, valt het risico van uitgelekte wachtwoorden natuurlijk te beperken, maar dit werpt een extra drempel op voor de eindgebruiker.
De passkeysleutels worden natuurlijk niet bedacht door een mens, maar gegenereerd op basis van cryptografische algoritmen. Door de menselijke factor hiertussenuit te halen, zijn alle gegenereerde credentials even sterk. Het concept van sterke en zwakke wachtwoorden gaat hier dus niet meer op. Een ander groot voordeel van passkeys is dat phishing er vrijwel onmogelijk door wordt. Als onderdeel van de handshake wordt gecheckt bij welke app of website de gebruiker zich probeert aan te melden en of dit de juiste is. Waar kwaadwillenden bijvoorbeeld een website van een bank kunnen nabouwen om gebruikersnamen en wachtwoorden te onderscheppen, is zo’n constructie met een nepsite niet mogelijk als passkeys gebruikt worden.
De specifieke implementatie van publickeycryptografie bij passkeys werkt op basis van de FIDO2-standaard. FIDO2 is een verzamelnaam van twee protocollen: WebAuthn en CTAP2. Websitebouwers gebruiken WebAuthn om de sleutelverificatie uit te voeren. CTAP2, wat staat voor Client to Authenticator Protocol 2, ligt aan de basis van de communicatie tussen fysieke hardware, zoals een telefoon, securitykey of laptop, en de software die gebruikt wordt om in te loggen. Als je van al die afkortingen in de war raakt: geen zorg. We hebben de verschillen en hoe ze werken vorig jaar al in dit achtergrondartikel beschreven.
Brede ondersteuning (?)
Die koppeling met fysieke hardware waar vrijwel iedereen over beschikt, is wat het passkeysplaatje compleet maakt. Voorheen moest je voor die FIDO2-implementatie nog een fysieke beveiligingssleutel of smartcard hebben, zoals een YubiKey. Dat had weer allemaal eigen problemen. Ze zijn duur, je moet ze overal mee naartoe nemen en als je er een kwijtraakt, heb je een probleem.
Apple, Google en Microsoft hebben zich allemaal gecommiteerd aan het inbouwen van passkeysondersteuning in hun ecosystemen. Zoals eerder genoemd is het daardoor mogelijk om Windows Hello in te zetten voor verificatie, of bijvoorbeeld Face ID of een vingerafdrukscanner op een Android-telefoon. Daarnaast bieden deze bedrijven de optie om de passkeys te bewaren en synchroniseren via hun cloud.
Koppeling aan biometrie of een specifiek apparaat is overigens niet verplicht. Verschillende wachtwoordmanagers werken aan ondersteuning voor passkeys en sommige hebben de functionaliteit al in (bèta)test. Op elk apparaat waarop je de wachtwoordmanager hebt draaien, kun je dan bij je passkeys, ook als je de wachtwoordmanager gewoon met een complex masterpassword ontgrendelt. Ondere andere Dashlane, Nordpass, Lastpass en 1Password ondersteunen passkeys of werken er actief aan.
De eerste praktijkervaringen
Op dit moment is er een aantal manieren om passkeys te gebruiken. IPhone-gebruikers met apparaten die iOS 16 of hoger draaien en Safari gebruiken, kunnen meteen aan de slag. Zodra je inlogt op een website die ondersteuning heeft voor passkeys, krijg je een pop-up met de vraag of je een passkey aan wilt maken. De enige extra vereiste is dat je iCloud Keychain gebruikt. Doe je dit niet, dan krijg je bij het aanmaken van je eerste passkey een melding dat dit geactiveerd moet worden. Heb je eenmaal de passkey aangemaakt en probeer je op een later moment in te loggen bij die site of app, dan hoef je enkel via Face ID of Touch ID je identiteit te verifiëren.
Dit scenario is vrijwel hetzelfde voor Android-gebruikers. In dit geval moet je gebruikmaken van Googles Password Manager, die credentials synchroniseert op basis van je Google-account. Hierbij heb je een Android-apparaat met minimaal versie 9 nodig en is het een vereiste dat je Google Chrome gebruikt en binnen de browser bent ingelogd op je Google-account.
Wil je niets opslaan bij een van de grote techbedrijven, dan kun je ook gebruikmaken van een externe wachtwoordmanager, hoewel die implementaties nog achterlopen. Zelf maak ik gebruik van 1Password. Dat heeft nu een bètaversie van zijn browserextensie met passkeys-ondersteuning. Hiermee kun je dus passkeys aanmaken en er vervolgens mee inloggen. Android 13 heeft geen ondersteuning voor passkeys in externe wachtwoordmanagers, daarvoor moeten we wachten op Android 14, dat dit najaar uitkomt. Datzelfde geldt voor Apple; ook daar komt ondersteuning dit najaar als het iOS 17 uitbrengt.
Inloggen bij Google met passkeys en Windows Hello
Voor wie de voorkeur geeft aan een fysieke oplossing, is er alsnog de alom bekende YubiKey. Deze is er in een uitvoering met USB en NFC, zodat je zowel op je telefoon als op je laptop kunt inloggen. Op dit moment kunnen YubiKeys maximaal 25 passkeys opslaan, wat op termijn zeker weten te weinig zal zijn. Fabrikant Yubico zegt te overwegen om dit te verhogen, maar omdat YubiKeys niet aangepast kunnen worden, zal dit alleen gelden voor nieuwe modellen.
Tot zover de benodigde hard- en software. Belangrijker nog is de vraag: op welke diensten kun je nu al inloggen met passkeys? Nou, vrij weinig. Hoewel Microsoft een van de kartrekkers is en Windows Hello kan dienen als biometrische identificatie bij inloggen met passkeys, kreeg ik het niet voor elkaar om via Android of 1Password een passkey aan te maken voor mijn Microsoft-account. De enige optie was via Windows Hello. Ook bij Apple was het niet mogelijk om in te loggen met een passkey, hoewel ook die mogelijkheid via iOS 17 er aankomt. Alleen bij Google lukte het mij om in te loggen met een passkey, op de desktop via Windows Hello en op mijn telefoon via de ingebouwde Android-functionaliteit. Met 1Password speelt Google op dit moment nog niet lief samen; het is wel mogelijk om een nieuwe passkey aan te maken voor je Google-account, maar de browserplug-in van 1Password wordt niet geactiveerd als je wilt inloggen. Dit is een bekend probleem en men zegt eraan te werken.
De lijst met sites die passkeys ondersteunen, is nog karig.
Ondersteuning voor passkeys is op dit moment dus zelfs bij de grote merken die het aanjagen, verre van af. Er zijn verschillendesites die overzichten bijhouden van diensten met passkeysondersteuning, maar lang zijn deze lijsten helaas nog niet. Enkele bekende namen die er uitspringen, zijn onder meer Adobe, Nvidia en eBay. In tegenstelling tot bij eerdergenoemde techbedrijven, lukte het me het bij bijvoorbeeld eBay wel om een passkey aan te maken en ermee in te loggen.
Ben je Linux-gebruiker, dan staan de zaken er nog slechter voor. De enige combinatie die dan werkt, is er eentje die losstaat van het OS of biometrische logins, bijvoorbeeld door Chrome te gebruiken in combinatie met een YubiKey. Ook Googles eigen ChromeOS heeft geen native ondersteuning en van de grote browsers loopt Firefox helaas ook nog achter de feiten aan.
De good ‘ol QR-code
Voor die gevallen is er echter nog een andere optie ingebakken in de standaard. Stel, je wilt via een laptop inloggen bij een website die passkeys ondersteunt. Je hebt eerder een passkey gemaakt voor die site, maar dat was op je telefoon, niet op die specifieke laptop. Dan kun je er bij het inloggen voor kiezen om een ander apparaat te gebruiken. De website op de laptop zal dan een QR-code tonen die je met je telefoon kunt scannen. Vervolgens authenticeer je jezelf op de telefoon met pin of biometrie en je bent ingelogd bij de website. Dit is vooral handig als je moet inloggen op een eigen account, maar dan op een apparaat dat niet van jezelf is. Denk bijvoorbeeld aan een publieke computer in een bibliotheek.
Nadelen en de toekomst
Passkeys staan dus nog echt in de kinderschoenen en zijn op het moment van schrijven nog niet interessant om te gebruiken. Nog los van het gebrek aan websites die het ondersteunen, zijn ook de implementaties van Google, Microsoft en Apple nog niet af.
Los van die praktische problemen zijn er ook nog vraagtekens bij het hele concept. De grootste kracht van passkeys is ook meteen het grootste risico; je bedenkt zelf geen wachtwoorden meer en onthoudt deze ook niet. Je credentials zijn ergens opgeslagen in een vorm die voor een mens niet te onthouden is, in plaats van dat je ze op elk moment en op elke plek kunt opdreunen, mits je een goed geheugen hebt.
