Security Professionals
- ipfw add deny all from eindgebruikers to any
Passkey (login) de werkelijkheid?
02-12-2025, 14:07 door Anoniem, 11 reacties
Hallo,
Ik zie ineens op diverse platforms dat ik de mogelijkheid om via Passkey in te loggen.
Ik ben erg benieuwd naar de (daadwerkelijke) werking hiervan.
Ik lass dat het passwordless zou zijn, en daarom ook veiliger. (gezien op veiliginternetten.nl)
Ik heb hier grote vraagtekens bij, daar ik niet van mening ben dat passwordless veiliger is. En ook op vele plekken online wordt gezegd dat via Openauth (SSO) dat ook zou moeten zijn.
Ik deel die mening niet, daar men bij single-sign-on, microsoft, google, allemaal via Openauth je een sessietoken krijgt die (zover ik weet) eigenlijk bijna voor onbepaalde tijd is, en dus geen automatische uitlog functie heeft en je sessietoken dus onveranderd blijft.
Hierdoor ben je extra kwetsbaar voor browserhijacks en infostealer (malware) want zodra deze in verkeerde handen komen kan men dus ook zonder enig wachtwoord in je accounts inloggen wanneer men dit op een handige manier doet in combinatie met een anti-detect browser voorzien van andere unieke browser kenmerken zoals systeemtaal, useragent, lettertypes, etc. plus een residential proxy die geografisch niet ver van je eigen geografische ip-adres vandaan is.
Volgens mij is het dan game over en kun je wachtwoord wel veranderen als je vermoed dat er nog iemand gebruik maakt van je account(s) maar dat heeft geen effect omdat je sessietoken (sso) dan gewoon hetzelfde blijft. Daarom altijd eerst uitloggen voordat je een website verlaat waar je bent ingelogd.
Dus nu ben ik erg benieuwd, of dit bij het inloggen via Keypass ook zo zou werken? Want als dat daadwerkelijk zo is, dan ga ik daar ook geen gebruik van maken.
Daarnaast las ik dat het gebruik maakt van een vingerafdruk, gezichtsherkenning of een code. En dat deze dan op je telefoon zouden worden opgeslagen. Waar en hoe worden deze dan opgeslagen op je telefoon?
Ik ben geen fan van google of apple wallet, ik wens graag alle sleutels en wachtwoorden in eigenbeheer te hebben.
Ik begrijp niet waarom ik deze aan een derde partij zou moeten toevertrouwen, ik zie daar absoluut geen meerwaarde van in.
Ik kan wel weer alles geloven wat ze op internet schrijven, maar dat komt vaak niet helemaal over met de werkelijkheid.
Dus hopelijk is hier iemand die wel enige (diepere) kennis heeft van Keypass en bereid is de werking hiervan uit te leggen.
Ik gebruik al jaren KeepassXC, en ik vind het goed werken, met eigen keyboards op de telefoon wat je beschermd tegen clipboard- en keyloggers. En ik heb al mijn wachtwoorden in eigenbeheer, dus niet bij een andere partij die ik zomaar zou moeten vertrouwen. En eigenlijk vind het nog steeds een beetje vreemd dat ik dit bijna nooit door iemand word aangeraden om op een handige manier je wachtwoorden te kunnen beheren en toch voor al je account een ander en sterk wachtwoord te kunnen hanteren.
Ik zie ineens op diverse platforms dat ik de mogelijkheid om via Passkey in te loggen.
Ik ben erg benieuwd naar de (daadwerkelijke) werking hiervan.
Ik lass dat het passwordless zou zijn, en daarom ook veiliger. (gezien op veiliginternetten.nl)
Ik heb hier grote vraagtekens bij, daar ik niet van mening ben dat passwordless veiliger is. En ook op vele plekken online wordt gezegd dat via Openauth (SSO) dat ook zou moeten zijn.
Ik deel die mening niet, daar men bij single-sign-on, microsoft, google, allemaal via Openauth je een sessietoken krijgt die (zover ik weet) eigenlijk bijna voor onbepaalde tijd is, en dus geen automatische uitlog functie heeft en je sessietoken dus onveranderd blijft.
