Passkey support

Een wachtwoordloos inlogsysteem (zoals passkey/fido2) zou mooi zijn, dat is veilger en makkelijker in het gebruik.

Graag breng ik dit nog een keer onder de aandacht. Niet alleen goed voor de beveiliging maar ook iets wat goed bij onze doelgroep en interesses past volgens mij.

Mee eens dat dit goed is voor de beveiliging en ook past bij de doelgroep. We hebben hier een ticket voor op onze backlog staan om te bekijken hoe we dit op Tweakers ook kunnen ondersteunen.

ikloon schreef op maandag 8 juli 2024 @ 10:50:
Mee eens dat dit goed is voor de beveiliging en ook past bij de doelgroep.

De doelgroep gebruikt ook bovengemiddeld Yubikeys, dus ondersteuning voor meerdere passkeys zou praktisch zijn

Jaaa, hier nog een passkey fan!

Graag implementeren

ikloon schreef op maandag 8 juli 2024 @ 10:50:
Mee eens dat dit goed is voor de beveiliging en ook past bij de doelgroep. We hebben hier een ticket voor op onze backlog staan om te bekijken hoe we dit op Tweakers ook kunnen ondersteunen.

Thanks voor de reactie. Mocht er nieuws zijn, mogen we hier dan een update?

Voordat jullie er veel tijd en geld in gaan steken...
Ik hoor van enkele mensen om me heen die het zijn gaan gebruiken veel frustratie over het hele ecosysteem rond passkeys.

Voor podcast liefhebbers: Security Now episode 972 getiteld: Passkeys: A Shattered Dream?
https://www.grc.com/securitynow.htm#972

@ikloon Is dat zo lastig dan om Passkey support in te voeren voor een website? Je zou toch zeggen dat een goede website bouwer daar wel uit kan komen?

Martijntjeh schreef op donderdag 30 januari 2025 @ 22:54:
@ikloon Is dat zo lastig dan om Passkey support in te voeren voor een website? Je zou toch zeggen dat een goede website bouwer daar wel uit kan komen?

Het zijn de nodige systemen die dan op de schop moeten inderdaad, dat kan wel veel implicaties hebben inderdaad. Daarnaast zijn er ook andere overwegingen die gemaakt worden. Hoewel passkeys bij ons als doelgroep voor de website passen, zit er ook een kosten aspect aan natuurlijk; wat levert het Tweakers vooral op, naast blije gezichten van gebruikers?

Nu wil ik niet beweren dat er alleen daarop gefocust wordt, Maar een investering dat zichzelf wel terugverdient, komt nu eenmaal sneller / hoger op de backlog.

Zeker, vooral als het gemakkelijk(er) te implementeren is. Maar ik vrees dat dat wat minder het geval is.

Martijntjeh schreef op donderdag 30 januari 2025 @ 22:54:
@ikloon Is dat zo lastig dan om Passkey support in te voeren voor een website? Je zou toch zeggen dat een goede website bouwer daar wel uit kan komen?

Ik weet niet of je het zo bedoelde, maar ik vind de manier waarop je dit schrijft denigrerend overkomen; alsof we geen goede websitebouwer zouden zijn. Laat ik er maar even vanuit gaan dat je het zo niet bedoelde.

Het is natuurlijk veel meer dan ondersteuning voor iets. Hoewel we met TOTP een belangrijke eerste stap hebben gezet (te weten, het kunnen "onderbreken" van de login-flow) is het nog een beste klus om Passkeys aan te bieden omdat deze weer helemaal iets anders verwachten van de login-flow. Daarnast is er nog het stuk UX waar we goed over na moeten denken voor de login-flow, registratie-flow en beheren van je passkeys, maar ook bijvoorbeeld procedures aanpassen wanneer iemand niet meer kan inloggen en zijn er nog praktische zaken die we moeten bepalen ("migratie" van bestaande accounts, word het mogelijk om wachtwoorden uit te schakelen, dwingen we een bepaalde recoveryflow af, et cetera).

Dit in combinatie met een kleine groep gebruikers die er daadwerkelijk gebruik van gaat maken* maakt de rekensom voor de prioriteit duidelijk: complex + redelijk wat werk + kleine groep gebruikers. Dat wil niet zeggen dat het niet gaat gebeuren, maar wel dat er nu dingen zijn die een hogere prioriteit hebben.

* De vraag naar TOTP was destijds een waarvan we hebben geleerd dat er weliswaar een grote groep is die er potentieel wat aan heeft, maar dat de groep die het daadwerkelijk gebruikt een stuk kleiner blijkt te zijn

i7x schreef op vrijdag 31 januari 2025 @ 00:41:
Dat is wel begrijpelijk. Voor DPG wellicht wel een goede “trial” om zoiets met Tweakers te implementeren. Voor de UX is het niet onwaarschijnlijk dat zoiets op een later moment ook wel van toegevoegde waarde zou zijn op hun andere platforms.

