Google doet zoiets vast omdat ze dan op de een of andere manier meer data kunnen graaien of mensen aan zich kunnen binden. Heb nou niet de illusie dat het ten gunste van de gebruikers is. Die zijn alleen maar een middel.

Vervangt dit twee-factor login? Ik bedoel 2FA met een SMS-code of met een App..

De Chromebook van mijn vriendin heeft geen vingerafdruklezer. Dus ze zal een gezichtsherkenning of PIN moeten gebruiken. Gaat ze leuk vinden als het verplicht wordt (niet). Ze gaat waarschijnlijk haar geboortedatum gebruiken als PIN zoals ik haar ken. Ik heb liever dat een random PIN wordt afgedwongen.

Dat is niet het geval op een Android device indien de eigenaar dat apparaat aan een Google account heeft gekoppeld. Dat apparaat is dan sowieso ingelogd op dat Google account, maar Chrome niet noodzakelijkerwijs.

Als ik met Chrome bijvoorbeeld https://myaccount.google.com/security open terwijl ik uitgelogd ben, volstaat (voor mij) een druk op de knop "Continue as Erik" op het scherm om in te loggen. Overigens zijn er zaken (bijv. opgeslagen wachtwoorden bekijken) waarvoor ik "echt" moet inloggen, waarvoor ik desgewenst de passkey van het device kan gebruiken; op zo'n moment wordt wel om een vingerafdruk (of schermontgrendelcode) gevraagd. Die "betere authenticatie" blijft maar beperkte tijd geldig.

Je zou kunnen argumenteren dat je, voor "standaard authenticatie" op je Google account, sowieso je toestel hebt moeten ontgrendelen met biometrie of veegpatroon/pincode/wachtwoord. Maar, mede afhankelijk van gebruikersinstellingen, kan zo'n sessie zó lang duren dat ondertussen iemand anders (bijv. één van je jonge kinderen) het toestel in handen kan hebben, zelfs al geruime tijd.

Zo'n device passkey is overigens niet terug te vinden in Google Password Manager (waarin passkeys van de gebruiker worden opgeslagen, en die voor synchronisatie zorgt) en is dus per device uniek.

Als ik op mijn iPhone met de passkey voor mijn Google-account wil inloggen, moet ik wel altijd met biometrie of passcode (de iPhone schermontgrendelcode) authenticeren.

Volgens sommigen wel: de private key van een passkey zit in een apparaat dat je in je handen hebt (zodanig dat die private key zelf niet direct toegankelijk is voor de gebruiker en ook niet voor aanvallers) en daarnaast moet je, normaal gesproken, bewijzen dat jij dat apparaat in handen hebt middels biometrie of een pincode.

Een concessie die bij passkeys gedaan wordt (anders dan bij FIDO2 hardware keys) is dat zo'n private key naar andere devices gesynchroniseerd mag kunnen worden.

Dat zeker niet, maar dat soort 2FA is nauwelijks zinvol als die op hetzelfde apparaat ontvangen/gegenereerd als ingevoerd worden.

Ook helpt dat soort zwakke 2FA niet tegen phishing-aanvallen met nepwebsites (bijv. met lijkt-op domeinnaam). Het sterkste punt van passkeys is dat daarmee uitsluitend op een website met een specifieke domeinnaam (en uitsluitend via https) kan worden ingelogd, waamee de meest vóórkomende phishing-aanvallen worden tegengegaan.

Maar als het doel is een wachtwoord te vervangen door een PIN (met 40% sneller inloggen volgens Google), vervang je dan niet iets wat zich bewezen heeft in het verleden, door iets dat zich nog moet bewijzen in de praktijk. Vervang je de ene 2FA niet door de andere? Schoudersurfen lijkt mij een reëel risico bij een PIN omdat je minder tekens moet afkijken als bij een wachtwoord. En we loggen overal zonder na te denken in op onze smartphone als dat ding begint te piepen.

Anoniem 16:55

Nee, het doel is wachtwoorden vervangen door biometrie.

Velen beschouwen een PIN als een noodzakelijk kwaad omdat biometrie soms niet werkt (je niet kunt inloggen omdat bijv. de huid van jouw vinger beschadigd is geraakt of als je een blauw oog geslagen bent). Gemakshalve gaat men er hierbij vanuit dat biometrische authenticatie in alle gevallen zodanig betrouwbaar is dat niemand anders dan jij met die biometrie kan inloggen; bij herhaling is echter aangetoond dat dit, op een deel van de apparaten, niet klopt.

Maar sowieso hebben Passkeys nog te kampen met ernstige kinderziektes; ik hoop daar binnenkort meer over te publiceren.

Klein voorbeeld: op mijn iPhone kan ik, gebruikmakend van Safari, met een passkey inloggen op mijn Google account.

Met Chrome op diezelfde iPhone, kan ik op bijvoorbeeld https://passkeys-demo.appspot.com/ inloggen met een passkey die ik met Safari heb aangemaakt (sterker, ik kan met Chrome onder iOS nu ook passkeys aanmaken voor die site en daarmee inloggen, zowel gebruikmakend van Chrome als Safari).

Met een in Safari aangemaakte passkey voor mijn Github account kan ik, zowel met Safari als Chrome, op dat account inloggen.

Echter, met Chrome (op die iPhone) kan ik niet op mijn Google account inloggen, gebruikmakend van de (met Safari aangemaakte) passkey. Google blaast wel erg hard van de toren.

Ongebruikelijk is ook dat je, bij Google, eerst -tijdrovend- jouw emailadres moet invoeren vóórdat je een passkey kunt gebruiken.

Neem afscheid van Google dat is mijn advies voor deze graaier welke onze privacy totaal niet respecteerd