Passkeys – de wachtwoordmoordenaar van Microsoft, Apple en Google – zijn eindelijk hier

Big Tech heeft jarenlang volgehouden dat wachtwoorddood nabij is. Jarenlang waren die bevestigingen meer dan loze beloften. Wachtwoordalternatieven – zoals drukknoppen, OAUTH eenmalige aanmelding en vertrouwde platformmodules – vertoonden net zoveel bruikbaarheids- en beveiligingsproblemen als ze waren opgelost. Maar nu staan ​​we eindelijk aan de vooravond van een wachtwoordvervanging die echt zal werken.

Het nieuwe alternatief staat bekend als wachtwoordsleutels. Over het algemeen verwijzen wachtwoordsleutels naar verschillende schema’s voor het opslaan van authenticatie-informatie in apparaten, een concept dat al meer dan tien jaar bestaat. Wat nu anders is, is dat Microsoft, Apple, Google en een consortium van andere bedrijven zich hebben verenigd rond één bedrijf standaard wachtwoord Gesponsord door de FIDO Alliantie. Niet alleen zijn wachtwoordsleutels voor de meeste mensen gemakkelijker te gebruiken dan wachtwoorden; Het is ook volledig bestand tegen phishing, credential stuffing en soortgelijke aanvallen op accountovernames.

Maandag, PayPal Hij zei Gebruikers die in de VS zijn gevestigd, hebben binnenkort de mogelijkheid om in te loggen met op FIDO gebaseerde wachtwoorden en lid te worden van Kayak, eBay, Best Buy, CardPointers en WordPress.com als online services die een alternatief voor wachtwoord bieden. In de afgelopen maanden hebben Microsoft, Apple en Google hun besturingssystemen en apps bijgewerkt om wachtwoordsleutels in te schakelen. Passkey-ondersteuning is nog steeds schokkerig. Wachtwoorden die zijn opgeslagen op iOS of macOS werken bijvoorbeeld op Windows, maar het omgekeerde is nog niet beschikbaar. Dit alles moet echter in de komende maanden worden geregeld.

wat precies, zijn wachtwoorden?

Passkeys werken bijna identiek aan FIDO-authenticaties waarmee we telefoons, laptops, computers en Yubico- of Feitian-beveiligingssleutels kunnen gebruiken voor multi-factor authenticatie. Net als FIDO-authenticaties die op deze MFA-apparaten zijn opgeslagen, zijn wachtwoordsleutels onzichtbaar en kunnen ze worden geïntegreerd met Face ID, Windows Hello of andere biometrische lezers die door apparaatfabrikanten worden geleverd. Er is geen manier om cryptografische geheimen te herstellen die zijn opgeslagen in authenticators, behalve door het apparaat fysiek te jailbreaken of het te onderwerpen aan een jailbreak- of root-aanval.

Zelfs als de tegenstander in staat is om het cryptografische geheim te extraheren, moet hij nog steeds de vingerafdruk, gezichtsscan of – bij afwezigheid van biometrische mogelijkheden – de pincode die aan het token is gekoppeld, verstrekken. Bovendien gebruiken hardware-tokens FIDO’s Cross-Device Authentication Flow, of CTAP, die afhankelijk is van Bluetooth Low Energy om te verifiëren dat het authenticatie-apparaat zich fysiek dicht bij het apparaat bevindt dat probeert in te loggen.

Tot nu toe werden op FIDO gebaseerde beveiligingssleutels voornamelijk gebruikt om MFA te bieden, een acroniem voor Multi-Factor Authentication, waarbij iemand naast het juiste wachtwoord een aparte authenticatiefactor moet opgeven. Aanvullende factoren die door FIDO worden geleverd, komen meestal in de vorm van iets dat de gebruiker bezit – een smartphone of computer die de apparaatcode bevat – en iets dat de gebruiker heeft – een vingerafdruk, gezichtsscan of andere biometrische gegevens die het apparaat nooit verlaten.

Tot dusverre waren er weinig aanvallen op het FIDO-conforme ministerie van Buitenlandse Zaken. Een geavanceerde phishing-campagne met referenties die onlangs door Twilio en andere spraakmakende beveiligingsbedrijven is geschonden, mislukte bijvoorbeeld om één reden tegen Cloudflare: in tegenstelling tot andere doelen, Gebruik FIDO-compatibele apparaatcodes die immuun waren voor de phishing-tactiek die door de aanvallers werd gebruikt. De misbruikte slachtoffers vertrouwden allemaal op zwakkere vormen van de MFA.

Maar hoewel hardwaretokens naast een wachtwoord een of meer authenticatiefactoren kunnen bieden, zijn wachtwoordsleutels helemaal niet afhankelijk van een wachtwoord. In plaats daarvan bevatten wachtwoordsleutels meerdere authenticatiefactoren – meestal een telefoon of laptop en het gezicht of de vingerafdruk van een gebruiker – in één pakket. Wachtwoordsleutels worden beheerd door het besturingssysteem van het apparaat. Afhankelijk van de keuze van de gebruiker, kan het ook worden gesynchroniseerd via end-to-end-codering met de andere apparaten van de gebruiker met behulp van een cloudservice van Apple, Microsoft, Google of een andere provider.

Wachtwoorden zijn “vindbaar”, wat betekent dat een geregistreerd apparaat er automatisch een door een versleutelde tunnel naar een ander geregistreerd apparaat kan pushen om in te loggen op een van de locatie-accounts of apps van de gebruiker. Bij het inloggen authenticeert de gebruiker zichzelf met dezelfde biometrische gegevens, apparaatwachtwoord of pincode om zijn apparaat te ontgrendelen. Dit mechanisme vervangt de traditionele gebruikersnaam en wachtwoord volledig en zorgt voor een veel eenvoudigere gebruikerservaring.

“Gebruikers hoeven niet langer elk apparaat in elke service te registreren, wat al lang het geval is voor FIDO (en elke cryptografie met openbare sleutels)”, zegt Andrew Shikiar, CEO en CMO van FIDO. Door ervoor te zorgen dat de privésleutel veilig wordt gesynchroniseerd met de cloud van het besturingssysteem, hoeft een gebruiker zich maar één keer bij een service te registreren en zich vervolgens vooraf voor die service te registreren op al zijn andere apparaten. Dit verbetert de bruikbaarheid voor de eindgebruiker en – zeer aanzienlijk – stelt de serviceprovider in staat om wachtwoordbeëindiging te starten als een middel voor accountherstel en herregistratie.”

Ars recensie redacteur Ron Amadeo Vat dingen goed samen Vorige week toen hij schreef: “Passkeys are just commercie WebAuthn Encryptiesleutels met de site rechtstreeks. Het is niet nodig dat een mens een wachtwoordbeheerder vertelt om een ​​geheim te creëren, op te slaan en te herstellen – dit gebeurt allemaal automatisch, met veel betere geheimen dan het oude ondersteunde tekstvak, en met een uniek uitgangspunt. ”