Mooie insteek, deze gedachte was bij mij nog niet opgekomen. Als ik er nu zo even over nadenk, vrees ik echter dat dit nogal beperkt is.

DPG maakt gebruik van een centraal inlogsysteem waar Tweakers geen gebruik van maakt. De dingen waar wij tegenaan lopen en de technische kennis die wij van onze gebruikers mogen verwachten zijn heel anders dan die van de rest van DPG Media. Ik vrees dus dat er weinig te leren is, behalve misschien een paar pointers hier en daar. Fijn dat je zo meedenkt , ik schrijf 'm in elk geval op.

DaFeliX schreef op vrijdag 31 januari 2025 @ 07:44:
[...]

* De vraag naar TOTP was destijds een waarvan we hebben geleerd dat er weliswaar een grote groep is die er potentieel wat aan heeft, maar dat de groep die het daadwerkelijk gebruikt een stuk kleiner blijkt te zijn

Maak er meer reclame voor. Als je het verplicht maakt voor V&A-verkopen of bijvoorbeeld een paar dagen een banner voert op de site met "Hey, wist je dat we 2FA via TOTP ondersteunen? Klik hier om je authenticator in te stellen!" en het gebruik zal omhoog schieten.

CodeCaster schreef op vrijdag 31 januari 2025 @ 08:07:
[...]

Maak er meer reclame voor. Als je het verplicht maakt voor V&A-verkopen of bijvoorbeeld een paar dagen een banner voert op de site met "Hey, wist je dat we 2FA via TOTP ondersteunen? Klik hier om je authenticator in te stellen!" en het gebruik zal omhoog schieten.

Bij aankondigen zien we inderdaad wel het gebruik wat toenemen. En voor V&A levert 't al voordeel op, als je 2FA gebruikt hoef je advertenties niet per e-mail te bevestigen. Voor medewerkers en crew is 2FA sowieso verplicht. Er is altijd wel iemand die alle aankondigingen gemist heeft en 2FA zou activeren als we nu een grote reclamecampagne zouden doen, maar ook een hoop mensen die we mogelijk wel irriteren en er niets mee gaan doen. Er is sowieso een groep mensen die 2FA niet gaat gebruiken, misschien alleen als het verplicht zou zijn.

Als ik voor mijzelf spreek, en zie hoeveel vraag er was voor 2FA, en hoe veel er uiteindelijk gebruik van maakt valt dit toch wel wat tegen. Men moet immers wel enige moeite doen om 2FA in te schakelen, en elke keer dat men inlogt weer een extra stap doen. Ik denk dat deze drempel blijft, zelfs met passkeys, het is immers voor veel mensen eenvoudiger om hun oude flow van gebruikersnaam+wachtwoord te gebruiken (wachtwoordmanager anyone?), dan iets nieuws te moeten instellen - zelfs als je de frictie zoveel mogelijk wegneemt.

DaFeliX schreef op vrijdag 31 januari 2025 @ 08:40:
Men moet immers wel enige moeite doen om 2FA in te schakelen, en elke keer dat men inlogt weer een extra stap doen. Ik denk dat deze drempel blijft, zelfs met passkeys, het is immers voor veel mensen eenvoudiger om hun oude flow van gebruikersnaam+wachtwoord te gebruiken (wachtwoordmanager anyone?), dan iets nieuws te moeten instellen - zelfs als je de frictie zoveel mogelijk wegneemt.

Ik snap de gedachte maar denk dat je de verkeerde conclusie trekt. TOTP maakt inloggen trager en lastiger, hardware keys maken het juist makkelijker en sneller. Als je ook nog een wachtwoord-manager hebt die je moet unlocken dan is het verschil nog goter.

Zie passkeys niet als vervanging van TOTP maar als vervanging van het wachtwoord*.
Als ik op een site wil inloggen hoef ik alleen maar even op het knopje te drukken en soms een pincode of vingerafdruk (afhankelijk van welk device ik gebruik) als 2fa. Dat is typisch minder werk dan mijn wachtwoord-manager unlocken en username/ww te gebruiken, zelfs als mijn passwordmanager helpt bij het invullen.

Dat neemt niet weg dat de meesten nog geen hardware key hebben en dus ook niet zullen overstappen en dat zie ik op korte termijn niet veranderen.

* niet iedereen ziet het zo en veel sites gebruiken het alleen als 2FA maar imho is dat legacy-denken. We beveiligen onze huizen ook met sleutels en dat gaat bij de meeste mensen jarenlang goed en die zijn een stuk minder veilig dan digitale tokens.

CAPSLOCK2000 schreef op vrijdag 31 januari 2025 @ 13:12:
[...]


Ik snap de gedachte maar denk dat je de verkeerde conclusie trekt. TOTP maakt inloggen trager en lastiger, hardware keys maken het juist makkelijker en sneller. Als je ook nog een wachtwoord-manager hebt die je moet unlocken dan is het verschil nog goter.