Dat heeft nogal wat praktische implicaties. Stel: je gebruikt passkeys op een iPhone, slaat ze op in iCloud Keychain - voor een Android-apparaat en Google Passwordmanager geldt overigens hetzelfde - en wilt inloggen op een nieuw apparaat. Misschien ben je bij een vriend of familielid, maar je hebt je telefoon niet bij je. Dan ben je de pineut; je kunt niets. Of erger: stel dat je je passkeys op je telefoon hebt, maar je kiest ervoor om ze niet bij Apple, Google of je wachtwoordmanager in de cloud op te slaan en je telefoon gaat stuk of raakt kwijt. Wat dan? Dan heb je een groot probleem en moet je bij allerlei diensten aan de slag om je identiteit te verifiëren zodat je nieuwe passkeys aan kunt maken, of wachtwoorden, als ze dat nog aanbieden.
Je ontkomt er bij passkeys dus eigenlijk niet aan om alle credentials ergens te back-uppen en de makkelijkste manier is in een cloudomgeving bij een externe partij, die ook nog eens synchroniseert tussen apparaten. Nu is dat niet heel anders dan hoe veel mensen een wachtwoordmanager als LastPass of 1Password met cloudsync gebruiken, maar parkeer je alles bij Apple of Google, dan is dat weer een stap die bijdraagt aan verdere vendorlock-in en het moeilijker maakt om uit het ecosysteem vrij te komen.
Wat praktisch voor de meesten geen probleem zal zijn, maar principeel waarschijnlijk wel, is de juridische kant. De politie kan je niet dwingen om een wachtwoord af te staan. Wil ze toegang tot een account dat beveiligd is met een wachtwoord, dan zal ze dit moeten brute forcen. De Hoge Raad oordeelde in 2021 dat dit gerechtvaardigd is bij biometrische loginmethoden. Staan je passkeys op je telefoon en is deze beveiligd met een vingerafdruk of gezichtsscan, dan mag de politie die onder dwang ontgrendelen. Gebruik je een pincode als telefoonbeveiliging, dan gelden dezelfde voorwaarden als bij een wachtwoord; deze hoef je niet af te staan. Een pincode is overigens weer makkelijker af te kijken door omstanders, dus buiten de context van een politieonderzoek is dat dan weer niet aan te raden als primaire beveiliging.
Uiteindelijk is het de vraag of dit soort kwesties opwegen tegen het gemak en de inherent veiligere opzet van passkeys ten opzichte van gebruikersnamen en wachtwoorden. Die vraag zal door iedereen anders beantwoord worden. Voor veel tweakers, zeker die nu al gebruikmaken van unieke, sterke wachtwoorden en tweetrapsauthenticatie, valt er weinig te winnen, behalve misschien wat gemak. Voor het gros van de mensen, waarvan we weten dat ze hun zaakjes vaak niet goed op orde hebben, betekent een overstap naar passkeys echter een enorme verkleining van het risico om gehackt te worden of slachtoffer te worden van phishing. Gezien alle ellende die daaruit voort kan komen, zou een massale overstap op passkeys vanuit een beveilingsoogpunt een enorme stap vooruit zijn.
Hoe dan ook, het zal nog wel even duren voordat we allemaal gemakkelijk over kunnen op passkeys. Partijen als Google, Microsoft en Apple vormen duidelijk de voorhoede, maar zelfs zij hebben hun zaakjes nog niet compleet op orde, en het overgrote deel van bedrijven en diensten biedt hier nog geen ondersteuning voor. Daar zullen nog zeker vele jaren overheen gaan, maar gezien het grote momentum is de kans reëel dat passkeys op termijn voor een groot deel van internetgebruikers de nieuwe standaard worden.
Er is nog een mogelijk risico: wat gebeurt er met de veiligheid als een algoritme om passkeys (toegangsleutels) te genereren bekend is bij mensen?
Dat is bekend en dat is de bedoeling. Encryptie werkt juist als het open (source) is, want dan kijken er meer mensen naar, en het wordt meer vertrouwd. Wil je dat iedereen en de overheid ermee gaat werken dan kan het maar beter transparant zijn immers.
Niks het is juist beter dat het algoritme bekend is de werking ervan is dan namelijk inzichtelijk waardoor de veiligheid ervan getoetst kan worden. Inzicht in de werking van een cryptografisch algoritme doet niets af aan de veiligheid ervan.
Niet veel. Wat er wel fout kan gaan is dat er een zwakheid in de implementatie zit die er voor zorgt dat de passkeys voorspelbaar worden.
Niet zo heel lang geleden was dat een groot probleem bij een van de encryptie-bibliotheken, als ik het mij goed herinner. Kan zo snel helaas geen bron hiervoor vinden.
Wat betreft de crypto (hiermee bedoel ik cryptografie), is er een onderscheid tussen het genereren van de sleutels en het algoritme dat de sleutels gebruikt. Bijvoorbeeld inlichtingendiensten doen pogingen om implementaties van allebei te verzwakken. Ik weet verder niet hoeveel van de implementatie van Passkeys open source zal zijn, het zou kunnen dat het genereren van randomness ook open source gemaakt wordt. Er zijn natuurlijk een hoop nuances en details die ik zo weglaat. Ik ben geen expert op het gebied van het genereren van randomness. Het zou zomaar per platform kunnen verschillen waar randomness uit gehaald wordt.
emphy die uitleg was niet voor jou (je snapt dat natuurlijk best), het volgende wel: Wat betreft het verzwakken van de randomness in het genereren van sleutels is dit een voorbeeld:
Alle moderne beveiligingsalgoritmes gaan er van uit dat alle details algemeen bekend zijn, want vroeger of later zullen ze toch uitlekken of gereverse engineert worden. Door de details publiek te maken, kan de cryptografie-gemeenschap al vóór gebruik op zoek gaan naar eventuele fouten en veiligheidsrisico's. Door het publiek te maken, is het dus juist veiliger.
Het is veilig als de tegenstander alles weet, behalve een volledig willekeurige, door het gebruikersdevice gegenereerde, cryptografische sleutel.
Dan gebeurt er helemaal niets. De veiligheid is niet afhankelijk van geheimhouding van het algoritme maar van bewezen public key (asymmetrische) cryptografie waar we al jaren gebruik van maken (zoals bij bv TLS certificaten).
Op basis van wat we nu weten over PKI (public key infrastructuur, wat dit is) niets. Kennis van het algoritme is niet van invloed op de veiligheid van het systeem.
Vergelijk dit bijv. met een (Open)SSL keypair: het algoritme om ze te maken en te verifiëren is gewoon publiek beschikbaar als Open Source en dat maakt het niet onveilig.
[Reactie gewijzigd door Herko_ter_Horst op 23 juli 2024 05:26]
Tenzij de website slecht beveiligd is en je onbeperkt kan inloggen. Dan kan je dus inloggen met elke keer een valide key. Of nou je een key die zeer waarschijnlijk door iemand gebruikt is.
Afhankelijk van de generator heb je een aantal combinaties, en weet je hoe lang de hack gaat duren.
Nu is 100x achter elkaar inloggen vaak al een probleem. dus de kans dat het echt fout gaat zal klein zijn, maar je blijft afhankelijk.
Het grootste risico zit hem in een mogelijk hack of man in the middle attack op deze infrastructuur. Je kan dan van iedereen alles achterhalen.
Ik heb dan toch liever dat deze op de brouwer lokaal staan. Eventueel gesynct(en ja die sync kan natuurlijk ook onderschept worden) met mijn andere brouwsers.
Firefox heeft al een tijdje een key generator (met soms bagger implementatie). Maar dat werkt eigenlijk heel goed. (ware het niet dat het wachtwoord soms niet aan de eisen voldoet en je dat niet kan configureren).
Euhm ... dat is niet hoe cryptografie werkt en ook 1 van de redenen dat keys in cryptografie enorm lang zijn.
En mitm zou niet mogelijk mogen zijn. Het certificaat waarmee het verzoek is ondertekend moet kloppen, moet vertrouwd zijn. Een mitm aanval kan dat certificaat niet intact houden. Dat is net het doel van vandaag de dag alles achter encryptie te steken, je sluit mitm aanvallen uit.
Zo lang de private key decentraal opgeslagen is (bijvoorbeeld een apparaat van de gebruiker) is dit minder interessant want dit is niet makkelijk repliceerbaar. Als je de database hebt met wachtwoorden en een basic cracker er op uitvoert heb je zo duizenden (of veelvoud daarvan) accounts die je kan mishandelen. Als je een passkey (mits decentraal opgeslagen) hebt dan heb je 1 account in plaats van duizenden.
Dat opslaan gebeurt dan ook op een plek waar zelfs het OS er niet direct bij kan. Dit werkt ongeveer gelijk als Face- en FingerID op je telefoon. De keys staan in een secure enclave in de chip. Op PC kan dat een TPM module zijn. Die kun je niet zomaar even uitlezen.
Het passkeys algoritme is vaak bekend. Ik kan de link niet meer vinden, maar ik meen ergens gelezen te hebben dat Apple het ECDSA signing algoritme gebruikt voor haar passkeys.
