Google lanceert ondersteuning voor bètatoegangssleutels voor Chrome en Android
Big Tech wil het wachtwoord doden en “Toegangssleutels” is de hete nieuwe standaard voor het vervangen van blokwachtwoorden. Toegangssleutels worden ondersteund door Google, Apple, Microsoft en de FIDO Alliance, dus verwacht ze binnenkort overal te zien. iOS heeft de standaard overgenomen in versie 16 en nu rolt Google bètaversies van wachtwoorden uit voor Chrome en Android.
Het wachtwoordargument is dat de wachtwoorden oud en zwak zijn. Computerwachtwoorden werden oorspronkelijk bedacht als een gemakkelijk te onthouden geheim dat mensen in een tekstvak konden typen. Naarmate de behoefte aan meer beveiliging ontstond, ontstonden wachtwoordmanagers om het gemakkelijker te maken om uw wachtwoorden op te slaan en te herstellen. Nu, in plaats van een pakkende zin, is de ideale manier om een wachtwoord te gebruiken, de computer een wilde reeks tekens te laten genereren en dat wachtwoord nooit ergens anders te gebruiken. De revolutie van wachtwoordbeheer is echter een hack die bovenop dat originele tekstvak is gebouwd. We hebben het tekstvak eigenlijk niet meer nodig, en daar komt de wachtwoordstandaard om de hoek kijken.
Een vreemde keuze die Big Tech heeft gemaakt met toegangssleutels, is dat het ding dat uw sleutel doorgeeft aan de website uw telefoon is, niet de wachtwoordbeheerder op welk apparaat u momenteel ook gebruikt. Deze communicatie tussen de telefoon en de client vindt ook niet plaats via internet, zoals tweefactorauthenticatie: het apparaat dat u gebruikt, moet Bluetooth hebben zodat uw telefoon er lokaal mee kan communiceren. Lokale communicatie zorgt ervoor dat willekeurige mensen op internet niet kunnen inloggen op je accounts, maar blokkeert ook sommige desktops.
Google zegt dat wachtwoordpogingen vandaag een “grote mijlpaal” hebben bereikt. Als u zich aanmeldt voor de bètaversie van Play Services, kunt u nu wachtwoordsleutels maken en gebruiken op Android-apparaten, en Chrome Canary ondersteunt nu wachtwoordsleutels voor websites. Google zegt dat stabiele implementaties voor Chrome en Android later dit jaar zullen verschijnen, maar wil dat ontwikkelaars nu beginnen met ontwikkelen.
Google heeft ook enkele details gedeeld over hoe dit zal werken. In de oplossing van Google worden je wachtwoorden opgeslagen in de wachtwoordbeheerder van Google. Een pop-up op uw telefoon vraagt u eerst om een account te selecteren en vervolgens te authenticeren met een soort biometrische methode, zoals ontgrendeling met een vingerafdruk. De telefoon communiceert via Bluetooth met de klant, de browser ontvangt uw wachtwoord en stuurt dit naar de website. (Als de client uw telefoon is, wordt het een stuk eenvoudiger.)
Om de een of andere reden begint het hele proces in het voorbeeld van Google met een QR-code. Ik vermoed dat dit slechts een snelle hack is voor de bèta, maar om de pop-up met het wachtwoord eerst op je telefoon te laten verschijnen, laat Google de computer een QR-code zien en vervolgens scant de telefoon deze. Zoals het geval is met Google Prompt of andere vormen van 2FA, hopen we dat in de toekomst de initiële wachtwoord-pop-up automatisch via internet wordt geopend.
Afgezien van de stabiele releases voor Android en Chrome, is de volgende voor Google een API voor native Android-apps en een Android API voor wachtwoordbeheerders van derden die hierop kunnen worden aangesloten. Google is momenteel aan het opruimen, maar in de toekomst zou dit in verschillende ecosystemen moeten werken, dus een iPhone kan een wachtwoord naar Chrome sturen en een Android-telefoon kan een wachtwoord naar Safari sturen.
Geef een reactie