Apple voorziet iOS en macOS van support voor third-party passkeys
Apple gaat iOS, iPadOS en macOS voorzien van support voor third-party passkeys. Daardoor kunnen wachtwoordmanager-apps andere passkeys op iPhones, iPads en Macs opslaan. Critici van passkeys waarschuwen al lange tijd voor het risico van vendor lock-in, waarbij gebruikers zijn gebonden aan het platform waarop de passkey wordt gegenereerd. De aankondiging van Apple zou die zorgen mogelijk moeten wegnemen en gebruikers meer vrijheid moeten geven.
Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft en moeten wachtwoorden overbodig maken. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd.
Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan.
Apple laat weten dat het nu mogelijk is om passkeys te synchroniseren via externe providers. Details worden echter niet gegeven. Wachtwoordmanager Bitwarden meldde gisteren in een blog dat het binnenkort mogelijk wordt om passkeys in de Bitwarden vault op te slaan en met andere apparaten te synchroniseren. Verder wordt het in de nieuwste versies van iOS en macOS mogelijk om wachtwoorden en passkeys met een groep contacten te delen, waarbij iedereen in de groep wachtwoorden kan opslaan en wijzigen.
Ergens 'in een cloud' geeft een extra aanvalsvector, het maakt het probleem niet kleiner.
Voorlopig dus nog maar de password manager gebruiken op een OS waar ik nog wel enig vertrouwen in heb...
Nadeel: groter risico op uitlekken van jouw private keys, zowel omdat je afhankelijk bent van de beveiligingsmaatregelen van de derde partij (zie Lastpass debakel), als dat jouw private keys mogelijk op méér van jouw devices staan.
Unieke passkeys per device kan veiliger zijn, maar leidt o.a. tot een grotere administratieve last (onder meer omdat passkeys geen revocation ondersteunen).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.