Door Erik van Straten: Door Anoniem: nee, dat zie je heel erg verkeerd. Insgelijks. Door Anoniem: "gewoon lang random password gebruiken" - heeft als risico dat de geheimhouding tijdens invoeren volledig berust bij de TLS sessie waarin het hopelijk ingepakt zit . Ook als je met een passkey inlogt stuurt de server een 1FA plain text cookie (of een ander token) via diezelfde verbinding. Als een aanvaller (en/of Cloudflare) dat in handen krijgt is het ook game over voor je. Ja, maar dat heeft 0,0 met passkeys te maken ! Als je met een random password en MFA inlogt, of met een X509 certificaat - zul je typisch OOK een sessie cookie krijgen. Waarom haal je er irrelevante zaken bij ?! "Als je met een passkey inlogt kan iemand die achter je staat alles zien wat je op de website aan het doen bent !" Ik ben er overigens aan gewend dat als ik met dit argument kom, dat onvoorwaardelijke passkey fanaten schrijven dat cookies buiten de design spec van passkeys vallen. Droom lekker verder met je scope, ik wil ...