Zo wil Apple wachtwoorden overbodig maken
Passkeys in iCloud Sleutelhanger
· Laatst bijgewerkt:
Passkeys in iCloud Sleutelhanger
De functie is te vinden in iOS 15 en macOS Monterey en staat voorlopig alleen open voor ontwikkelaars. Daarbij wordt een nieuwe WebAuthn-credential vastgelegd in iCloud-sleutelhanger. Apple noemt het een ‘passkey’ en het vervangt een wachtwoord om bijvoorbeeld accounts te maken en in te loggen. In plaats daarvan hoef je nog maar één keer te tikken. Er zijn momenteel al apps waarmee je met bijvoorbeeld Face ID kunt inloggen, maar daarbij gebeurt het maken van het account nog wel op de traditionele manier.
Maak je een account met passkey, dan komt er geen wachtwoord aan te pas. Het enige wat je doet is je vinger of gezicht scannen. Apple regelt het genereren en opslaan van de passkey, zonder dat jij er als gebruiker iets mee te maken hebt. De passkeys zijn end-to-end versleuteld en worden gesynchroniseerd met al je Apple-apparaten via iCloud Sleutelhanger. De inloggegevens blijven bewaard als je Apple-apparaat wordt gestolen of zoekraakt.
Dat er een server aan te pas komt, zal bij sommige mensen misschien argwaan wekken. Waarom is niet alles lokaal? Volgens Apple zijn passkeys echter veiliger dan de meeste inlogmethoden met wachtwoord en tweefactorauthenticatie. Hoe dat zit lees je hieronder.
Waarom wachtwoorden onveilig zijn
Dat zit zo, aldus Garrett Davidson van Apple: een van de grootste voordelen van WebAuthn (de oplossing die Apple wil gaan gebruiken) is dat het publieke/private sleutelparen gebruikt in plaats van gedeelde geheimen. Als je vandaag de dag een wachtwoord invoert, wordt deze onherkenbaar gemaakt met technieken als hashing en salting. Het resultaat is dat een salted hash naar de server wordt gestuurd. Jij en de server hebben dan allebei een kopie van het geheim, ook al is die op de server niet direct leesbaar. Maar het is wel zo dat beide partijen (jij en de eigenaar van de server) verantwoordelijk zijn voor het beschermen van dat geheim.
Waarom passkeys veiliger zijn, volgens Apple
Bij het nieuwe systeem maakt je toestel een set sleutels. De ene is publiek en is met iedereen te delen. De andere is private en is alleen bekend op het toestel zelf. Je toestel deelt deze sleutel nooit met iemand anders, ook niet met een server. Bij het maken van een account genereert je iPhone de twee sleutels en stuurt alleen de publieke sleutel naar de server.
Nu nog een test
Ontwikkelaars kunnen de ondersteuning voor passkeys gemakkelijk inbouwen. Nu werkt het alleen op Apple-apparaten, maar Apple is in gesprek om het ook breder te trekken. Daarvoor worden gesprekken gevoerd met FIDO en het World Wide Web Consortium.
Mocht je met passkeys in iOS 15 aan de slag willen, dan is het goed om te weten dat ze nu nog alleen bedoeld zijn om te testen. Het kan dus zijn dat niet alles werkt en Apple alle passkeys op een gegeven moment weer moet resetten. Als gewone gebruiker heeft het nu ook nog niet zoveel zin om al je wachtwoorden over te zetten, want Apple is van plan om meerdere jaren uit te trekken voor de overstap naar een wachtwoordloze toekomst. Ook andere bedrijven zoals Google en Microsoft zijn ermee bezig.
