Door Anoniem: nee, dat zie je heel erg verkeerd. Insgelijks. Door Anoniem: "gewoon lang random password gebruiken" - heeft als risico dat de geheimhouding tijdens invoeren volledig berust bij de TLS sessie waarin het hopelijk ingepakt zit . Ook als je met een passkey inlogt stuurt de server een 1FA plain text cookie (of een ander token) via diezelfde verbinding. Als een aanvaller (en/of Cloudflare) dat in handen krijgt is het ook game over voor je. Ik ben er overigens aan gewend dat als ik met dit argument kom, dat onvoorwaardelijke passkey fanaten schrijven dat cookies buiten de design spec van passkeys vallen. Droom lekker verder met je scope, ik wil veilig inloggen en internetten. Aan sterke schakels aan een ketting met ook zwakke heb ik niets. Door Anoniem: En een slecht ontworpen - of volledig gekraakte site - waar je dat password invoert ziet dus dat password, en slaat het (of de hash ervan) op. Dan is mijn (per account unieke) wachtwoord mijn kleinste zorg, sterker: nul. Mijn grootste zorg is dat ...