Een passkey is ook een wachtwoord, maar dan een die je zelf niet kent maar de software die je gebruikt wel.
Die sofware kan helaas gecompromitteerd worden.

Het is wel iets meer dan een wachtwoord, eerder vergelijkbaar met een SSH keypair met onder andere de target site embedded; je kunt de passkey maar voor 1 site gebruiken en hij is niet te herleiden vanaf een gestolen hash. Maar perfect zijn ze niet, dat is waar.

Daarom aarzel ik ook om een password manager te gebruiken.
Het is een primair doelwit voor malware en aanvallers, naast dat het een SPOF is. (Single Point of Failure)
Je zou maar na OS herinstallatie de database niet kunnen openen omdat de software niet meer bestaat...

Dat is al sinds de introductie van 2fa zo. Van ieder device waarmee je op hun apps inlogd wordt een identifier aan je profiel toegevoegd. Zo kan bigtech ook traceren hoeveel apparaten er zich in een huishouden bevinden en wie met welk device werkt.
Om dit te vermijden, en om een lockin te vermijden, moet je gewoon een fysieke FIDO/2 compatible USB sleutel gebruiken.
Dan heb je het gedoe niet van softkeys en hoef je ook geen passkey apps te gebruiken. Alleen jammer dat het gebruik van dergelijke sleutels nog steeds niet standaard mogelijk is. Sommige sleutels zijn ook OTP compatibel maar dan wil je eigenlijk niet meer. Windows Hello is overigens ook volledig FIDO/2 compliant. Maar daar heb je als linux gebruiker niets aan. Een standaard FIDO/2 usb sleutel kost hooguit rond 15 a 20 euro en daar moet je er idealiter 2 van hebben (eentje als backup).

Hm... 't zal eens niet draaien om Vendor Lock-in.

Google is er ook zo een. Die zeurt om een passkey als ik af en toe eens wil inloggen op m'n Gnail account via Chromium-browser. Ik verdom dat dus. Ik blijf stug mijn wachtwoord gebruiken.

Daarnaast raakt het mij tot nu niet want alleen met een 'maagdelijke' Firefox die niet is vervuild met NoScript (in Google's visie dus) kan ik bij Google inloggen. Maar omdat ik zowel uBlock Origin en NoScript in Firefox heb draaien is Google een no-way zone, behalve met Chromium-browser dat ik overigens alleen gebruik voor internetbankieren en daarin (Chromium-Browser) helemaal geen extensies gebruik.
P.s.
Als Google - niet onvoorstelbaar - ooit gaat dwarsliggen in Chromium-Browser, kieper ik dat reserve Gnail account eruit.

Je pin is de backup voor als je gezicht en vinger niet werken. Als je pin niet werkt is de backup je wachtwoord. Zo is het nu geregeld.

Je kan niet eindeloos pins blijven proberen. Na een aantal keer blokkeert de TPM je pin voor steeds langere periode. Dus wat is de backup voor je passkey als je geen wachtwoord meer hebt ingesteld? Een kopie van je paspoort? Is dat dan de nieuwe universele inlog methode voor criminelen die altijd zal blijven werken?

En passkeys werken met public key algoritmes. Zijn deze quantum proof of komt er over een paar jaar nog een nieuwe manier van inloggen bij Microsoft Windows na Windows Hello en nu passkeys?

Dan gebruik je een passwordmanager die of online staat of portable is. (1 map met software en data)
Die portable zet je dan op een netwerk-schijf of op een andere lokale partitie dan je OS.
Oud kunstje. Als je niet blind op de OS boeren vertrouwt, maar je device zelf inricht.

Of dat je fido key door de hond opgegeten is, je SIM overgenomen was, TOTP codes toch alleen maar op je telefoon opgeslagen waren.

Je kunt natuurlijk ook een standaard database file nemen, iets met KeyPass bedoel ik hiermee.

Passkeys zijn er omdat mensen simpelweg incompetent zijn met hun OPSEC voor de gene die wel hun OPSEC in orde hebben complete tijdverspilling. De uitzondering hardware tokens er is niks in de wereld op dit moment dat de veiligheid van hardwaretokens verslaat als het op digitale beveiliging aangaat mits men niet social engineering gevoelig is en we enkel kijken naar *inlog* beveiliging niet de achterliggende data beveiliging.