Kijk even naar het principe van Kerckhoffs. "Een versleutelingssysteem moet veilig zijn zelfs als alle details van het systeem, behalve de sleutel, publiek bekend zijn." https://nl.wikipedia.org/wiki/Principe_van_Kerckhoffs
Dit is het uitgangspunt waar je mee moet werken. Mooi voorbeeld van een versleuteling is bijvoorbeeld Diffie-Hellman key exchange. Oud en volledig uitgedokterd maar nog steeds veilig.
[Reactie gewijzigd door Daftman380 op 23 juli 2024 05:26]
Ik zal het mogelijk niet snappen, maar een account gemaakt op de desktop PC, beveiligd met passkey..
Dat account kan dan alleen geopend worden op mijn machine ?
Ik log wel eens in op Tweakers.net bij een vriend.
Dat is dan niet mogelijk tenzij ik dezelfde passkey op de telefoon heb staan ?
Passkeys moet je inderdaad synchroniseren of bij je hebben om ze elders te kunnen gebruiken. De Passkeys die gekoppeld zijn aan jouw desktop pc zijn niet bruikbaar om in te loggen elders.
Zie het voorbeeld in het artikel met je telefoon of Yubikey, die wil je niet kwijt raken.
Wat wel kan is met een apparaat inloggen op een ander apparaat zonder op dat apparaat een nieuwe private key achter te laten. In praktijk zal je dan dus meestal inloggen met je telefoon.
Persoonlijk ga ik voor Passkeys in een wachtwoordmanager, Bitwarden. Want ik bedank voor een vendor lock in.
Overigens lijkt het me een top idee. Laatst weer een collega die riep 'het kan toch echt maar één van twee wachtwoorden zijn'. En ze kwam er niet uit, dus tien minuten later: 'Nu weet je dus wel m'n wachtwoord voor bijna alles'. No shit. Ongelofelijk hoe mensen met beveiliging omgaan.
Dus als ik het goed interpreteer is een keepass db met sterke wachtwoorden die je via een vpn beschikbaar hebt een stuk praktischer en even veilig. Want ook die is niet beschikbaar als je de vpn niet op kan. Het enige wat je ooit hoeft te onthouden is het masterpassword van je db.
private public keys gebonden aan apparaten zijn inherent veiliger, zie bijvoorbeeld het fishing verhaal in het artikel. Maar met sterke wachtwoorden ben je inderdaad nu ook al aardig veilig ja.
De functionaliteit die je omschrijft is helemaal niet inherent aan het gebruiken van asymmetrische encryptie. De enige reden waarom je passkey niet op die phising-site wordt ingevuld is omdat de software dat niet doet, als je software hebt die dat wel doet dan valt dat hele aspect weg.
Je hebt natuurlijk gelijk maar ik probeerde het simpel te houden en dat is niet relevant voor het punt dat ik maakte, namelijk dat het niet werken op de 'verkeerde' site helemaal niets met (asymmetrische) cryptografie te maken heeft.
Het grote voordeel van pub/private keys is dat als de database aan de website kant, bijvoorbeeld website A, geleaked/gehacked wordt, jij jou public key gewoon terug kan trekken, dus in jou lokale passmanager verwijder jij de public key voor website A en kun je op website A vanaf dat punt niet meer inloggen met jou (nu bekende) public key voor website A.
Er moet nog steeds een veilige manier of mogelijkheid zijn om je passkey veilig te kunnen veranderen natuurlijk, maar daar heb je gelukkig de private key voor.
Het is niet even veilig want de db is verplaats- en kopieerbaar en de device-passkeystore niet doordat die ook authenticeert met een hardware TPM of gelijkwaardig. Je beveiligt weliswaar twee toegangslagen ertussen (vpn en file access) maar als die doorbroken zijn is er geen beperking meer replicatie en gebruik. Geldt trouwens ook voor oplossingen via Bitwarden bijvoorbeeld. Ik wil juist de extra factor erbij hebben van een hardware-gebonden passkey.
Ik heb voor werk wel eens Android apps moeten signen, waarbij ik expres ook een yubikey gebruikte die in de kluis aldaar ging, zodat er voor iedereen een stok achter de deur was dat als er iets gesigned was, er fysiek toegang tot die key moet zijn geweest.
[Reactie gewijzigd door The Third Man op 23 juli 2024 05:26]
Inderdaad, voor mensen die enigszins tech-savy zijn is dit veiliger. Het probleem is alleen dat veel mensen dat niet zijn, en ze dan dus beter géén wachtwoord kunnen gebruiken want die zijn slecht en/of hergebruik.
sterke wachtwoorden die je via een vpn beschikbaar hebt een stuk praktischer en even veilig
Nee. Een wachtwoord is inherent vatbaar voor replay-aanvallen, oftewel te kopiëren en later weer te hergebruiken. Als jij inlogt op de PC van een vriend en die PC heeft een virusje dan is daarmee mogelijk jouw wachtwoord gelekt. Hetzelfde als de website waarop je inlogt gehackt is, of elke andere plek waar jouw wachtwoord langs gaat.
Het voordeel van public keys is dat het geen drol uitmaakt waar jouw public key langs gaat, je private key is veilig. Met een man-in-the-middle-aanval kun je hooguit een sessie overnemen maar je private key blijft nog steeds veilig. Die ben je wel kwijt als het apparaat waar die op staat gecompomitteerd wordt, maar dat is hetzelfde bij password-managers. En als je dat wil afdekken kun je apparaten als ubikeys gebruiken. In theorie niet inherent onhackbaar, maar praktisch nul "attack surface" in tegenstelling tot een PC of smartphone.
Wachtwoorden zijn wat dat betreft gewoon inherent achterhaald.
[Reactie gewijzigd door bwerg op 23 juli 2024 05:26]
Daar bestaat ook een modernere versie van: alles maar ook echt alles in de ‘veilige’ key manager achter slechts 1 master password. Zag bij iemand eens alle TOTP recovery keys van de 2FA in staan, bankkaarten met pincodes, paspoortscans en ga zo maar door. En nu stel je dat ook voor met alles passkeys… ik ben daar niet zo enthousiast over. Liever meer omslachtigheid zolang maar niet de hele schatkist open ligt zodra de keymanager compromised is.
Het blijft veiliger dan één wachtwoord voor alles en geen MFA. De paspoortscans kun je beter in je wachtwoordmanager bewaren dan lekker op je desktop, naast het tekstbestandje met je pincode(s).
Vind de implicatie dat één wachtwoord (of slechts enkele) voor alles ouderwets is wel grappig trouwens
Dat vind ik altijd zo'n kromme redenering. Ja mijn muntenverzameling ligt midden op tafel in m'n huis ook veiliger dan op straat, maar dat is niet zo veilig als in een eigen kluis, laat staan in de kluis bij een bank. Zo kan je altijd wel een 'het blijft veiliger dan <onveilig voorbeeld>' verzinnen, dat doet niets af aan het feit dat de gekozen optie niet bepaald zo veilig is als je zou willen.
Mijn punt is dat als je ervoor kiest om een manager te gebruiken, je dat doet zonder de zaken die verder gaande consequenties kunnen hebben dan puur een accounttoegang. Dus de MFA recovery codes, pincodes van bankkaarten, ID scans horen niet erin thuis. Dat neemt niet weg dat je daar ook management opties voor kan gebruiken, maar dan apart en bij voorkeur met een stevigere beveiliging. Zo zijn zelfs bij een compromise van de wachtwoordmanager slechts de wachtwoorden uitgelekt en niet de rest.
Goed, mijn punt is dat het vooral veel veiliger is dan het alternatief en dat de marginale winst echt enorm is als je überhaupt versleuteling gebruikt om bepaalde gevoelige zaken te bewaren. Het is in mijn ogen dan ook nogal overdreven om te doen alsof dat op die manier opslaan min of meer equivalent is als letterlijk het onveiligste wachtwoord'beleid' dat je kunt hebben.
Om in jouw analogie te blijven is dat een beetje alsof je doet alsof de mensen die hun muntenverzameling thuis in de kluis hebben liggen, die verzameling net zo goed op straat hadden kunnen gooien omdat jij ervoor hebt gekozen om je verzameling bij de bank te bewaren. Natuurlijk is het veiliger, maar het is op zijn minst oneerbiedig om dan de mensen die een andere afweging gemaakt hebben (impliciet) af te schilderen als roekeloos.
edit: rare zinsbouw ff omgekat
[Reactie gewijzigd door Patriot op 23 juli 2024 05:26]
Ik bedoel het meer als dat je in je huiskluis ook je kluissleutels van de kluis bij de bank legt, en de veiligheidscode die de bank vraagt als je toegang wil met de sleutels, en je recovery code van je keymanager, en je extra creditcards + pincodes en de seeds van je crypto wallets. Als dan iemand toegang krijgt tot je huiskluis, die weliswaar veiliger is dan alles op straat hebben liggen, is toch de impact enorm. Die verhalen zijn ook niet ongehoord, ook bij bedrijven bijvoorbeeld, dat inbrekers weten dat er wat te halen valt en dat als ze linksom of rechtsom toegang tot de kluis hebben, ze ook echt alles in 1 keer hebben (en niet alleen een stapeltje geld bijvoorbeeld). Eigenlijk zou het principe moeten zijn dat toegang tot kluis of wat dan ook geen verstrekkende gevolgen hoort te hebben dan de inhoud zelf, iets wat MFA normaal gesproken afvangt. Vandaar mijn bezwaar om met name MFA codes of andere secrets erin te bewaren.
