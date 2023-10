Amazon en WhatsApp hebben ondersteuning voor passkeys toegevoegd, waardoor gebruikers zonder wachtwoord kunnen inloggen. De implementatie van Amazon laat echter te wensen over, zo stelt authenticatie-expert Vincent Delitz. Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. <>/p>

Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren.

Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan.

WhatsApp maakte de support voor passkeys via X bekend. De inlogmethode is vooralsnog alleen beschikbaar op Androidtelefoons met Android 9 of nieuwer. Daarnaast moet een Google-account zijn gekoppeld, schermvergrendeling zijn ingesteld en de nieuwste versie van de Google Play Store zijn geïnstalleerd. Wanneer passkeys voor iOS-gebruikers beschikbaar komt is niet bekend. De feature wordt de komende weken en maanden onder Androidgebruikers van de chatapp uitgerold.

Naast WhatsApp ondersteunt ook Amazon inloggen via passkeys. Er is echter sprake van een matige implementatie, aldus Vincent Delitz, authenticatie-expert en medeoprichter van de Duitse tech start-up Corbado. De webwinkel vereist namelijk voor elk Amazon-domein, zoals Amazon.com of Amazon.de, een aparte passkey. Daarnaast ontbreekt support voor 'Passkey Autofill', wat het juist eenvoudiger voor gebruikers moet maken.

Verder zijn er problemen met de detectie van passkeys op verschillende apparaten, ondersteunt de Amazon-app geen passkeys en moeten ook gebruikers die tweestapsverificatie hebben ingesteld een one-time code invullen, wat volgens Delitz overbodig is, aangezien passkeys standaard al als tweede factor fungeren. Amazon laat tegenover TechCrunch weten dat het nog in de beginfase is van het toevoegen van passkeys aan Amazon.com.