Zie passkeys niet als vervanging van TOTP maar als vervanging van het wachtwoord*.
Als ik op een site wil inloggen hoef ik alleen maar even op het knopje te drukken en soms een pincode of vingerafdruk (afhankelijk van welk device ik gebruik) als 2fa. Dat is typisch minder werk dan mijn wachtwoord-manager unlocken en username/ww te gebruiken, zelfs als mijn passwordmanager helpt bij het invullen.

Dat neemt niet weg dat de meesten nog geen hardware key hebben en dus ook niet zullen overstappen en dat zie ik op korte termijn niet veranderen.

* niet iedereen ziet het zo en veel sites gebruiken het alleen als 2FA maar imho is dat legacy-denken. We beveiligen onze huizen ook met sleutels en dat gaat bij de meeste mensen jarenlang goed en die zijn een stuk minder veilig dan digitale tokens.

Veel wachtwoordmanagers ondersteunen ook (synced) passkeys, waarmee je gewoon op 1 knop drukt en je bent ingelogd. Dus er is genoeg potentie, ook voor gebruikers die geen hardware key hebben.

@DaFeliX Was zeker niet denigrerend bedoeld. Eerder verbaasd als in ‘Ik had er geen idee van dat passkeys implementeren voor een website zoveel werk was.’ Misschien had ik mijn woorden wat anders kunnen kiezen. Excuus.

Dat gezegd hebbende sluit ik me helemaal aan bij @oohh en @CAPSLOCK2000 dat TOTP inloggen welliswaar veiliger maakt, maar ook wel wat omslachtiger.
Passkeys daarentegen maken het inloggen een stuk veiliger, maar ook een stuk sneller en eenvoudiger.
Persoonlijk zou ik daarom graag zien dat zoveel mogelijk websites passkeys gaan implementeren.

CAPSLOCK2000 schreef op vrijdag 31 januari 2025 @ 13:12:
[...]


Ik snap de gedachte maar denk dat je de verkeerde conclusie trekt. TOTP maakt inloggen trager en lastiger, hardware keys maken het juist makkelijker en sneller. Als je ook nog een wachtwoord-manager hebt die je moet unlocken dan is het verschil nog goter.

Zie passkeys niet als vervanging van TOTP maar als vervanging van het wachtwoord*.
Als ik op een site wil inloggen hoef ik alleen maar even op het knopje te drukken en soms een pincode of vingerafdruk (afhankelijk van welk device ik gebruik) als 2fa. Dat is typisch minder werk dan mijn wachtwoord-manager unlocken en username/ww te gebruiken, zelfs als mijn passwordmanager helpt bij het invullen.

[...]

Wanneer ik passkeys schrijf, bedoel ik ik 'passwordless' login. Anders zou ik harware token 2FA zeggen.

"Hardware keys maken het inloggen trager en lastiger, want je moet steeds op zoek naar je sleutels en ook nog 'ns een vrije poort op je computer vinden. Wachtwoordmanagers staan paraat en komen automatisch omhoog, hoef ik alleen m'n wachtwoord in te voeren".

Ik snap dat het voor jou waarschijnlijk een eenvoudigere manier van inloggen is, maar dat geld niet voor iedereen .

CAPSLOCK2000 schreef op vrijdag 31 januari 2025 @ 13:12:
[...]

Dat neemt niet weg dat de meesten nog geen hardware key hebben en dus ook niet zullen overstappen en dat zie ik op korte termijn niet veranderen.

[...]

Het feit dat er nog weinig mensen zijn met hardware keys (terwijl ze al ruim 10 jaar op de markt zijn) maakt de impact van deze feature minder groot. Uiteraard kunnen we een leuke winactie bedenken, maar het blijft een kleine groep gebruikers, helaas.

Martijntjeh schreef op vrijdag 31 januari 2025 @ 13:51:
@DaFeliX Was zeker niet denigrerend bedoeld. Eerder verbaasd als in ‘Ik had er geen idee van dat passkeys implementeren voor een website zoveel werk was.’ Misschien had ik mijn woorden wat anders kunnen kiezen. Excuus.
[...]

Excuses aanvaard

Martijntjeh schreef op vrijdag 31 januari 2025 @ 13:51:
[...]

Dat gezegd hebbende sluit ik me helemaal aan bij @oohh en @CAPSLOCK2000 dat TOTP inloggen welliswaar veiliger maakt, maar ook wel wat omslachtiger.
Passkeys daarentegen maken het inloggen een stuk veiliger, maar ook een stuk sneller en eenvoudiger.
Persoonlijk zou ik daarom graag zien dat zoveel mogelijk websites passkeys gaan implementeren.

Ik zie persoonlijk liever hardware tokens 2FA, maar ik begrijp je wel