Een ander voorbeeld is ook al het spaargeld op een spaarrekening achter normaal internetbankieren zetten, waardoor 1 goed aangepakte phishing call de hele boel weghaalt als je zelf eenmaal door leeftjd en/of falende gezondheid het allemaal niet meer zo goed weet en dus om te praten bent. Ook vaak voorbij gekomen bij Kassa, Opgelicht en Radar.
Ik bedoel dus niet te zeggen dat mensen in zulke gevallen per definitie onveilig bezig zijn, laat staan roekeloos, maar het is wel een aspect van impact-management. Risico = kans x gevolg, en bij zo'n alles-op-1-plek-lekker-makkelijk nemen de gevolgen bij een kraak enorm toe. De kans is wel kleiner dan met post-its, het Welkom01 wachtwoord en dingen op straat leggen, maar dat is niet het hele verhaal als ik doel op het toegenomen risico.
[Reactie gewijzigd door The Third Man op 23 juli 2024 05:26]
Ik snap wel op welk principe je doelt, maar je trok in je eerste reactie expliciet de vergelijking met die collega die al zijn sites/services met één of twee wachtwoorden beveiligt. Je komt nu weer met een aantal voorbeelden van een principe wat allang duidelijk is en wat ik ook niet misken, ik vind het alleen nogal dom om eerst te zeggen dat het vrijwel hetzelfde is en daarna te doen alsof je niet bedoelt dat de mensen die dat zo doen per definitie onveilig bezig zijn. Dan moet je die vergelijking niet trekken
Ook mee eens ja, ik zei het te simplistisch terwijl ik er slechts mee doelde te zeggen dat er in de realm van keymanagers gebruiken je ook een uiterst voorbeeld van onveiligheid hebt, in de vorm die ik noemde. Ik trok de vergelijking dus gericht op het uiterste hier en het uiterste daar, niet om te willen zeggen dat de twee uitersten 'vrijwel hetzelfde' zijn. Zoals bij zoveel vergelijkingen kunnen die figuurlijk zijn en voor meer paralellen passend zijn dan gelijkwaardigheid, en dus zou ik het gebruik van een andere parallel niet betitelen als 'nogal dom' alleen maar omdat die niet duidelijk overkomt...
Van Google weet ik het niet, maar bij Apple kunnen wachtwoorden vanuit keychain niet geëxporteerd worden. Dat is bij veel wachtwoordmanagers wel anders, daar kun je vaak een totale export van de wachtwoorden maken om te importeren in een andere applicatie.
Dat klopt niet. Je kan prima je icloud keychain exporteren sinds macOS Monterey (wel Mac only volgensmij). Deze export is incl. url/username/password/notes/TOTP sha code. Al worden passkeys volgensmij nog niet geëxporteerd (dat nog niet specifiek geprobeerd).
Inderdaad een goed idee om die Passkeys in een ww manager op te slaan. Heb zelf zowel LastPass als Bitwarden gebruikt, en werken vergelijkbaar, alles valt of staat echter met het vertrouwen in hoe eea aan de achterkant wordt geregeld qua security, etc.
In dat kader is een totale andere insteek, waarbij de wachtwoorden NERGENS meer opgeslagen worden mogelijk een heel stuk veiliger als ww manager. Zover ik weet doet alleen MindYourPass dat, zie https://www.mindyourpass.io/product.html (en nog Nederlands ook!)
Daarnaast kun je (als bedrijf) ook nog eens het gebruik van sterke wachtwoorden afdwingen, dat is nl vaak ook een probleem: wel een wachtwoord kluis, maar vol met zwakke wachtwoorden, dat kun je bij MYP dus afdwingen (vooral in bedrijfsmatige omgevingen belangrijk!).
Begrijp dat MYP na de zomer ook met Passkeys support komt.
Iemand een idee over de pros en cons van deze aanpak?
ik neem aan dat je er werkt? Mind your pass lijkt me op het eerste gezicht gewoon een soort spyware voor werkgevers die kunnen volgen waar hun werknemers inloggen. Bitwarden is een open source oplossing die wachtwoorden client-side versleutelt. Ik lees niets over 'nergens opslaan' van wachtwoorden als mogelijkheid van wat dan ook, kan ook niet, een wachtwoord moet ergens vandaan komen immers. Versleutelen van alle inloggegevens is dam dus de beste optie.
Vuistregel: elk artikel dat een vraag stelt in de titel kan beantwoord worden met 'nee'. Zo ook met dit artikel.
Hoe authenticeer je een eerste apparaat met een online dienst? Om die kip-en-ei situatie te doorbreken identificeert een gebruiker zichzelf met een gebruikersnaam (in de praktijk praktisch altijd een e-mailadres), een wachtwoord en mogelijk een tweede factor.
Hoe kan een gebruiker anders herstellen uit een uitzonderlijke situatie (smartphone kwijt, bijvoorbeeld)?
Als ik nu een wachtwoord kwijt ben heb ik toch ook geen Passkeys om alsnog m'n wachtwoord te herstellen?
De gebruiker kan andere apparaten hebben. Telefoonnummers, emails, contacten... Een toekomst zonder wachtwoorden (as we know it) lijkt me zeer aannemelijk.
Hoe log je in zonder wachtwoord? het is echt hetzelfde probleem. Maar wie heeft en geen twee apparaten en geen backups en geen toegang tot telefoon of andere mails? Die fictieve persoon heeft nu ook een probleem als het ene apparaat met alle wachtwoorden /Passkeys het begeeft.
[Reactie gewijzigd door brobro op 23 juli 2024 05:26]
Hoe log je in zonder wachtwoord? het is echt hetzelfde probleem. Maar wie heeft en geen twee apparaten en geen backups en geen toegang tot telefoon of andere mails?
Voldoende mensen die niets anders dan een smartphone gebruiken. En backups? Normale gebruikers denken niet na over backups.
De eerste twee tot drie maanden gebeurt er dan iets, maar daarna verslopt de aandacht/discipline van die gebruiker weer en gaatr alles weer terug naar zijn oude gangetje.
Dat is mijn ervaring met gebruikers. Nu heb ik mijn dienstplicht vervuld, dus heb ik genoeg lessen gehad van de twee meest effectieve leermeesters die er zijn (pijn en schaamte). Heb ondertussen wel het idee gekregen dat de gemiddelde gebruiker geen of niet afdoende instructies van die leermeesters hebben ontvangen.
Niet goed is overnieuw zeg ik altijd maar. Maar goed, het is aan het basisonderwijs en aan de ouders om kinderen in te lichten over de gevaren van het moderne internet. Fake news, social media, backups enz enz. Dat dat niet afdoende is dat mag inderdaad duidelijk zijn.
Wij tweakers hebben altijd wel meerdere apparaten. Het is tenslotte onze hobby en/of werk. Gewone gebruikers hebben steeds vaker alleen een telefoon en doen alles daar op. Gewone gebruikers doen ook niet aan backups. En als je email beveiligd is met een passkey kom je daar dus niet meer in om accounts te resetten (kip en ei).
Maar ook voor een hoop tweakers is dit systeem niet voordehandliggend: wie wil er een vendor lock-in en alles opslaan in een cloud? Alles heeft beveiligingsproblemen, dus ook clouds, en iedere manier van externe opslag is dus niet veilig genoeg. Of nóg meer afhankelijk op zo’n telefoon Ik zie mezelf dit nog niet gebruiken. Nu niet en over 10 jaar nog steeds niet.
Clouds en vendor lockin's van Google en Microsoft is alleen al een fors risico omdat ze opeens je account kunnen afsluiten om onschuldige kinderfoto's of inhoud van een mail die hun algoritme niet aanstaat. Je zal je hele leven maar verliezen want het is zo goedkoop en makkelijk alles op 1 platform: alle OS licenties van je laptop/pc, MS office, emails en agenda, cloud, alle bestanden en backups en dan straks je passkeys om overal in te loggen. Bij Google vergelijkbaar. En dat nog losstaand van beveiligingsproblemen, want die leveren hetzelfde resultaat. In feite dus dubbelop risico. Mij niet gezien, maar vast de massa wel. De gemakzucht gaat vast nog een hoop leed veroorzaken... dat doet het nu ook al, maar dan op andere manieren.
Hoe authenticeer je een eerste apparaat met een online dienst?
Nee, daar is een ‘registratieprotocol’ voor. Stel dat je jezelf nieuw op Tweakers.net registreert, dan doorloop jij de registratie-wizard, die zal vragen om je gewenste alias, en vervolgens doet WebAuthn de rest. Uiteraard kan Tweakers.net ook om je email adres vragen bij registratie, maar daar heeft daar verder niet zo veel mee te maken.