Voor wie meer wil weten is er de WWDC-sessie ‘Move beyond passwords‘.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Vierde beta van iOS 18.5 en iPadOS 18.5 voor ontwikkelaars nu uit (en derde voor testers) (28-04)
- Gerucht: 'iOS 19 brengt uitgebreide ondersteuning voor externe schermen naar deze iPhones' (24-04)
- Gerucht: 'iPadOS 19 krijgt Mac-achtige menubalk en vernieuwde Stage Manager' (24-04)
- Apple brengt iOS 18.4.1 en meer uit: meerdere problemen opgelost (waaronder een CarPlay-bug) (16-04)
- Gerucht: 'iPadOS 19 wordt meer als macOS dankzij deze drie verbeteringen' (14-04)
En hoe log je nadat je een passkey hebt gegenereerd, met datzelfde account in op bijvoorbeeld een Windows machine?
Kan je de passkey later weergeven?
En is die dan 256 tekens die je dan mag overkloppen?
Of komt er een Windows app voor?
Of wordt het only…
#vraagikvooreenvriend
Het private/public key mechanisme is best wel geniaal.
Alleen de eigenaar van de private key kan bewijzen dat hij/zij eigenaar is van een public key.
De public key is dus zonder risico vrij te verspreiden.
Apple slaat die public key op hun servers op.
En weet bij welk Apple device ze bewijs van het bezit van de private kunnen vragen.
Saillant detail: het private/public key mechanisme is ook de basis van een bitcoin wallet. En laten ze toevallig vorige maand een expert op dat gebied zoeken.
Ik zeg …. Yubikey!
1. Ik zit soms ook in Windows omgevingen
2. PGP is geregeld
3. SSH keys zijn geregeld
4. Wanneer ik mijn iPhone verlies, heb ik nog steeds toegang
5. Geen Apple only oplossing
Als het goed is kun je wachtwoorden van Apple via een plug-in bij bepaalde websites toevoegen.
Saillant detail: public-private-key toepassingen zijn al (heel) oud, 1976 (Hellman, Merkel en Diffie)… niets bijzonders aan. Coin wallets hobbelen er een beetje achteraan.
Hoe aandoenlijk: “De passkeys zijn end-to-end versleuteld “
Wat wordt hier bedoeld? Dat de hele passkey van het begin tot het einde versleuteld is ipv een deel van de passkey. Vragen, vragen vragen…..
Ik zou dit toch met de nodige argwaan willen benaderen. Ook een salted private key kan gecompromitteerd raken. (Je moet alleen het gebruikte zout achterhalen/lekken) Zeker als er al twee (2) eigenaren zijn van een (1) private key. Trouwens, kun je zoiets nog wel een *private* key noemen. Ik zou het eerder een shared key met een commerciële partij welke onder een ander jurisdictie dan het Nederlandse (of Europese) valt willen noemen! Een soort van in Apple en de USA we trust!!
Een goede ontwikkeling, denk ik. Afhankelijk hoe de uitvoering zal zijn want als het alleen voor Apple apparaten te gebruiken is, wat ik wel verwacht, gezien het verloop via de servers van Apple dan hou ik het toch liever bij gebruik van wachtwoorden met een onafhankelijke wachtwoordmanager in eigen beheer. Ondanks dat ik nu wel uitsluitend apparaten van Apple gebruik wil ik mij niet teveel afhankelijk maken van één platform, dat is dan weer een andere kant
@Dirk Kuijt: Ja inderdaad, dat vraag ik me ook af. Ik gebruik nu nog een password manager omdat ik soms op mijn werk moet inloggen en dat is een Windows computer.
@PeliileP: Dat het nu pas gemeengoed begint te worden voor het koppelen van de fysieke wereld aan de online wereld geeft toch juist aan hoe ver Merkle en die andere mannen hun tijd vooruit waren?
IPSec VPN al jaren… dat velen de techniek in detail kennen betekent niet dat het ‘nu gemeengoed’ is..
Zeker. Nu nog een NFC yubikey die meer dan 25 secrets kan opslaan, laten we zeggen 640k geheugen moet meer dan genoeg zijn voor iedereen(*)…. 🤪.
(*) vrij naar Bill Gates
@Dirk Kuijt: Precies. En zekers als je om de zoveel tijd je wachtwoord moet wijzigen