Inlogproblemen met security keys in Firefox 149
In situaties waar meerdere security keys geldig zijn, kunnen gebruikers van Firefox 149 harde crashes ervaren bij het inloggen op KeyHub. Dit wordt veroorzaakt door een op 24 maart 2026 geïntroduceerde bug in Firefox.
Wat gaat er mis?
De crash ontstaat in de WebAuthn-implementatie van Firefox 149. Bij het opvragen van credentials in combinatie met de PRF-extensie (Pseudo-Random Function) gaat Firefox de mist in bij de iteratie over de meegeleverde keys, specifiek wanneer er twee of meer entries in de evalByCredential map staan. Dit triggert een MOZ_RELEASE_ASSERT en leidt tot een onmiddellijke crash van de browser.
Het probleem ligt niet aan de data die KeyHub meestuurt, maar aan een iteratiefout in de code van Firefox. We hebben de exacte oorzaak inmiddels bij Mozilla gemeld en aangedragen voor een fix onder Bug #2026688.
Tijdelijke oplossingen
Omdat dit een harde crash in Firefox betreft, kunnen wij dit helaas niet aan de kant van KeyHub opvangen. Totdat Mozilla een patch uitbrengt, raden we de volgende workarounds aan:
- Gebruik tijdelijk een andere browser: Chromium-based browsers (zoals Chrome of Edge) verwerken de WebAuthn-requests wel correct.
- Vermijd (extra) keys of gebruik een TOTP-code: Als je een authenticator app als fallback hebt ingesteld in KeyHub, kun je die gebruiken om in Firefox in te loggen in plaats van je security key.
- Verwijder alle PRF enabled security keys van je KeyHub account om een crash te voorkomen of;
- Registreer maximaal 1 security key voor je KeyHub account om een crash te voorkomen of;
- Schakel CTAP2 uit in Firfox. Typ about:config in de adresbalk en accepteer het risico. Zoek naar verander de waarde van security.webauthn.ctap2 naar false. Let op: Dit breekt de ondersteuning voor Passkeys en PIN-prompts op alle websites!