Het herstellen zal niet gaan, tenzij je de boel backupped. Je hebt één sleutel. Net als dat je enige huissleutel kapot is, dat je dan (redelijkerwijs) niet meer in je huis kan en een ander slot zal moeten kopen. (( bij wijze van natuurlijk ))
Hoe authenticeer je een eerste apparaat met een online dienst? Om die kip-en-ei situatie te doorbreken identificeert een gebruiker zichzelf met een gebruikersnaam (in de praktijk praktisch altijd een e-mailadres), een wachtwoord en mogelijk een tweede factor.
Bwuh? Je kunt toch op dezelfde manier een passkey instellen zoals je normaal gesproken een wachtwoord zou instellen?
Noem mij maar ouderwets maar ik heb wel een sterke wachtwoorden discipline. Regelmatig veranderen en in combinatie met een tweetraps. Voor mij is het een must om op alle apparaten even te kunnen inloggen, in plaats van apparaat/passkey gebonden te zijn.
Voor mij is het een must om op alle apparaten even te kunnen inloggen, in plaats van apparaat/passkey gebonden te zijn.
Dat kan met een passkey ook gewoon maar dan moet je op het andere device ook een passkey koppelen. Je zou hierbij een wachtwoord (wat minder veilig is) als fallback kunnen laten bestaan. Je houdt dan wel het risico de de beveiliging altijd even sterk is als het zwakste middel dat je toestaat en je in principe een default downgrade attack mogelijkheid hebt gecreëerd.
Wachtwoorden regelmatig veranderen is al een tijdje niet meer de standaard. Het is beter om een sterk wachtwoord te verzinnen en die te houden.
Regelmatig aanpassen leidt tot zwakke wachtwoorden, zoals Zomer2022# etc.
Ik mag hopen dat bijvoorbeeld de EU gaat afdwingen dat passkey-profielen overgezet kunnen gaan worden naar een ander ecosysteem. Wil niet mijn hele leven vast blijven zitten aan alleen Apple of Google.
Ik zie niet in waarom de EU zich hier mee zou moeten moeien en hier tijd in zou moeten steken. De keuze van waar jij in de toekomst je passkeys gaat opslaan is er 1 die je zelf moet maken, net zoals je vandaag ook zelf kiest om een bepaalde wachtwoordmanager te gebruiken. Ook daar dwingt niemand interoperabiliteit af maar bieden de betere wachtwoordmanagers het wel aan.
Apple kan ter alle tijden een firmware update naar je apparaat schieten die hun plaintext toegang geeft tot de passkeys. Jij kan redelijkerwijs nooit toegang krijgen tot de plaintext. Dus het is volstrekt duidelijk wiens passkeys het zijn, het zijn Apple's passkeys.
Inderdaad geen vendor lock-in,
- en je kan de database in een cloud opslaan (met wat nieuwe risico's) waardoor je het kan gebruiken op al je hardware.
- en je kan meerdere database aanmaken voor prive en zakelijk.
Ik sync via mijn NAS tussen mijn thuis PC en mobiel. NAS werkt alleen lokaal. Dan heb je niet het 'risico' van cloudopslag, maar wel altijd je wachtwoorden bij je. Ik gebruik het niet heel veel buitenshuis (alleen op mijn mobiel), maar nog altijd handiger om er mee ipv om verlegen te zitten.
Ik gebruik 2 android apps, keepassDroid en KeepassDX. De een vind ik fijner werken, de ander heeft een handiger autotype functie
Na meer dan 10 jaar tevreden gebruik toch de overstap gemaakt van Keepass naar Bitwarden. Ik ervaar het gemak van Bitwarden als het groot plus punt. Keepass diverse maken synchronisatie problemen gehad, bij Bitwarden nooit.
Beide zijn overigens als enige wachtwoord managers toegestaan waar ik werk omdat deze als enige veilig zijn bevonden. De door de auteur van dit artikel beschreven managers zijn allemaal afgevallen. Overging heeft keepass inmiddels ook wat beveiligings problemen gehad.
Bitwarden werkt ook aan de implementatie van Passkeys en zal volgens Bitwarden deze zomer beschikbaar worden.
In theorie zit dat al in de DSA ingebouwd, services moeten interoptabel zijn. Wat exact onder beide termen valt moet de tijd leren, maar ik gok dat in dit geval de interoperabiliteit vanzelf komt (icloud passwords zijn bijv ook op windows toegankelijk tegenwoordig).
Ik mag hopen dat bijvoorbeeld de EU gaat afdwingen dat passkey-profielen overgezet kunnen gaan worden naar een ander ecosysteem. Wil niet mijn hele leven vast blijven zitten aan alleen Apple of Google.
Dat doen ze al. Het afdwingen van data-portabiliteit van gebruiker-gegenereerde data bij stoppen van afname van een digitale dienst is onderdeel van de richtlijn 2019/770 inzake levering van digitale inhoud en diensten, die vanaf medio 2021 door alle lidstaten geimplementeerd moest zijn in wetgeving die vanaf 1 Jan 2022 in moest gaan.
Uiteraard was Nederland weer eens laat bij de les en hadden we de wetgeving pas medio 2022 af.
Saillant detail: de wetgeving die er nu is, voldoet op verschillende punten ook nog niet aan de richtlijn.
[Reactie gewijzigd door R4gnax op 23 juli 2024 05:26]
'Gebruiker-gegenereerd' in de zin van die wet betekent gegevens die door de gebruiker aangedragen zijn aan of aangemaakt zijn binnen de dienst in kwestie. Passkeys waarvan een backup naar Google of Apple gestuurd wordt, vallen gewoon onder die definitie.
Veel eenvoudiger, inloggen per email of sms, eventueel nog i.c.m. een 2-factor verificatie. Helemaal geen wachtwoord meer nodig, en de gebruiker dient enkel zijn/haar email adres en/of telefoonnummer up-to-date te houden. De rest is eigen verantwoordelijkheid.
[Reactie gewijzigd door m4ikel op 23 juli 2024 05:26]
SMS wordt al tijden afgeraden voor authenticatie mogelijkheid omdat het inherent geen veilig protocol is. Voor e-mail geldt hetzelfde plus dat e-mail veelal ook alleen met een wachtwoord beveiligd is en zonder TLS clear text te lezen. Slecht advies dus. Een passkey is in principe een phishing resistente oplossing die deze nadelen niet kent.
Nee, maar vervolgens wel een 'wachtwoord reset token' per email versturen, kortom: wat lost de passkey op? Edit: En ja, dan is de keypass manager gewoon het doelwit. Het is gewoon het verschuiven van de kwetsbaarheid.
[Reactie gewijzigd door m4ikel op 23 juli 2024 05:26]
Het idee is dat je met een passkey afstapt van wachtwoorden en overgaat op een veiligere manier. Er is dan geen "wachtwoord vergeten" optie meer maar hooguit een manier om met een veilige methode de toegang te herstellen. Daar kan je van alles voor bedenken. Een 'wachtwoord vergeten' optie via e-mail is sowieso niet zo heel veilig maar vooral makkelijk in gebruik en goedkoop. Dat zijn dan ook de redenen waarom je dit ziet.
[Reactie gewijzigd door Bor op 23 juli 2024 05:26]
Klopt, dus met een paspoort en/of ID verificatie (lees DigID?) je account herstellen. Dat was juist waar alle privacy bezwaren tegen in gaan. Nee, geef mij maar gewoon een wachtwoord en/of email token, werkt prima. Misschien voor privacy gevoelige data een 2 of 3 factor authenticatie of gewoon een smartcard bij bedrijfsinstellingen.
Het idee is dat je met een password afstapt van wachtwoorden en overgaat op een veiligere manier. Er is dan geen "wachtwoord vergeten" optie meer maar hooguit een manier om met een veilige methode de toegang te herstellen.
Ik neem aan dat je passkey bedoelde, maar dit is toch sowieso helemaal niet inherent aan het gebruiken van passkeys? Je kunt dit óók doen bij wachtwoorden en je kunt het ook níet doen bij passkeys.
Wout toch nog even over de veiligheid. Ik vind dat je daar iets te stellig in bent. Waarom ? Ik ben een oude man en zal niet ingaan op de technische kant van de zaak, dat gaat boven m'n pet. Maar ik kom uit een tijd dat er nieuwe brandkasten gemaakt werden waarvan men stellig zei; die krjg je nooit open. Inbrekers probeerden het. En inderdaad de meeste lukte het niet om hem open te krijgen. En dat was ook zo. (Jah....James Bond in de film, die dan weer wel. ) Toch kwam er iemand die hem met een thermische lans kon open maken. Moest wel de kluis uit het gebouw worden gesloopt. Maar het lukte wel. Hetzelfde hebben we toch ook gezien bij de andere beveiligen waarvan we dachten dat ze velig waren. En ik ben bang dat het met dit niet anders zal zijn. Er zullen vast wel weer methodes gevonden worden om erbij te kunnen door technisch falen, technisch vernuft, over het hoofd geziene (vaak kleine ) technische zaken of een werknemer die boos is geworden en voor veel geld de boel verkoopt. Ik ben er nog niet zo gerust op.