Ik moedig optionele passkey ondersteuning dan ook absoluut aan en ik adviseer het voor leken maar ik neem geen enkel bedrijf serieus dat zegt naar een wachtwoordloze wereld te gaan. Dat betekend namelijk dat we enkel nog domme gebruikers hebben en ik mag hopen dat we *ITers* geen uitstervend ras zijn so to speak. Al heb ik soms mijn ernstige bedenkingen als ik het gezwets van andere in de industrie lees.

Tsja... een Microsoft account... Er zullen vast mensen zijn die vinden dat ze dat 'nodig' hebben... Tsja...

als je Windows hebt wel, want daar dwingen ze je hoe langer hoe meer een microsoft-account te gebruiken.
Plus als je een hotmail-adres hebt. Dat was er al voordat gmail er was.

Op naar de digitale gevangenis, waar je gratis naar binnen kunt, zonder wachtwoord.

Ik heb gewoon een w 11 home ZONDER account. Dat is vrij simpel te verwijderen...Wat wordt er nu bedoeld door de mensen die zeggen dat dat account moet of verplicht is? Ook geen W recall erop trouwens.

Maar wat als je toestel defect raakt. Dan ben je ook de toegang tot je private key kwijt. Hoe gaat het herstellen dan? Via een onveilige methode met een 'one time code" die je eerst via een onveilige methode toegespeeld wordt? (mail, sms)

Of krijg je, zoals bij github, vooraf een lijst met one-time codes die je zelf zeer goed beveiligd moet bewaren voor het geval je de inlogcode kwijt raakt.

Dus als je je telefoon dan kwijt bent (bijvoorbeeld door diefstal), kun je ook je eigen computer niet meer in. Fantastisch idee /sarcasm

Menselijk gedrag is de belangrijkste zwakte in security. Heel logisch dus om die aan te pakken.
Passkeys zijn fantastisch. Zowel in MS Authenticator als met de Yubikeys. Geen geknoei met copy/paste of autofill uit de password manager, geen wachtwoorden te onthouden, geen extra MFA prompts meer.


Ik neem ook aan dat je Yubikeys bedoelt met hardware tokens: Maar dat zijn stiekem Passkeys.

Als je het goed regelt heeft je computer niets met je smartphone te maken.

Fido key moet je wel bij je hebben, en USB toegang hebben.

Nee ik bedoel geen Yubi keys ik bedoel hardware tokens met zero interface mogelijkheid voor andere hardwarewaar dus ook geen sidechannel attacks mogelijk zijn waar je maar met 1 service kan interacten wat banken onder andere vroeger deden.

Ik heb niks aan een yubikey ik heb voor alles apparte inlog informatie ik heb automatisch url en certificaat controle en ik heb een MFA device *lees tweede tel* die ik niet gebruik voor andere doeleinden.

Dat alles voorkomt niet dat ik geen slachtoffer kan worden van een datalek maar daar zit dan ook het hele probleem. De kans dat je zelf de oorzaak bent van een datalek als persoon met kennis in IT is vele male kleiner dan dat data lekt door het bedrijf waar je inlogt want een passkey is phising resistent en that is it. En dat is een oplossing voor een probleem dat ik niet heb.

En het verschil qua impact tussen een passkey, FIDO-2.* en overal andere inlogs is nul comma nul bij een extern datalek. Bij de een revoke je namelijk de key en de andere vervang je je wachtwoord. Maar mijn kosten zijn daar in tegen wel significant lager ik heb geen risico op toegang verlies door fysieke schade aan de key ik hoef het niet firmwarematig te updaten. Het enige dat ik moet doen is weten waar ik inlog en monitoren op datalekken wat je ook hoort te doen met passkeys en that is it.
Zelfs quantum resistentie is geen factor want ik genereer gewoon wachtwoorden van honderd plus karakters waar ik kan en waar ik dat niet kan zijn het diensten waar de waarde van minimaal is.

Dus nee niemand heeft mij tot op heden een solide argument gegeven waarom een ITer ooit zou moeten beginnen aan een passkey opzet vs losse niet hergebruikte wachtwoorden.

Maar ondanks dat dit niet een of andere vage mini-Fork van Linux is, is het gegeven dat Microsoft wachtwoorden wél los laat best te prijzen toch?