Hierdoor ben je extra kwetsbaar voor browserhijacks en infostealer (malware) want zodra deze in verkeerde handen komen kan men dus ook zonder enig wachtwoord in je accounts inloggen wanneer men dit op een handige manier doet in combinatie met een anti-detect browser voorzien van andere unieke browser kenmerken zoals systeemtaal, useragent, lettertypes, etc. plus een residential proxy die geografisch niet ver van je eigen geografische ip-adres vandaan is.
Volgens mij is het dan game over en kun je wachtwoord wel veranderen als je vermoed dat er nog iemand gebruik maakt van je account(s) maar dat heeft geen effect omdat je sessietoken (sso) dan gewoon hetzelfde blijft. Daarom altijd eerst uitloggen voordat je een website verlaat waar je bent ingelogd.
Dus nu ben ik erg benieuwd, of dit bij het inloggen via Keypass ook zo zou werken? Want als dat daadwerkelijk zo is, dan ga ik daar ook geen gebruik van maken.
Daarnaast las ik dat het gebruik maakt van een vingerafdruk, gezichtsherkenning of een code. En dat deze dan op je telefoon zouden worden opgeslagen. Waar en hoe worden deze dan opgeslagen op je telefoon?
Ik ben geen fan van google of apple wallet, ik wens graag alle sleutels en wachtwoorden in eigenbeheer te hebben.
Ik begrijp niet waarom ik deze aan een derde partij zou moeten toevertrouwen, ik zie daar absoluut geen meerwaarde van in.
Ik kan wel weer alles geloven wat ze op internet schrijven, maar dat komt vaak niet helemaal over met de werkelijkheid.
Dus hopelijk is hier iemand die wel enige (diepere) kennis heeft van Keypass en bereid is de werking hiervan uit te leggen.
Ik gebruik al jaren KeepassXC, en ik vind het goed werken, met eigen keyboards op de telefoon wat je beschermd tegen clipboard- en keyloggers. En ik heb al mijn wachtwoorden in eigenbeheer, dus niet bij een andere partij die ik zomaar zou moeten vertrouwen. En eigenlijk vind het nog steeds een beetje vreemd dat ik dit bijna nooit door iemand word aangeraden om op een handige manier je wachtwoorden te kunnen beheren en toch voor al je account een ander en sterk wachtwoord te kunnen hanteren.
Reacties (11)
02-12-2025, 17:08 door
Anoniem
Zoals ik het begrijp, zit de passkey in je CPU opgeslagen. In het non-volatile geheugen van de TPM (Trusted Platform Module, trusted for whom?).
Als je CPU stuk gaat, en deze de TPM meesleurt in zijn dood, dan kan je nooit meer bij je verloren passkeys.
Hier is wel een oplossing voor gevonden. Je kan via de cloud je passkeys kopiëren naar nieuwe devices in de buurt. Vraag mij niet hoe dat werkt en of dat de voordelen van de passkey niet teniet doet.
Een TPM is in staat een sleutel binnen zichzelf aan te maken. Daar heeft het de mogelijkheden voor. Maar je kan ook op je computer een sleutel maken en die later in de TPM opslaan. Ik denk dat dit is wat er in de praktijk gebeurt zodat je backups kan maken in de cloud (waar het ook handig beschikbaar is voor opsporingsdiensten over de hele wereld).
Als je CPU stuk gaat, en deze de TPM meesleurt in zijn dood, dan kan je nooit meer bij je verloren passkeys.
Hier is wel een oplossing voor gevonden. Je kan via de cloud je passkeys kopiëren naar nieuwe devices in de buurt. Vraag mij niet hoe dat werkt en of dat de voordelen van de passkey niet teniet doet.
Een TPM is in staat een sleutel binnen zichzelf aan te maken. Daar heeft het de mogelijkheden voor. Maar je kan ook op je computer een sleutel maken en die later in de TPM opslaan. Ik denk dat dit is wat er in de praktijk gebeurt zodat je backups kan maken in de cloud (waar het ook handig beschikbaar is voor opsporingsdiensten over de hele wereld).