Met passkeys bouwt men verder op technologie die al enkele decennia wordt gebruikt. Het is dezelfde technologie die ervoor zorgt dat er encryptie mogelijk is op het internet. De achterliggende algoritmes worden bijgewerkt door de jaren heen om ervoor te zorgen dat het breken ervan altijd onmogelijk zal blijven, maar de basisprincipes zijn niet echt veranderd.
Mochten er zwakheden gevonden worden die een bedrijging vormen voor de betrouwbaarheid van 1 algoritme, dan wordt dat vaak op relatief korte tijd uitgefaseerd zodat het weg is als industriestandaard lang voordat misbruik praktisch zou worden.
Het grootste probleem is niet de algoritmes maar de opslag en benadering van de private keys en het directe gebruik daarvan. Het is nooit de vraag of, maar wanneer en met hoeveel middelen er een fout gevonden gaat worden. Alles is gemaakt door mensen en mensen maken fouten. Geen enkel bedrijf zal zich veilig achten tegen het geld en de middelen van nation states (als actor) want die hebben voor alle praktische zin oneindig geld en middelen.
Wat je wel kan doen is het zo moeilijk mogelijk maken, en dat doe je door (wiskundig bewezen) veilige algoritmes te gebruiken en de sleutels op te slaan in bewezen en gekeurde cryptografische modules.
Dat neemt niet weg dat het ooit gekraakt zal worden, maar maakt het wel stukken moeilijker. Het is soms simpelweg een gevalletje van "de buurman heeft slechtere sloten dus dan breken ze bij hem binnen".
De meeste "fouten" in asymmetrische cryptografie op dit moment worden gevonden in side channel attacks, programmerfouten in het algemeen of nieuwe technieken voor dit soort aanvallen. Of gewoon geen brackets gebruiken in je if statement.
Ik ben het niet eens dat er altijd gezorgd word dat de beveiliging deugt ook niet met encryptie, nog steeds blijken al die zogenaamd super veilige encryptie technieken toch te breken zijn.
Onverlaten staan ook niet stil met techniek, er worden zelfs grote asic machines gebruikt om deze te kraken.
Want als u denkt veilig te zijn tegen criminelen kan ik u beloven dat het een droomwens is.
Wij mensen zijn feilbaar of je wil of niet hoe ouder des te vaker maak je fouten.
Ik dacht altijd dat mijn beveiligingen voldoende waren om hackers uit mijn computers te weren, ik kan u garanderen dat als men het wil geen enkel online systeem veilig is
De enige manier om onverlaten buiten te houden is door constant met diverse tools te kijken of er niet gepoogd word jouw informatie te stelen.
Als particulier ken ik eigenlijk niemand die zijn zaakjes echt in orde heeft, de reden hiervoor is dat je letterlijk knettergek word van de vele zaken waar je naar moet kijken en constant moet monitoren of jouw draaiende beveiligingen niets raars opmerken.
Nee dat kan niet automagisch dat zal jezelf moeten doen, naar de firewall regeltjes loeren of er geen rare dingen gebeuren dat moet echt zelf bekijken. De firewall is alleen een tool om deze zaken te ontdekken jij moet zelf uitzoeken of het een gevaar is of niet.
wat velen vergeten is dat ook die niet onfeilbaar zijn, op alles worden aan de verkeerde kant steeds betere en krachtiger middelen bedacht die alle beveiligingen proberen te omzeilen of breken.
Het is de eindeloze cirkel die nooit zal ophouden te bestaan.
Ik heb gebruik gemaakt van diverse beveiligings producten maar vroeg of laat lopen die altijd achter de feiten aan.
Ik zat toevallig weer eens een paar technische nieuwtjes te bekijken en nu al bleek dat bij de nieuwste producten op pc gebied er alweer nieuwe lekken zijn gevonden in de net uitgebrachte hardware op pc gebied deze keer bij de AMD producten die kort geleden zijn uitgebracht.
Heel vaak blijkt dat het oplossen van dit soort problemen jaren kosten om dit op te lossen en vreemd genoeg, bij elke vernieuwende techniek er toch weer nieuwe lekken blijken te zijn ontstaan.
Toch kwam er iemand die hem met een thermische lans kon open maken. Moest wel de kluis uit het gebouw worden gesloopt. Maar het lukte wel.
En wat is daarmee bewezen? Het hele "hier komt niemand in" is uiteraard marketingpraat, maar dat is uiteindelijk ook niet waar je zo'n ding voor koopt. Er is geen mens die hoort dat zo'n kluis gekraakt is met een thermische lans die denkt "Nou, dan bewaar ik mijn waardevolle spullen voortaan maar 's nachts buiten op de tuintafel."
Hetzelfde hebben we toch ook gezien bij de andere beveiligen waarvan we dachten dat ze velig waren. En ik ben bang dat het met dit niet anders zal zijn. Er zullen vast wel weer methodes gevonden worden om erbij te kunnen door technisch falen, technisch vernuft, over het hoofd geziene (vaak kleine ) technische zaken of een werknemer die boos is geworden en voor veel geld de boel verkoopt. Ik ben er nog niet zo gerust op.
Waar ben je niet gerust op? Dat het 100% veiligheid biedt en tegen elk mogelijk scenario is opgewassen? Gefeliciteerd, je hebt een bewering ontkracht die je ter plekke zelf hebt verzonnen.
Door gebruik te maken van een tweede factor, zoals een sms of gegenereerde totp-code, valt het risico van uitgelekte wachtwoorden natuurlijk te beperken, maar dit werpt een extra drempel op voor de eindgebruiker.
Dit blijf ik maar niet snappen in dit concept, hoe is dit nu anders?
user/pass - telefoon met code/toegang geven (auth)/generator cijfer overnemen
passkey - telefoon (of whatever) verifieren dat ik het ben.
Dat is toch eenzelfde 'drempel'? Hoe wordt een single point of failure afgevangen in een passkey, als je telefoon weg/leeg/kapot is? Is deze uberhaubt in failsafe te gebruiken middels een backup terugzetten (zoals auths nu kunnen). Transitie van de aanval is geen uitzondering meer, kan je niet bij de gebruiker? Dan trek je toch gewoon heel die database leeg. Zit je dan met je waterdichte beveiliging..
Soms doet me het denken aan schoonmaakmiddelen, elke nieuwe is 'de beste oplossing', revolutionair, alles ervoor is slecht en werkt niet.. terwijl een bakje water en stukje zeep ook nog steeds prima is.
MFA lost het probleem van gestolen/uitgelekte wachtwoorden op, maar niet het probleem van phishing sites die in essentie een relay aanval uitvoeren.
Met passkeys verifieert de dienst niet alleen de gebruiker, ook het omgekeerde gebeurd, jij als gebruiker gat ook in 1 keer de dienst verifieren. Een phisher die de site van je bank heeft nagemaakt zal je niet meer kunnen laten inloggen op die nagemaakte site met een passkey.
Met passkeys verifieert de dienst niet alleen de gebruiker, ook het omgekeerde gebeurd, jij als gebruiker gat ook in 1 keer de dienst verifieren. Een phisher die de site van je bank heeft nagemaakt zal je niet meer kunnen laten inloggen op die nagemaakte site met een passkey.
Dat is een eigenschap van de software die je gebruikt om je passkeys te beheren en niet van de passkeys zelf. Een passwordmanager slaat nu ook niet aan op een onjuiste website, dat is in principe exact hetzelfde.
De apparaatgebondenheid, biometrische beveiliging van de passkey en de site-/servicegebondenheid zijn geen eigenschappen van passkeys maar van de specifieke implementatie van de software die je gebruikt.
In de praktijk gaat het er natuurlijk op neerkomen dat iemand een keer een stuk software gaat publiceren wat je niet tegenhoudt als je de key lekker wilt delen op je dropbox, geen beveiliging heeft op de keys én gewoon lekker aan de gebruiker overlaat voor welke service/site een bepaalde key wordt gebruikt.
Afgelopen jaar op Devoxx Belgium was hier een interessante talk over die het goed uitlegt hoe het werkt en wat de mogelijkheden zijn: https://youtu.be/U9y4QN1Yv_U.
Zoals dat nu gaat wanneer je je wachtwoord vergeet. Er moet een reset flow zijn die dit regelt. Hoogstwaarschijnlikk gebruikmakend van je email maar idealiter heb je meerdere mfa factoren zodar als je een kwijt bent je die met een ander kan resetten. Bijv. Webauthn icm een mfa app. ,(msft/google aithenticator).
Ik ben erg bang voor de mogelijke uitkomst dat techgiganten uiteindelijk om fysieke identificatie moeten vragen om het passkeys proces te beheren: nieuw aanmaken > gebruiken > veranderen > opheffen > restoren.
Voor jouw beheerde domein op het werk, is alles geregeld via HRM. Die vraagt om fysieke identificatie bij aanvang van het dienstverband. Er is daarna een admin die in de user dir meer rechten heeft en controle houd over het proces nieuw aanmaken > .... > restoren.
Dus in de casus dat Google de passkeys verzorgt voor priveaccounts (zonder domein), moet er toch een soortgelijke autoriteit gevoerd kunnen worden? Er moet iets of iemand boven zitten. En je moet iets kunnen laten zien dat bewijst dat jij het bent. Zeker als het een single point of entry wordt voor all je logins.
