Google: 400 miljoen accounts gebruiken wachtwoordloze inlog met passkeys

Grofweg 400 miljoen Google-accounts hebben sinds de introductie van passkeys in mei van 2022 gebruikgemaakt van de techniek om in te loggen, ofwel net geen 17 procent van alle Google-accounts. Het wachtwoordalternatief werd volgens de techgigant ruim een miljard keer toegepast.

Google schrijft ter ere van Wereld Wachtwoorddag dit weekend dat het wachtwoordalternatief intussen dagelijks vaker gebruikt wordt voor Google-accounts dan eenmalige wachtwoorden via sms en authenticatieapps. Het bedrijf noemt in het verlengde daarvan verschillende grote bedrijven die de afgelopen twaalf maanden passkeys zijn gaan ondersteunen, waaronder Amazon, 1Password, eBay, WhatsApp en Uber.

Passkeys zijn een relatief nieuwe manier om in te loggen in accounts. Het principe maakt gebruik van publickeycryptografie; er worden twee keys aangemaakt, een public key en een private key. De eerstgenoemde wordt gedeeld met het platform waar het account voor is, terwijl de private key gekoppeld wordt aan een apparaat. Een accountlogin vereist dat deze twee unieke sleutels gekoppeld worden en een kwaadwillende hacker heeft daarom niet genoeg informatie als alleen de public key bekend wordt, bijvoorbeeld bij een datalek of cyberaanval. Door de private key te koppelen aan een biometrische login moet de beveiliging nog beter zijn. Tweakers schreef vorig jaar een achtergrondverhaal over het passkeyprincipe.

Google Play ServicesGoogle Play ServicesGoogle Play Services

Door Yannick Spinner

Redacteur

Feedback • 02-05-2024 17:36
37 • submitter: wildhagen

02-05-2024 • 17:36

37 Linkedin Whatsapp

Submitter: wildhagen

Lees meer

Microsoft voegt passkeyondersteuning toe aan persoonlijke accounts
Microsoft voegt passkeyondersteuning toe aan persoonlijke accounts Nieuws van 3 mei 2024
PlayStation Network krijgt ondersteuning voor passkeys
PlayStation Network krijgt ondersteuning voor passkeys Nieuws van 22 februari 2024
Google introduceert Titan-beveiligingssleutels met ondersteuning voor passkeys
Google introduceert Titan-beveiligingssleutels met ondersteuning voor passkeys Nieuws van 16 november 2023
Bitwarden laat gebruikers passkeys opslaan in zijn wachtwoordmanager
Bitwarden laat gebruikers passkeys opslaan in zijn wachtwoordmanager Nieuws van 2 november 2023
WhatsApp brengt wachtwoordloos inloggen met passkeys uit voor Android
WhatsApp brengt wachtwoordloos inloggen met passkeys uit voor Android Nieuws van 17 oktober 2023
Passkey wordt standaard loginmethode Google-accounts
Passkey wordt standaard loginmethode Google-accounts Nieuws van 11 oktober 2023
Nintendo-accounts krijgen passkeys-ondersteuning voor wachtwoordloos inloggen
Nintendo-accounts krijgen passkeys-ondersteuning voor wachtwoordloos inloggen Nieuws van 22 september 2023
WhatsApp werkt aan ondersteuning voor passkeys
WhatsApp werkt aan ondersteuning voor passkeys Nieuws van 9 augustus 2023
Meer producten en artikelen
Beveiliging en antivirus

Reacties (37)

