Google voorziet Android en Chrome van passkeys voor wachtwoordloos inloggen

[Captain Kirk]

Google heeft support voor passkeys aan Android en Chrome toegevoegd waardoor gebruikers straks zonder gebruikersnaam en wachtwoord op hun accounts en apps kunnen inloggen. Ook een tweede factor zoals sms-code, one-time password of push-bevestiging is dan niet meer nodig. Alleen een biometrische controle, pincode of ontgrendelingspatroon van het apparaat waarmee wordt ingelogd is voldoende, zo heeft het techbedrijf aangekondigd.

Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft en moeten wachtwoorden overbodig maken. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography. Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen.

Het toestel van de gebruiker genereert een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Voor het inloggen met een passkey moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld.

Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. Wanneer een gebruiker zijn passkeys niet wil synchroniseren over meerdere apparaten is het nog steeds mogelijk om met passkeys in te loggen op een apparaat waar ze niet zijn opgeslagen. Zo is het bijvoorbeeld mogelijk om met een passkey die op een smartphone is gegenereerd op een website op een laptop in te loggen.

Zolang de telefoon in de buurt van de laptop is en de gebruiker de inlogpoging goedkeurt op zijn telefoon, kan er vanaf de laptop op de website worden ingelogd. Wel kan de betreffende website aanbieden om ook op de laptop een passkey te genereren, zodat de telefoon de volgende keer niet nodig is om in te loggen.

"Omdat passkeys gebonden zijn aan een website of app, zijn ze veilig voor phishingaanvallen. De browser en het besturingssysteem zorgen ervoor dat de passkey alleen is te gebruiken bij de website of app die ze heeft gegenereerd. Dit maakt de gebruiker niet langer verantwoordelijk voor het inloggen op de echte website of app", aldus Google.

Het techbedrijf stelt dat passkeys het niet mogelijk maken om gebruikers of apparaten tussen websites te volgen, aangezien er voor elke website een passkey wordt gegenereerd. Ook wordt de biometrische informatie niet gedeeld met de app of website waarop wordt ingelogd. Verder worden de passkeys versleuteld op het toestel opgeslagen. Passkeys zijn nu beschikbaar in de bètaversie van Google Play Services en een vroege testversie van Chrome. Later dit jaar komen passkeys beschikbaar in "stable" versies van Android en browser.

 

bron: https://www.security.nl