Dat heeft toch allemaal niets te maken met passkeys? Ik snap de vrees an sich wel, maar waarom is die specifiek gericht op passkeys? Er is niets wat de techgiganten ervan weerhoudt om dat te doen voor gebruikers die hun "gewone wachtwoord" kwijt zijn. Nou ja, het feit dat het ze enorm veel moeite (en dus geld) zou kosten houdt ze natuurlijk tegen, maar er is geen eigenschap die inherent is aan normale wachtwoorden waardoor ze het nu niet zouden kunnen doen.
Er is inmiddels wel een ingewikkelder vorm ontstaan binnen bedrijven qua beveiliging
Ook voor beheerders er is vaak een stappenplan opgesteld wie wat kan en ook beheerders op meerdere niveaus worden toegepast.
Ik heb zelf dat soort zaken ook toegepast als hoofd beheerder en had bedacht dat meerdere mensen toestemming moesten verlenen tot toegang tot bepaalde gegevens
Vaak blijft er een hoofd beheerder noodzakelijk, maar ook daar worden inmiddels vaak voorwaarden aangesteld. Ik had de afspraak met de directeuren dat als er iets moest worden aangepast wat gevoelig was dit onderling werd besproken voor er iets werd aangepast en dit ook schriftelijk werd vastgelegd.
Zodoende blijf je als hoofd beheerder zelf ook gedekt ook al gaven mijn bazen mij het volste vertrouwen vond ik dit toch absoluut nodig.
Als ik een poos vakantie nam werden er soms zaken veranderd die ik dan weer recht moest zetten omdat niet de juiste weg was gekozen gezien de afgesproken handelswijzen.
Nu zie je deze vorm steeds vaker word toegepast binnen bedrijven waardoor de veiligheid binnen deze wereld er ook beter op is geworden, soms moet ik zeggen slaat men te ver door maar goed dat moeten die bedrijven zelf maar weten.
Jawel, die telefoon gebruikt een digitale sleutel.
Opgeslagen op een vanMoof server, dus nu vanMoof er niet meer is verstandig om nu het nog kan deze te back-uppen (bv met Bikey app van Cowboy). Voordat de stroom van de server af gaat omdat de curator de energierekening niet betaald.
Same principle.
Vraag me af hoe je dit gaat fixen als je je passkey sleutel kwijt bent
De oplossing daarvoor is, wanneer je gebruik maakt van een fysieke "sleutel" het registreren van een backup key. Zo werkt het bij een Yubikey bijvoorbeeld nu ook. Je wilt zorgen voor een fallback die minstens even sterk is als de originele authenticator.
En dan wordt er bij een inbraak dat schriftje meegenomen...
Dan kan de inbreker gelijk alles overnemen, je rekeninggegevens bij het UWV, belastingdienst en andere instanties waar je geld van ontvangt aanpassen...
En jij kan nergens meer bij want je bent je schriftje kwijt...
En dan wordt er bij een inbraak dat schriftje meegenomen...
Want inbrekers gaan door papier zoeken en zich richten op wat mogelijk waarde heeft, in plaats van wat werkelijk waarde heeft (geld, sieraden, kleine dure apparaten, ...).
Hoe groot is de kans dat er wordt ingebroken en dat een schrift wordt meegenomen tegenover de kans dat een gebruiker wel eens een wachtwoord vergeet (met soms lastige of zelfs onmogelijke herstelprocedures als gevolg)?
Hoe groot is de kans dat er fysiek wordt ingebroken en dat een schrift wordt meegenomen tegenover de kans dat digitaal wordt ingebroken (bij de gebruiker zelf of anders) en dat men geautomatiseerd met credentials/sessies ervandoor gaat?
Geheel mee eens, zelf gebruik ik Yubikey's (samen met Bitwarden) voor mijn login's, staat gewoon in een USB-dock/standaard op mijn bureau, en dat werkt perfect.
Ik acht persoonlijk het digitale gevaar en de kosten daar van, veel hoger dan een fysieke inbraak, dat is gewoon verzekerd!
Inloggen doe ik met Windows Hello door even de Yubikey aan te raken, op een user account, heeft iets Admin rechten nodig, even de Yubikey aanraken, wordt er een paswoord gevraagd via Bitwarden, even aan raken en ik ben veilig ingelogd.
Is een Yubikey makkelijk in gebruik, ja (en nee), ja in het dagelijks gebruik is het heel makkelijk, maar de eerste keer opzetten is wel even werk, waar je gewoon even heelgoed moet opletten, wat je met je master paswoorden doet en zo.
En je hebt minimaal een extra duplicaat key nodig die je goed opbergt, wat als je Yubikey weg is, en geen duplicaten meer hebt, kun je nergens meer bij, .
En die ligt in een gesloten envelop samen met mijn yubi en master keys bij mijn broer in de kluis, ingeval dat ik ze nodig heb, of voor mijn digitale zaken na mijn dood, en zijn envelop ligt bij mij.
Als het duplicaat/backup in een gesloten envelop bij je broer ligt, kan je er geen nieuwe accounts aan toevoegen op het moment dat je die toevoegt aan je “lopende” key. Dus die backup is dan toch zinloos?
Je hebt accounts die je rechtstreeks beveiligd met je Yubikey, en accounts die je via bv Bitwarden of een andere paswoord manager beveiligt.
Ik heb mijn Windows, Google, Epic, Ubiquiti, GitHub, Bitwarden enzovoort rechtstreeks beveiligt met een eigen Yubikey code.
De rest wat ik online doe, zoals inloggen bij bv Tweakers en andere online sites gaat allemaal via de Bitwarden paswoord manager.
Dus zolang ABN AMRO (ING ondersteund FIDO2 wel) of Steam nog geen FIDO2 ondersteund, heb ik de reserve key niet nodig, want gewoon paswoorden toevoegen van nieuwe sites gaat via Bitwarden. Dat zijn de enige twee voorlopig waar ik de Yubikey rechtstreeks nodig voor zou hebben, en dan ga ik wel even bij mijn broer langs of hij komt bij mij langs samen met een laptop en de envelop, kleine moeite.
Dat schriftje ligt bij mij naast de computer... zó vaak heb ik dat nodig, maar bij gevoelige wachtwoorden staat niet bij waarvoor het is..of het is 'verhult' of met symbool.
Lang geleden werd er bij mijn ouders ingebroken en naast de pinpassen hadden ze ook het notitieboekje gejat waar de pincodes in opgeschreven stonden. En dan niet op de eerste bladzijde, ergens halverwege tussen andere gegevens.
Mensen zijn voorspelbaar. Belangrijke gegevens worden opgeschreven in een belangrijk uitziend boekje, niet zomaar ergens op een vodje. De gemiddelde inbreker hoeft echt geen genie te zijn, ze weten waarschijnlijk ook wel vrij snel te achterhalen waar ze moeten kijken. Het is nu eenmaal hun vak.
Wat is dan het alternatief? Dit soort systemen, die weer alles koppelen aan je telefoon (plus het bedrijf waar die vandaan komt), zodat je nergens meer in komt als je m een keer op straat uit je zak laat vallen? Dat is nog veel erger dan een schriftke in een bureaulade.
Ik laat als inbreker dat schrift links liggen dat is opgeborgen en papier heeft 0 waarde.
De laptop ligt wel voor het grijpen die neem ik mee (heb ik een uur later 50 euro voor dat schrift niet) daar zijn een aantal keepasses op aangemaakt en opslagen. Dus het slachtoffer kan nergens meer bij omdat het apparaat kwijt is waar het is op aangemaakt? Tenminste als het voor de normale gebruiker is gelukt want in het filmpje oogt nogal complexer dan een normaal wachtwoord met 2FA.
[Reactie gewijzigd door RobbyTown op 23 juli 2024 05:26]
ik denk dat het schriftje veiliger is dan telkens hetzelfde wachtwoord. Reken maar uit: online heb je zo ongeveer elke seconde te maken met een hackpoging (mijn firewall geeft aan dat 30% van de activiteiten moesten worden geblokkeerd, met bij inspectie veel chinese en russische IP adressen). Hoe vaak maak jij mee dat er iemand inbreekt een dat schriftje meeneemt?? Er zijn zelfs speciale "veilige wachtwoord" schriftjes in de handel voor mensen die geen zin hebben in 2FA etc.
zelf heb ik keepass, 2FA op de belangrijkste diensten. Maar dat is puur gemak omdat ik niet altijd een schriftje bij me wil hebben. Het nadeel is altijd: je hebt altijd een telefoon nodig. Je kan overigens prima de 2FA diensten weer syncen in de cloud zodat je elke mobiel kan gebruiken (2FA manager installeren, aanmelden en gaan).
Het hele punt is: hoe moeilijk maak je het voor de hacker? Als dat redelijk lastig is, kijkt die een deur verder.