-Moderatie-faq
37
36
16
2
0
17
Wijzig sortering
PureTryOut
2 mei 2024 17:51
Passkeys klonken heel mooi, maar sinds het lezen van een blog van de auteur van webauthn-rs (een Rust implementatie van de webauth standaard die Passkeys mogelijk maakt) ben ik alle hoop verloren. Het begon zo goed maar het is weer helemaal verpest door de grote bedrijven...
Reageer
nzall
@PureTryOut2 mei 2024 18:31
Na het lezen van dit artikel mijn Microsoft account dusdanig ingesteld dat die opnieuw werkt via mijn authenticator app. Ik was een paar weken geleden overgeschakeld naar passkeys, maar dat werkte toch niet zo goed omdat ik haast elke dag opnieuw "sign in" moest doen in Edge. Dit zou goed kunnen zijn omdat ik 2 Microsoft accounts met passkeys tegelijk gebruik in Edge, in verschillende profielen.
Reageer
ibmpc
@nzall2 mei 2024 18:52
Authenticator wordt volgend jaar phishing resistant! (en is nu al in preview)
Reageer
CodeCaster
@nzall2 mei 2024 19:30
Microsoft heeft de laatste paar weken last gehad van een issue waarbij je telkens opnieuw moest inloggen.
Reageer
Daftman380
@CodeCaster2 mei 2024 22:36
Dit had ik ook.
Heb het bij mezelf opgelost door via Edge Instellingen > Profielvoorkeuren > Automatisch aanmelden bij Microsoft Edge vinkje aanzetten. Stond niet aan. Vraag me af of het vinkje uitgezet is door een update of nieuwe functionaliteit.
Kwam bij de oplossing na veel te diep in een forum te zoeken.
Reageer
julianbtje
@Daftman3803 mei 2024 15:11
veel gewoonlijker is knoopvergelijking encryptie kader bij server extensie van meer belaadbare data
Reageer
Awap
@Daftman3803 mei 2024 18:36
Ah, dit was de oplossing voor mijn inlog probleem, thanks.
Reageer
GertMenkel
@PureTryOut2 mei 2024 19:09
Ik gebruik zelf de passkey support van Bitwarden (op de desktop, mobiel werkt nog niet helaas, en daar moet ik ook een Android-versie voor omhoog). De eerste release had bugs, nu werkt alles helemaal prima. Op mijn telefoon gebruikte ik de ingebouwde webauthn al een tijdje.

Er zullen vast edge cases zijn en niet elke browser is even duidelijk, maar ik heb tegenwoordig geen enkel probleem meer met passkeys. Ik lees vooral problemen van mensen met 2FA-keys die zeer beperkte opslag hebben; dat staat ook op de website gedocumenteerd, maar het lijkt erop dat weinig mensen doorhadden hoe weinig een totaal van iets van 20 keys nou eigenlijk is.

De grootste probleemveroorzakers zijn de websites die meerdere malen per dag je sessie onderuit trappen en je opnieuw laten inloggen. Afhankelijk van je loginflow is dat twee klikken of een QR-code scannen; als mijn browser me met een QR-code presenteerde, zou ik die feature ook uitzetten.

Het grootste probleem waar ik met passkeys tegen aan loop zit hem vandaag de dag nog steeds in de implementatie, en dan vooral die van websites die helemaal kapot gaan van de kleinste edge case. Zo onduidelijk is de API ook weer niet, maar "check of deze optionele feature wordt ondersteund" lijkt voor veel (ook grote) websites toch te hoog gegrepen.
Reageer
Teun!
@GertMenkel2 mei 2024 23:02
Ik gebruik ook Bitwarden. Extension op firefox lijkt goed te werken (getest met extra google account) maar op Android nog niet. Hoop dat de native app dit wel gaat supporten.

[Reactie gewijzigd door Teun! op 3 mei 2024 04:21]

Reageer
desalniettemin
@Teun!2 mei 2024 23:44
Ik ook Bitwarden extension in Firefox. Beveiligd met een passphrase.
Reageer
De_Daapse
@desalniettemin3 mei 2024 10:24
Dus als ik het goed begrijp heb jij je passkeys beveiligd met een wachtwoord?
Reageer
desalniettemin
@De_Daapse3 mei 2024 12:50
Ja. Met 2 factor authenticatie. Niet goed?
Reageer
Sando
@GertMenkel3 mei 2024 00:54
KeePassXC ondersteunt ook passkeys. Heb het nog niet geprobeerd, want ik hoor in het algemeen veel negatieve dingen over passkeys.
Reageer
GertMenkel
@Sando3 mei 2024 08:41
Ik moet eerlijk zeggen dat ik zelf niet de beste ervaringen heb met KeePassXC als wachtwoordmanager, maar ik zal eens kijken hoe goed hun passkeysupport is. De kwaliteit zal staan en vallen bij hoe goed de browserextensie is.
Reageer
nimmer
@PureTryOut2 mei 2024 21:40
Hij raad passwords met bitwarden aan, waarom dan niet passkeys op bitwarden : \ je wordt gewoon geshaft door apple & google, das niet echt wat nieuws
Reageer
Sando
@PureTryOut3 mei 2024 00:53
Heb je ook een TL;DR van het lange blogartikel waar je naar linkt?
Reageer
RobertMe
2 mei 2024 17:52
een kwaadwillende hacker heeft daarom niet genoeg informatie als alleen de public key bekend word
Sterker nog, een public key mag perfect public zijn, en mag je gewoon rondstrooien.

