PASSKEYS, HOE DAN EN WAAROM?
Zojuist heb ik geprobeerd om in https://security.nl/posting/929755 uit te leggen hoe passkeys werken, en wat de voor/nadelen zijn.
Boosten van deze toot wordt gewaardeerd!
#Passkeys #WebAuthn #FIDO2 #Yubikey #Phishing #PhishingResistant #PhishingResistance #InfoSec
🧵1
Draadje met screenshots: passkey aanmaken en gebruiken om in te loggen - gebruikmakend van de KeePassDX als wachtwoordmanager onder Android.
Als eerste moet de app KeePassDX zijn geïnstalleerd (https://play.google.com/store/apps/details?id=com.kunzisoft.keepass.free) en geconfigureerd (dat beschrijven voert te ver voor deze serie toots). Als enige: in de hoofdpagina van de database heb ik "mappen" aangemaakt met als namen "0-9", "ABC", "DEF" etc. om de zaak overzichtelijk te houden (zie de screenshot hieronder).
Daaronder maak ik, per website, een submap aan (met de naam van die website zonder eventueel voorafgaande "www.").
🧵2
Belangrijk is dat KeePassDX correct voor Android AutoFill is geconfigureerd; zie de volgende vier screenshots.
Nb. druk op een screenshot om deze te vergroten. Wat langer drukken geeft de mogelijkheid om een screenshot in een nieuwe browsertab te openen: dat maakt zoomen en scrollen (indien nodig) vaak prettiger.
Helaas kunnen er verschillen bestaan tussen de indeling van de Android instellingen per merk (en mogelijk type) smartphone, ook beïnvloed door de Android versie.
Zelf gebruik ik Android ingesteld op de Engelse taal. Als uw smartphone op Nederlands is ingesteld en u kunt instellingen niet vinden, dan kan het helpen om uw smartphone *tijdelijk* op Engels te zetten.
🧵3
Aanmaken passkey op https://webauthn.io zoals beschreven in https://security.nl/posting/929755 waarbij ik in de screenshots de nummering van de stappen in dat artikel overneem (als zo'n stap uit meerdere handelingen bestaat, gebruik ik bijv. "2.1)" en "2.2)" etc.
Na het scherm in de screenshot linksboven moet ik mijn vingerafdruk aanbieden om toegang te krijgen tot KeePassDX (van dat scherm kan ik geen screenshot maken).
Daarna opent het beginscherm van KeePassDX met de mappen "0-9", "ABC" t/m "VWXYZ". Ik open die laatste. Dan zie ik domeinnamen die met "W" beginnen (hier toon ik geen screenshot van). Ik had al een submap voor "webauthn.io", anders had ik die aangemaakt.
Die submap "webauthn.io" open ik, zodat het passkey record voor "BramDeWolf" daarin aangemaakt kan worden: zie de screenshot linksonder. Daarin is te zien dat ik eerder al een paar (test-) accounts op https://webauthn.io had aangemaakt. In dat scherm druk ik rechtsonder op de groene plus om "hier" de nieuwe passkey aan te maken.
Daarna verschijnt het scherm in de 4e screenshot: hierin zijn details van het nieuwe passkey record te zien. Desgewenst kan ik "Notes" toevoegen of een verloopdatum invullen.
In dat laatste scherm moet ik nog op het groene vinkje drukken om het record op te slaan in de KeePassDX database.
🧵4
Testen van een passkey op https://webauthn.io zoals beschreven in https://security.nl/posting/929755.
Na het drukken op de knop "Authenticate" in de webpagina verschijnt van onderaf een popup. Daarin druk ik op "Continue".
Vervolgens moet ik mijn vingerafdruk aanbieden om de KeePassDX database te openen.
KeePassDX heeft nu zelf alle records voor https://webauthn.io gevonden en toont alle vier de accounts die ik daar nu heb. Ik druk op de regel met het record dat ik het laatst heb aangemaakt: "BramDeWolf".
Daardoor word ik meteen ingelogd op mijn account "BramDeWolf" op https://webauthn.io, gebruikmakend van een passkey.
Het klinkt allemaal wellicht reuze ingewikkeld, maar in de praktijk valt dit reuze mee - en dit gaat heel snel en zonder het toetsenbord nodig te hebben.
VERGEET NIET OM BACKUPS TE MAKEN VAN DE
WACHTWOORDMANAGER-DATABASE!
Erik van Straten