Google voorziet Chrome van passkeys voor wachtwoordloos inloggen

[Captain Kirk]

Google heeft aan Chrome ondersteuning voor passkeys toegevoegd waarmee gebruikers zonder wachtwoord op accounts kunnen inloggen. Passkeys zijn een gezamenlijk initiatief van Apple, Google en Microsoft en moeten wachtwoorden overbodig maken. Ze zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken gebruik van public key cryptography.

Gebruikers moeten eerst een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren.

Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan.

Wanneer een gebruiker zijn passkeys niet wil synchroniseren over meerdere apparaten is het nog steeds mogelijk om met passkeys in te loggen op een apparaat waar ze niet zijn opgeslagen. Zo is het bijvoorbeeld mogelijk om met een passkey die op een smartphone is gegenereerd op een website op een laptop in te loggen. Zolang de telefoon in de buurt van de laptop is en de gebruiker de inlogpoging goedkeurt op zijn telefoon, kan er vanaf de laptop op de website worden ingelogd.

Wel kan de betreffende website aanbieden om ook op de laptop een passkey te genereren, zodat de telefoon de volgende keer niet nodig is om in te loggen. Afgelopen oktober voegde Google al ondersteuning toe voor passkeys in een vroege testversie van Chrome, maar die is nu ook in de release-versie van de browser beschikbaar. Verder laat Google weten dat om passkeys te laten werken, websites wel passkey-support via de WebAuthn API aan hun websites moeten toevoegen.

 

bron: https://www.security.nl