02-12-2025, 20:24 door
Anoniem
TPN
Dat klopt niet. de TPM chip is een aparte chip op je moederbord.
Door Anoniem: Zoals ik het begrijp, zit de passkey in je CPU opgeslagen. In het non-volatile geheugen van de TPM (Trusted Platform Module, trusted for whom?).
Als je CPU stuk gaat, en deze de TPM meesleurt in zijn dood, dan kan je nooit meer bij je verloren passkeys.
Als je CPU stuk gaat, en deze de TPM meesleurt in zijn dood, dan kan je nooit meer bij je verloren passkeys.
Dat klopt niet. de TPM chip is een aparte chip op je moederbord.
Gisteren, 09:18 door
Anoniem
Door Anoniem: TPN
Dat klopt niet. de TPM chip is een aparte chip op je moederbord.
Door Anoniem: Zoals ik het begrijp, zit de passkey in je CPU opgeslagen. In het non-volatile geheugen van de TPM (Trusted Platform Module, trusted for whom?).
Als je CPU stuk gaat, en deze de TPM meesleurt in zijn dood, dan kan je nooit meer bij je verloren passkeys.
Als je CPU stuk gaat, en deze de TPM meesleurt in zijn dood, dan kan je nooit meer bij je verloren passkeys.
Dat klopt niet. de TPM chip is een aparte chip op je moederbord.
Dat is niet in alle gevallen zo; moderne CPU's (Intel vanaf de 8e of 9e generatie) heeft ook een vTPM, dan ben je niet meer afhankelijk van een aparte module op je moederboard. Ook een van de redenen waarom Windows 11 modernere CPU's vereist.
Gisteren, 09:48 door
Anoniem
Door Anoniem: Dat klopt niet. de TPM chip is een aparte chip op je moederbord.
Zover ik weet kan de TPM als module in je moederbord geprikt worden. Daarna zat de TPM in de chipset van je moederbord en tegenwoordig zit die vaak in de CPU zelf. Zodat je er niet omheen kan als computer gebruiker.
Hij heet ook wel de 'Fritz chip' naar de Amerikaanse senator die hem heeft bedacht. Hij is oorspronkelijk bedoeld als digital rights management. Tegen illegaal kopiëren dus.
Anoniem 17:08
Gisteren, 11:26 door
Anoniem
Dat klopt niet. de TPM chip is een aparte chip op je moederbord.
Dat zal kloppen. Maar de TPM chip is niet verbonden met mijn fysieke Passkey,in mijn geval een USB device met biometrie.
Die laatste factor maakt 'm meer divers dan de meeste passkeys die die factor missen.
Gewoon om de te verwachten generieke statements alvast te de-railen.
Gisteren, 13:37 door
Erik van Straten
Door Anoniem: Dus hopelijk is hier iemand die wel enige (diepere) kennis heeft van Keypass en bereid is de werking hiervan uit te leggen.
Het is KeePass en nee, ik heb geen zin meer.#1337 (om 13:38)
Gisteren, 15:12 door
Anoniem
Door Anoniem: Hallo,
Ik zie ineens op diverse platforms dat ik de mogelijkheid om via Passkey in te loggen.
Ik zie ineens op diverse platforms dat ik de mogelijkheid om via Passkey in te loggen.
Wil je nu weten hoe een Passkey werkt (paswordless login), aangezien je ook schrijft:
Door Anoniem:
[..]Dus nu ben ik erg benieuwd, of dit bij het inloggen via Keypass ook zo zou werken?
[..]Dus nu ben ik erg benieuwd, of dit bij het inloggen via Keypass ook zo zou werken?
Of bedoel je Passkey in plaats van Keypass, aangezien je verderop ook schrijft:
Door Anoniem:
Ik gebruik al jaren KeepassXC [..]
Ik gebruik al jaren KeepassXC [..]
Verwarrend al die verschillende terminologie. Als jij al niet precies weet wat je wil eten, hoe moeten wij daar dan op antwoorden?
