- Joined
- Aug 2, 2016
- Messages
- 36,131
- Points
- 113
Proton: Apple en Google gebruiken passkeys om mensen vast te houden
maandag 8 april 2024, 16:29 door Redactie, 8 reacties
Publicatie van Security.nl
De manier waarop Apple en Google passkeys hebben geïmplementeerd is een valstrik en alleen bedoeld om mensen
in de ecosystemen van de techbedrijven vast te houden, zo stelt Son Nguyen van Proton.
Passkeys zouden wachtwoorden moeten vervangen en zijn gebaseerd op de Web Authentication (WebAuthn) standaard.
Ze maken gebruik van public key cryptography.
Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren.
De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of
app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die
bij het inloggen wordt verstuurd.
Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key
te verifiëren. "Big Tech heeft passkeys beschouwd als een kans om hun eigen commerciële belangen te dienen in plaats van
een tool om universele security te bieden", aldus Nguyen. Zowel Apple als Google maken het niet mogelijk om passkeys te
exporteren, wat inhoudt dat gebruikers die opnieuw moeten maken wanneer ze op een andere wachtwoordmanager
overstappen. Ook zijn de implementaties 'closed-source'.
"Als je bijvoorbeeld een passkey op je iPhone maakt, is die eenvoudig naar een Mac te synchroniseren, maar heel lastig op
een Windowssysteem te gebruiken. Als je probeert om je passkey van een Apple-apparaat op een Android te gebruiken, moet
je een qr-code gebruiken. Er is geen automatisch synchronisatie. Dit schepte helaas een precedent dat andere grote uitrollen
van passkeys hebben gevolgd", gaat Nguyen verder.
Ook in het geval van Google probeert het techbedrijf mensen vast te houden.
Wie op zijn laptop met Chrome een passkey genereert, kan die niet gebruiken binnen de Firefox-browser op zijn smartphone.
Daarnaast hanteert Google een omslachtig proces om een third-party wachtwoordmanager te gebruiken voor de opslag van
passkeys. "Zowel Apple en Google hebben het zo gemaakt dat als je een passkey aanmaakt, je met hun apps en apparaten moet
werken om er gebruik van te kunnen maken. Dit beperkt de mogelijkheden van passkeys en gaat ten koste van hun nut, alleen
zodat Big Tech een slotgracht om hun walled garden kan plaatsen."