Als ze het schriftje van mijn moeder meenemen zou ik het knap vinden als ze hier iets mee kunnen. Het is dat mijn moeder het begrijpt de rest van de wereld gaat hier niet uit komen 🙄 zo cryptisch (lees puinhoop) staat het beschreven.
Mijn moeder had (ze is inmiddels overleden) altijd onder haar toetsenbord een schriftje liggen waar ze keurig netjes per website inlog en daaronder wachtwoord had staan.
Ik heb haar uiteindelijk kunnen overtuigen de wachtwoordmanager van Firefox te gebruiken, ik vond dat toch al beter dan niks...
Windows Hello of Apple face/touch ID is toch ook simpel. Zal een kwestie van tijd zijn voor het netjes wordt geïmplementeerd, maar men kan dat echt wel voor elkaar krijgen op een eenvoudige methode. Met password manager zal moeilijker zijn maar voor de meeste mensen toch irrelevant (en voor de mensen die het wel willen waarschijnlijk ook niet te moeilijk).
Ik wel, maar heel veel mensen die niet zo bezig zijn met techniek niet. Tenminste in mijn omgeving zie ik dat heel veel .
Ik ken een vrouw die als ww altijd het emailadres van haar man gebruikt met een hoofdletter aan het begin. Voldoet meteen aan alle regels, anders, te veel gedoe. Die kreeg DigiD niet op haar toestel, scannen van paspoort lukte haar bv niet. Authenticator app had ze van haar telefoon gehaald, uiteraard geen backup .
Ja mijn moeder is ook niet al te technisch hoor. Maar bijvoorbeeld Apple (m'n moeder heeft een iPad) heeft al een nette Keychain implementatie. Ww veld selecteren, even vingerafdruk, klaar, ingelogd. Als het ook zo kan werken met passkeys ben je in de toekomst zelfs helemaal verlost van wachtwoorden en authenticators. Ik zie veel mogelijkheden hier, juist voor de minder behendigen wat dit betreft.
Dat DigiD had trouwens ook veel strakker gekund... Ikzelf vermijd gewoon de app en doe het met SMS 2fa. Denk dat dat het minste gedoe geeft. Wellicht een tip voor die vrouw ook.
Het lijkt mij juist veel gedoe om telkens elk wachtwoord uit een schrift te halen en vervolgens alles over te typen.
Wat dat betreft ben ik al jaren zeer tevreden met Bitwarden. En mochten ze passkeys gaan implementeren zal het voor de niet technische mensen juist een stuk gebruiksvriendelijker worden is mijn verwachting.
Dat lijkt mij ook het probleem, het instellen van een password manager (zeker de ingebouwde varianten van icloud/chrome/firefox etc) is extreem makkelijk (en bijna automatisch via popups).
Als dat al niet tot nauwelijks gebruikt wordt dan lijkt het me sterk dat dit wel succesvol wordt. Naast de popups (die nu al bestaan voor wachtwoorden) moet er ook nog uitleg zijn hoe je op een ander apparaat kunt inloggen.
Technisch is het wel mooi, eigenlijk gewoon zoals SSH keys maar dan voor websites. (En een sync-systeem voor je keys). Veilig natuurlijk, maar er is een reden dat zelfs met SSH veel mensen uit gemak username en password gebruiken
Het is voor de niet technische mensen allemaal te veel gedoe.
Voor de wel technische mensen is het anders ook niet al te duidelijk. Ik vind dit een zeer vaag, om niet te zeggen slecht artikel. Ik ben best technisch, maar bij de header 'Wat is een passkey?' verwacht ik toch echt uitleg over wat een passkey is, geen herhaing van wat er mis is met wachtwoorden, gevolgd door een onleesbare zin over 'aangesloten bedrijven' en waar dan wel of niet 'credentials' gegenereerd worden. wtf??
Ik ga er niet in mee dat het zo is. Zodra er iets wat lijkt op een computer bij komt kijken vliegt bij die mensen de handrem erop, want wat ze dan moeten doen is ineens "te technisch".
Kijk, laat ik ook wat water bij de wijn doen, er zijn echt wel mensen die het concept van een wachtwoordmanager echt niet kunnen begrijpen. Dat zijn de mensen die sowieso geen benul hebben van hoe een computer werkt, die zijn veelal erg oud en die kunnen met het hele apparaat niet omgaan.
Maar er zijn hele volksstammen die prima gebruik kunnen maken van een computer, al eeuwen een smartphone hebben en echt wel de digitale vaardigheid hebben om een wachtwoordmanager te gebruiken. Daar is het "te technisch" gewoon een smoes.
Edit: Ten dele is het misschien ook wel aangepraat hoor. Ze horen die smoes tenslotte ook van anderen, maar bij deze mensen is "te technisch" een soort mantra geworden dat eruit klapt als het ze net ff teveel moeite lijkt.
[Reactie gewijzigd door Patriot op 23 juli 2024 05:26]
:strip_exif()/i/2005930508.jpeg?f=imagegallery)
:fill(white):strip_exif()/i/2005930506.jpeg?f=imagemedium)
De specifieke implementatie van publickeycryptografie bij passkeys werkt op basis van de FIDO2-standaard. FIDO2 is een verzamelnaam van twee protocollen: WebAuthn en CTAP2. Websitebouwers gebruiken WebAuthn om de sleutelverificatie uit te voeren. CTAP2, wat staat voor Client to Authenticator Protocol 2, ligt aan de basis van de communicatie tussen fysieke hardware, zoals een telefoon, securitykey of laptop, en de software die gebruikt wordt om in te loggen. Als je van al die afkortingen in de war raakt: geen zorg. We hebben de verschillen en hoe ze werken vorig jaar al in 
:strip_exif()/i/2005930514.jpeg?f=imagegallery)
:strip_exif()/i/2004677808.jpeg?f=fpa)
/i/2004611194.png?f=fpa)
/i/2004761386.png?f=fpa)
:strip_exif()/i/2004606170.jpeg?f=fpa)
/i/2005685526.png?f=fpa)
:strip_exif()/i/2005670088.jpeg?f=fpa)
/i/2005816030.png?f=fpa)
:strip_exif()/i/2005500190.jpeg?f=fpa)
/i/2004646818.png?f=fpa)
/i/2005017354.png?f=fpa)
:strip_exif()/i/2005393580.jpeg?f=fpa)
/u/637028/crop67b9e0abb6ed1_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/21673/crop65674aee06c6d_cropped.jpg?f=community){kind=small}
/u/70160/herko-icon.png?f=community){kind=icon}
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community){kind=small}
/u/89414/crop601ef6957a87f_cropped.png?f=community){kind=small}
:strip_exif()/u/157156/crop632ad2bb69b46_cropped.gif?f=community){kind=small}
/u/3447/crop64602bcd911af_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/344090/crop5de9fd2d9c9da_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/145751/check-in-minion-small2.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/132250/d1ca484677dbb1382705e67689809639.jpeg?f=community){kind=small}
/u/34556/welles60x60.PNG?f=community){kind=small}
/u/286895/icon1.png?f=community){kind=small}
:strip_icc():strip_exif()/u/152942/Ch_03_Ganesha5_icon.jpg?f=community){kind=icon}
/u/375226/crop62effc38c6e6e.png?f=community){kind=small}
:strip_icc():strip_exif()/u/120189/crop60be483cd8a94_cropped.jpg?f=community){kind=small}
:strip_exif()/u/164595/crop65a5203ef165d_cropped.webp?f=community){kind=small}
:strip_icc():strip_exif()/u/1743468/crop666ec799b4ae1_cropped.jpg?f=community){kind=small}
/u/94596/crop643fb12fd4e6d.png?f=community){kind=small}
:strip_icc():strip_exif()/u/92809/crop577f58c1b8795.jpeg?f=community){kind=small}
Ik zie mezelf dit nog niet gebruiken. Nu niet en over 10 jaar nog steeds niet.
:strip_icc():strip_exif()/u/348588/crop607373081ef34_cropped.jpg?f=community){kind=small}
/u/176086/crop5f0823fa5e8d6_cropped.png?f=community){kind=small}
))
:strip_icc():strip_exif()/u/161314/1285883144966.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/177406/crop5ca60c3b4a6c7_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/149215/maillist.jpg?f=community){kind=small}
/u/12607/crop5fa30891b335d.png?f=community){kind=small}
:strip_exif()/u/464616/wvo-porsch-gif.gif?f=community){kind=small}
/u/469853/us_eagle.png?f=community){kind=small}
/u/52005/NagtegaalDG.png?f=community){kind=small}
:strip_icc():strip_exif()/u/41502/breezah.jpg?f=community){kind=small}
/u/1897540/crop63b69df339e27.png?f=community){kind=small}
/u/416158/crop5dd29666d9447_cropped.png?f=community){kind=small}
:strip_exif()/u/54579/Static.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/1768442/crop633c791419e5d_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/53780/rsz_o-giant-rubber-duck-570.jpg?f=community){kind=small}
:strip_exif()/u/217171/avatar60.gif?f=community){kind=avatar}
/u/230062/crop5eb8fae60f99e_cropped.png?f=community){kind=small}
:strip_exif()/u/295799/cryava.gif?f=community){kind=small}