De authenticatie is dat de website een willekeurige stukje tekst naar de browser stuurt, vervolgens versleuteld de browser dat (/laat de browser dat versleutelen door bv een YubiKey, of Windows Hello, of Face ID, ... de FIDO2 implementatie dus die door Webauthn wordt aangesproken), en het versleutelde resultaat wordt naar de website gestuurd. De website kan vervolgens dit weer ontsleutelen met de public key waarbij als het goed is blijkt dat dit overeen komt.
En een public/private keypair hoort dan altijd bij elkaar. Iets dat versleuteld is met de private key kan alleen ontsleuteld worden met de public key, en iets dat versleuteld is met de public key kan alleen ontsleuteld worden met de private key.
Reageer
sprankel
@RobertMe3 mei 2024 01:32
Met de public key versleutel je en met de private key decrypt je, het werkt enkel in 1 richting en niet omgekeerd.

Als ik een public key heb van jou en ik wil weten of jij echt bent stuur ik je een versleuteld bericht, als jij mij kan zeggen wat ik gestuurd hebt weet ik dat jij het echt bent.

Als ik een public key van jou heb en ik wil geheim kunnen praten dan genereer ik een geheim wachtwoord en verstuur ik het je in een versleuteld bericht gemaakt met de public key welke jij kan lezen met je private key. Nu weten wij beide het geheim wachtwoord waarop we beide nog een eigen wachtwoord verzinnen welke we combineren met het gedeelde geheim wachtwoord.
Of maw, als je encrypted gaat praten gebruiken we die public key enkel om een gedeeld geheim wachtwoord te delen. De public/private key dienen enkel voor de handshake, niet voor de feitelijke encryptie (we willen namelijk dat elke sessie uniek is)

Immers bekijk het zo, mocht je effectief berichten gaan versleutelen met de private key en mocht je die kunnen ontsleutelen met de private key, iedereen heeft de private key en dus iedereen zou zomaar dat bericht kunnen lezen.
Reageer
Drogo
@RobertMe2 mei 2024 22:39
In geval van public/private encryptie kan alleen de private key decrypten. De public key kan dat nooit.
Reageer
Ceaus
@Drogo2 mei 2024 23:20
?
Reageer
rmulder
@Drogo3 mei 2024 10:58
Dat is onjuist, public en private slaat op het beschikbaar zijn van de sleutels. Beide sleutels kunnen encrypten/decrypten voor de andere. Alleen deel je de private sleutel niet en de public wel, maar ze zijn functioneel identiek.
Reageer
deadinspace
@rmulder3 mei 2024 14:31
Dat is onjuist, public en private slaat op het beschikbaar zijn van de sleutels. Beide sleutels kunnen encrypten/decrypten voor de andere. Alleen deel je de private sleutel niet en de public wel, maar ze zijn functioneel identiek.
Met een public key versleutel je iets, wat je dan met een private key weer kunt ontsleutelen.

Met een private key onderteken je iets, wat je dan met een public key weer kunt verifiëren.

Versleutelen en ondertekenen zijn functioneel andere zaken. Ook de wiskundige stappen die nodig zijn voor beide operaties zijn vaak anders. Bij RSA (lange tijd het meestgebruikte public key cryptosysteem) zijn de wiskundige stappen toevallig hetzelfde, waardoor sommige mensen de concepten met elkaar verwarren.
Reageer
rmulder
@deadinspace3 mei 2024 18:01
Ik reageerde op Drogo die zei 'In geval van public/private encryptie kan alleen de private key decrypten. De public key kan dat nooit.'
Je kunt net zo goed met de private key berichten encrypten die je dan met de public key kan decrypten. In de praktijk gebruik je dan niet omdat er heel veel mensen zijn die de public key hebben.
Maar je weet wel zeker dat het bericht van de eigenaar van de private key afkomt.
Technisch zijn beide keys gelijk qua functionaliteit, wat je met de een encrypt kan je met de andere decrypten. Wat de private key is had net zo goed de public kunnen zijn.