Aangezien Erik geen zin meer heeft:
https://www.pivotpointsecurity.com/podcasts/episode-149-unlocking-the-future-passkeys-and-passwordless-authentication/
Gisteren, 16:00 door
Anoniem
Ja advies dus Passkeys gebruiken
ENZ ENZ
Zoveel mogelijk
Als het mogelijk is
In combi met 1PassWords
ENZ ENZ
Zoveel mogelijk
Als het mogelijk is
In combi met 1PassWords
Vandaag, 11:01 door
Anoniem
Door Anoniem: Ik lass dat het passwordless zou zijn, en daarom ook veiliger. (gezien op veiliginternetten.nl)
Ik heb hier grote vraagtekens bij, daar ik niet van mening ben dat passwordless veiliger is. En ook op vele plekken online wordt gezegd dat via Openauth (SSO) dat ook zou moeten zijn.
Ik heb hier grote vraagtekens bij, daar ik niet van mening ben dat passwordless veiliger is. En ook op vele plekken online wordt gezegd dat via Openauth (SSO) dat ook zou moeten zijn.
OAuth 2.0 hoeft niet passwordless te zijn. Mijn ouders hebben een gmail account op Thunderbird voor Windows 10 en de computer is superoud. Uit 2011. Deze heeft geen TPM mogelijkheid en toch werkt gmail met Thunderbird daarop.
Als je moet verifiëren in Thunderbird dan krijg je een browservenster met recaptcha's. Daarna zeurt gmail er voor maanden niet meer over. OAuth 2.0 gebruikt cookies en javascript.
https://support.mozilla.org/nl/kb/automatische-omzetting-van-google-e-mailaccounts-n#thunderbird:win10:tb140-esr
Voor Windows Hello is een TPM vereist als je gezicht, vingerafdruk en waarschijnlijk ook pin wilt gebruiken.
Anoniem 17:08
Vandaag, 11:58 door
Anoniem
Hou je wachtwoorden gewoon in eigen beheer, dus zonder derde partijen. Memorize ze en bewaar ze daarnaast ergens veilig offline.
Vandaag, 15:06 door
Anoniem
iedereen vindt weer wat anders. Zo lastig is het. Ik denk dat het vaak iets zegt over de gebruiker zelf. Hoe angstig ben je , hoe achterdochtig.Onzeker of hoeveel vertrouwen heb je. Het beste is natuurlijk wanneer je dat gevoel hebt op basis van feiten.
Zoals:
Hoe vaak is Bitwarden (of een andere) gehackt? Hoeveel slachtoffers zijn er door het gebruik van wachtwoordmanagers per maand.. Hoe vaak zijjjn KeePass gebruikers de sigaar. (database op usb maar trok de usb eruit zonder te deactiveren, gegevens weg)Hoe vaak verliezen mensen hun papieren lijstje (per ongelijk weggegooid door de werkster, nieuwe wachtwoord fout opgeschreven , was het wachtwoord nu een (hoofdletter Ll1liI of een 0Oo kleine letter per abuirs als grote letter geschreven)
Kortom. gevoelens en feiten........door elkaar geuit op de medium hier.
CONCLUSIE:
Het blijft dus steeds je eigen oordeel zien te vormen in een chaos aan meningen (want dat zijn het vooral denk ik)
Zoals:
Hoe vaak is Bitwarden (of een andere) gehackt? Hoeveel slachtoffers zijn er door het gebruik van wachtwoordmanagers per maand.. Hoe vaak zijjjn KeePass gebruikers de sigaar. (database op usb maar trok de usb eruit zonder te deactiveren, gegevens weg)Hoe vaak verliezen mensen hun papieren lijstje (per ongelijk weggegooid door de werkster, nieuwe wachtwoord fout opgeschreven , was het wachtwoord nu een (hoofdletter Ll1liI of een 0Oo kleine letter per abuirs als grote letter geschreven)
Kortom. gevoelens en feiten........door elkaar geuit op de medium hier.
CONCLUSIE:
Het blijft dus steeds je eigen oordeel zien te vormen in een chaos aan meningen (want dat zijn het vooral denk ik)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?