Om nog te zwijgen over banking apps, waar je bij de meeste banken gewoon alles mee kunt doen. Veel geluk om aan mensen met een oudere iPad (zonder usb-c of NFC) uit te leggen hoe ze dat moeten doen. Dan moet je al naar een TOTP hw token gaan (wat je dus eigenlijk ook gewoon in een authenticator app kunt doen), en dat is gewoon weer een code dat mensen kunnen doorgeven en/of een andere TOTP authenticator app linken...
FIDO2 Security keys met allerhande "oudere" form factors (lightning, USB A x.0) zijn toch easy beschikbaar? USB-C of NFC is totaal geen vormvereiste, en FIDO2 (eventueel via passkeys van apple/google/windows eco) is ook relatief backwards compatible met oudere devices, WebAuth is ondersteund
since iOS 13.3, non-issue imo.
Quite frankly en ik probeer het objectief te bekijken vanuit een pov van mensen die niet echt dagelijks met tech bezig zijn; security keys zijn procesmatig toch echt niet moeilijker dan de huidige k*t systemen, eerder het tegenovergestelde en gebruiksvriendelijker, afgezien van app biometrics (maar meer daarover down below)
- Je moet niks updaten.
- Water resistant (zelf zout water resistant, also tried & tested
)
- Kan niet zonder power vallen of batterij plat zijn.
- back-up via 2de key (kan je over discussieren sure)
TOTP onder welk vorm dan ook, token of app,
is net wat je wil vermijden, dat is super vatbaar voor huidige MITM en de huidige phishing plaag, net als itsme.
FIDO2 is daar niet onderhevig aan, sterker nog als je er toch intuimelt, dan ben je nog veilig, net door die domain-binding, dat is net de sterkte!
Het eerste deel van je post spreekt het 2e tegen
Want jij verwacht wat jij als veiliger aanziet en kijkt enkel naar wat jij denkt dat de phising aanvallen zijn, maar in het eerste deel van je post zeg je dat je zelfs met jouw voorstel niet tegen alles kunt beveiligen.
Ik spreek mezelf echt niet tegen, FIDO2 vs itsme, kaart terminals, TOTP, text OTP, werken uiteraard allemaal op authentication layer.
De voorbeelden dat ik gaf in navolging van jou quote of was het dee i.e. malicious browser extensies, access tot iemands device en sessie capturing, dan zijn zitten we al in
de phase "post-authentication", dan ben je al binnen bij wijze van spreken en kan je info halen uit browser memory voor het encrypted wordt.. Daar komt FIDO2 uiteraard niet in tussen.
Het domste wat EU in functie daarvan kan doen en waar ze nu mee bezig zijn is bv. vendors als Apple verplichten om andere stores toe te laten in hun iOS, Apple behield nog een bepaalde standaard qua vereisten wat ze toelaten in tegenstelling tot android, als ze dat verplichten gaan de thresholds naar beneden en gaat de box van pandora open imo.
Simpeler is subjectief. Ik denk dat heel veel mensen liever voor de banking app op hun smartphone gewoon biometrics gebruiken en voor webbanking itsme/banking app op hun smartphone gebruiken dan een hw yubikey altijd binnen bereik te moeten hebben. Dit omdat velen dit gewoon op smartphone/tablet doen of als ze webbanking gebruiken hun smartphone wel in de buurt hebben.
Biometrics is op dat vlak eigenlijk niet zot veel veiliger, makkelijk sure, maar dat is geen end-to-end process in tegenstelling tot FIDO2,
het is voldoende dat iemand wat zit te shoulder surfen je code ziet, je telefoon steelt, zijn face erbij steekt als valid face en hij is binnen in je bankapp, want biometrics worden lokaal verwerkt.
En dat is niet super ver gezocht, true story, gebeurd bij een vriendin.
Uiteindelijk is je geld veilig bij de bank, zo simpel is het. Als er een niet-toegestane transactie gebeurd is dan krijg je je geld terug. Het probleem stelt hem als klanten zelf iets doen waardoor ze fraudeurs toegang geven. En dan ligt de verantwoordelijkheid in mijn ogen ook niet bij de bank.
Het antwoord is uiteindelijk wat hier al meermaals gezegd is: de zwakste schakel is en blijft de mens. En daar kan niemand tegen beveiligen.
Niemand geeft bewust* toegang tot zijn bankrekening aan wildvreemden, dat is net de
belangrijke nuance die handig genegeerd wordt imo. Zijn toch genoeg verhalen van mensen, die iets ofwat genoeg mentale capaciteiten worden toebedeeld, en die er ook voor gevallen zijn.
Vroeger toen de dieren nog spraken, en er nog geen online banking websites waren moesten de mensen naar kantoor voor zowat alles, zoals hier in Azië. Dan ging er ook gene wildvreemde met u mee naar den teller en maakte hij je rekeningen leeg terwijl je er los bijstond, want da is zowat het equivalent van huidige fenomeen van wat jij noemt toegang geven, toch?
Uiteraard zal de mens altijd de zwakste schakel blijven in security, maar dat is net de sterkte van FIDO2, het reduceert het risico dat de menselijke factor authenticatie ondermijnt door bv. MFA fatigue "
significant" in vrgl met TOTP, ITSME, etc. Snap niet hoe je dit wil naast je neerleggen tbh, de voordelen outweighen de nadelen by far
edit: Wise & Revolut zouden trouwens FIDO2 sec keys ondersteunen, heb het met 1 van beide geprobeerd, maar is nog een issue met hun fallback procedure imo i.e. het geeft geen verplichte priority aan je sec key als je dat keypair geregistreerd hebt, je kan dus gewoon in de inlogprocedure een andere minder veilig MFA methodes selecteren, ma bon dan schiet je een beetje het doel voorbij natuurlijk. Idealiter zou zijn: log je een keypair via passkey/sec key, krijgt dit prio en kan je ander MFA methodes deactiveren, en in geval van issues met je key/passkey, kan je recoveren via meer traditionele KYC procedures ofzo.
) Zo iemand heeft echt wel betere dingen te doen.
) door o.a. itsme maar ook andere aanmeldopties.... Zoals in het HLN artikel staat dat hier eerder al gepost was, zijn 60% van de phishing aanvallen telefonisch en mensen die dan bepaalde acties ondernemen en/of codes doorspelen. Dus als dat uw voorbeelden van "zowat 99% phishing crap" zijn, zit je er heel ver naast.