[Reactie gewijzigd door rmulder op 3 mei 2024 18:02]

Reageer
Anck
2 mei 2024 18:20
Afgelopen jaar een paar keer gedacht te beginnen met passkeys. Uiteindelijk niet gedaan en nu ik zie hoe alles weer naar de hand van Google gezet wordt denk ik niet dat het nog gaat gebeuren. Voor pw + totp zijn prima bruikbare open source oplossingen met degelijke ux en zonder lock in. Goed genoeg voor mij.
Reageer
RobertMe
@Anck2 mei 2024 18:31
Er zijn natuurlijk vele oplossingen buiten de big tech. Zowel aan de software kant (Bitwarden bv, ook te gebruiken met Vaultwarden aan de server kant, en dan de Bitwarden app & browser extensie), als aan de hardware kant (YubiKey, maar er zijn ook nog wat oplossingen waar geen "groot bekend merk" achter zit / volgens mij zelfs met open source software en wellicht zelfs open hardware).
Reageer
i7x
2 mei 2024 22:00
Ik gebruik het waar mogelijk. Gewoon in m'n Apple Keychain. Nooit problemen mee. Heb er ook al m'n OTPs ingezet. Ik was even sceptisch, maar het werkt erg goed. Nette integratie en steeds meer support, gelukkig.
Reageer
oef!
@i7x3 mei 2024 00:19
Uit het artikel dat meerdere keren gelinkt is:

Externally there are other issues. Apple Keychain has personally wiped out all my Passkeys on three separate occasions. There are external reports we have recieved of other users who's Keychain Passkeys have been wiped just like mine.
Reageer
Maurits van Baerle
2 mei 2024 17:53
Grappig, ik las toevallig vorige week nog een post over hoe Google echte passkeys in de praktijk de nek om heeft gedraaid. Je kunt waarschijnlijk ook niet partijen met dit soort marktmacht vertrouwen met technologie die macht weer bij de gebruiker neerleggen.
Reageer
- peter -
2 mei 2024 18:05
Ik ben er erg blij mee. Vooral omdat t goed met 1Password nu werkt. Dus ik zit niet in Chrome of MacOS keychain gelocked. Firefox op Android wil nog niet helemaal meewerken met 1Password, maar daar gebruik ik dan specifiek even Chrome. Dat zal ook wel opgelost worden in de toekomst.
Reageer
Malarky
3 mei 2024 03:33
Ik heb met passkeys gespeeld maar begrijp het idee van meerdere apparaten nog niet helemaal. Stel ik heb voor een website een passkey uitsluitend op mijn laptop aangemaakt en die opgeslagen in Bitwarden. Ik doe dat niet met een pincode maar met mijn laptop fingerprint.
Mijn laptop gaat kapot en wordt vervangen. Ik heb nog steeds - dankzij onder andere telefoon - toegang tot mijn Bitwarden.

Hoe log ik dan weer in op die website? De enige passkeys die ik heb in mijn Bitwarden horen bij een kapotte laptop qua fingerprint.

Moet je altijd daarom passkeys voor al je apparaten direct aanmaken?

[Reactie gewijzigd door Malarky op 3 mei 2024 03:39]

Reageer
Demonitzu
@Malarky3 mei 2024 14:46
Een passkey aanmaken die in de cloud gesynced wordt of voor ieder apparaat een aparte passkey aanmaken. In tegenstelling tot wachtwoorden ben je niet beperkt tot slechts één passkey (mits de dienst dit correct implementeert).

En onderzoeken wat de herstelmethodes zijn. Mogelijk dat een herstelcode in noodgevallen uitkomst kan bieden, maar dat zal per dienst verschillen.
Reageer
Bazi
2 mei 2024 19:13
Grofweg 400 miljoen Google-accounts (...)
werd volgens de techgigant ruim een miljard keer toegepast.
Dus elke gebruiker heeft het gemiddeld maar 2,5 keer gebruikt. Dat is nou niet echt veel.
Reageer
stuffie123
2 mei 2024 21:47
Met mijn Microsoft account log ik passwordless in met de authenticator app. Dat werkt prima en lijkt me ook veilig.

Waarom zou ik passkey gebruiken, en kan dat überhaupt wel bij Microsoft?
Reageer
MMaster23
@stuffie1232 mei 2024 23:50
Jep, je kunt gewoon een passkey toevoegen aan je account. Voordeel is dat passkeys met vrijwel ieder modern OS/browser werkt. Ik voeg ze toe aan 1Pass zodat ze ook kunnen roamen.
Reageer
stuffie123
@MMaster233 mei 2024 14:51
Nou ja zeg... net gepost door tweakers:

nieuws: Microsoft voegt passkeyondersteuning toe aan persoonlijke accounts
Reageer
MMaster23
@stuffie1233 mei 2024 16:22
Ja ik zag dat artikel ook maar mijn account heeft dat al veel langer terwijl mijn account niet bijzonder is ofzo. Beetje raar artikel.

Edit: 1pass zegt dat ik de passkey in Nov 2023 heb aangemaakt

[Reactie gewijzigd door MMaster23 op 3 mei 2024 16:24]

Reageer


Om te kunnen reageren moet je ingelogd zijn

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee