Proton: Apple en Google gebruiken passkeys om mensen vast te houden
De manier waarop Apple en Google passkeys hebben geïmplementeerd is een valstrik en alleen bedoeld om mensen in de ecosystemen van de techbedrijven vast te houden, zo stelt Son Nguyen van Proton. Passkeys zouden wachtwoorden moeten vervangen en zijn gebaseerd op de Web Authentication (WebAuthn) standaard. Ze maken gebruik van public key cryptography.
Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd.
Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. "Big Tech heeft passkeys beschouwd als een kans om hun eigen commerciële belangen te dienen in plaats van een tool om universele security te bieden", aldus Nguyen. Zowel Apple als Google maken het niet mogelijk om passkeys te exporteren, wat inhoudt dat gebruikers die opnieuw moeten maken wanneer ze op een andere wachtwoordmanager overstappen. Ook zijn de implementaties 'closed-source'.
"Als je bijvoorbeeld een passkey op je iPhone maakt, is die eenvoudig naar een Mac te synchroniseren, maar heel lastig op een Windowssysteem te gebruiken. Als je probeert om je passkey van een Apple-apparaat op een Android te gebruiken, moet je een qr-code gebruiken. Er is geen automatisch synchronisatie. Dit schepte helaas een precedent dat andere grote uitrollen van passkeys hebben gevolgd", gaat Nguyen verder.
Ook in het geval van Google probeert het techbedrijf mensen vast te houden. Wie op zijn laptop met Chrome een passkey genereert, kan die niet gebruiken binnen de Firefox-browser op zijn smartphone. Daarnaast hanteert Google een omslachtig proces om een third-party wachtwoordmanager te gebruiken voor de opslag van passkeys. "Zowel Apple en Google hebben het zo gemaakt dat als je een passkey aanmaakt, je met hun apps en apparaten moet werken om er gebruik van te kunnen maken. Dit beperkt de mogelijkheden van passkeys en gaat ten koste van hun nut, alleen zodat Big Tech een slotgracht om hun walled garden kan plaatsen."
Euh, ik heb "gewoon" een passkey login op m'n Gmail/Google account i.c.m. m'n password manager.... Inloggen bij Google op m'n iPhone en, in mijn geval, Mac werkt prima. Staan op je iPhone alle instellingen wel goed dat je password manager het device is om mee in te loggen als het gaat om wachtwoorden/passkeys?
Zelf gebruik ik 1Password, maar volgens mij moet Bitwarden dit inmiddels ook kunnen.
Als het wel aan jou had gelegen dan had je het misschien kunnen oplossen ;-)
Dit exacte idee, maar dan volledig opensource, had ik 10 jaar geleden al.
Dit exacte idee, maar dan volledig opensource, had ik 10 jaar geleden al.
Als je even zoekt op "open source passkey" dan komt er trouwens wel degelijk wat tevoorschijn. Het probleem is hier ook niet dat het open source-alternatief niet bestaat, maar dat Google en Apple uitwisseling van sleutels ermee blokkeren, zodat mensen de makkelijke oplossing die het platform kant en klaar aanreikt niet makkelijk meer verlaten. De big tech-bedrijven hebben heel veel handigheid ontwikkeld in het met open standaards en open source ontwikkelen van toepassingen die toch gesloten zijn. Dat is het probleem, en dit is maar één voorbeeld ervan.
Nope. Proton Pass exporteert (encrypted, pgp) super simpel naar json bestand.
Een passkey is totaal niet exclusief voor een van deze tech-giganten.
Een passkey is totaal niet exclusief voor een van deze tech-giganten.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.