Microsoft kondigt ondersteuning van FIDO2-hardwaresleutels in Windows Hello aan

Microsoft heeft bekendgemaakt dat het met zijn volgende Windows-update, die momenteel bekendstaat als Redstone 4, ondersteuning zal introduceren voor FIDO2-hardwaresleutels om in te loggen met Windows Hello.

Microsoft schrijft dat het met partners heeft samengewerkt aan de implementatie van de standaard van de FIDO Alliance. Die richt zich op open, interoperabele en schaalbare mechanismen die vervanging van wachtwoorden voor authenticatie mogelijk moeten maken. In de blogpost noemt het bedrijf het voorbeeld dat een gebruiker zichzelf authenticeert met een hardwaresleutel van een van zijn partners, waaronder Yubico, HID Global en Feitian. Het spreekt over een pc die deel uitmaakt van een Azure Active Directory, waardoor onduidelijk is of de functie voor alle gebruikers beschikbaar komt.

In een apart bericht schrijft Microsoft dat het bij de ondersteuning in de komende Windows-update gaat om een 'beperkte preview' waarvoor mensen zich kunnen aanmelden en dan op een wachtlijst terechtkomen. Het inloggen met een usb-hardwaresleutel maakt het overbodig om een wachtwoord te gebruiken. Windows Hello ondersteunt al langer wachtwoordalternatieven op basis van biometrie, zoals irisscans en vingerafdrukken.

FIDO2 is een open authenticatiestandaard, die voortbouwt op U2F en UAF. De standaard bestaat uit Ctap en WebAuthn, dat onlangs door het W3C is gepromoveerd tot Candidate Recommendation.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 18-04-2018 11:08 52

18-04-2018 • 11:08

52

Lees meer

Onderzoekers omzeilen Windows Hello-authenticatie met nepcamera en ir-beelden
Onderzoekers omzeilen Windows Hello-authenticatie met nepcamera en ir-beelden Nieuws van 19 juli 2021
Microsoft: 85 procent van Windows 10-gebruikers logt niet in met wachtwoord
Microsoft: 85 procent van Windows 10-gebruikers logt niet in met wachtwoord Nieuws van 21 december 2020
Microsoft laat Windows 10-gebruikers wachtwoord als inlogmethode schrappen
Microsoft laat Windows 10-gebruikers wachtwoord als inlogmethode schrappen Nieuws van 11 juli 2019
Android krijgt FIDO2-certificering voor inloggen zonder wachtwoord
Android krijgt FIDO2-certificering voor inloggen zonder wachtwoord Nieuws van 26 februari 2019
Microsoft maakt inloggen bij Microsoft Account met Hello of FIDO2-key mogelijk
Microsoft maakt inloggen bij Microsoft Account met Hello of FIDO2-key mogelijk Nieuws van 20 november 2018
Opensource FIDO2-beveiligingssleutel behaalt doel op Kickstarter
Opensource FIDO2-beveiligingssleutel behaalt doel op Kickstarter Nieuws van 5 oktober 2018
Google gaat eigen hardwaresleutels verkopen op basis van FIDO-standaard
Google gaat eigen hardwaresleutels verkopen op basis van FIDO-standaard Nieuws van 26 juli 2018
W3C brengt WebAuthn-api voor vervanging van traditionele wachtwoorden dichterbij
W3C brengt WebAuthn-api voor vervanging van traditionele wachtwoorden dichterbij Nieuws van 11 april 2018
Yubico werkt aan U2F-beveiligingssticks met bluetooth
Yubico werkt aan U2F-beveiligingssticks met bluetooth Nieuws van 16 juni 2016
Authenticatiestandaard als alternatief voor wachtwoorden is klaar
Authenticatiestandaard als alternatief voor wachtwoorden is klaar Nieuws van 9 december 2014
Google voegt inloggen via usb-sleutel toe aan Chrome
Google voegt inloggen via usb-sleutel toe aan Chrome Nieuws van 21 oktober 2014
Meer producten en artikelen
Netwerk en systeembeheer Microsoft Windows

Reacties (52)

-Moderatie-faq
52
51
30
3
0
19
Wijzig sortering
faim 18 april 2018 11:16
Mooie ontwikkeling, helaas toch weer een extra 'item' dat je bij je moet dragen (en vergeten kan worden).
Zou liever iets zien met de Bluetooth connectie op mijn telefoon i.c.m. de vingerafdrukscanner op mijn telefoon of app.
vliegendekat @faim18 april 2018 12:00
Ik gebruik nu al een behoorlijke tijd een yubikey in voor mijn logins thuis en op het werk. Dit doe ik onder andere met Windows Hello, maar ook de TOTP en smartcard-functionaliteiten van het ding heb ik in gebruik. Het digitale inloggen is hiermee gereduceerd tot "het insteken van een fysieke sleutel" en soms een pincode. Het ding is klein en stevig genoeg om de hele dat onderin mijn broekzak te verblijven.

Daarnaast ben ik al eerder in een situatie beland waarin mijn smartphone op een vitaal moment mijn Google-account had uitgelogd en alle app-data spontaan verdwenen was. Dit was inclusief mijn 2FA-keys in Google Authenticator. Op dat moment was het echt een zegen dat dergelijke codes ook op een los security-device waren opgeslagen.

De betrouwbaarheid daarvan is toch beduidend hoger en het "weer een device erbij"-argument weegt niet op tegen het gemak en de zekerheid die je ervoor terug krijgt.

[Reactie gewijzigd door vliegendekat op 23 juli 2024 05:33]

RobinF @vliegendekat18 april 2018 12:58
Bij hoeveel van deze diensten (waarbij je inlogt) kan je meerdere Yubikeys (bijvoorbeeld een backup in een kluis ergens) of een andere methode aangeven om je account te herstellen wanneer je key weg is?

Dat is het enigste waar ik nog een beetje tegen aan loop
The Zep Man
@RobinF18 april 2018 14:07
Bij iets als Nextcloud kan je recovery codes genereren: willekeurige, lange wachtwoorden die je eenmalig kan gebruiken om in te loggen bij het verliezen van andere authenticatiefactoren. Die kan je bijvoorbeeld in een wachtwoordmanager opslaan, maar ook uitprinten en in een kluis opbergen.

Mogelijk bieden andere diensten dit ook.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 05:33]

vliegendekat @RobinF18 april 2018 14:26
In mijn ervaring kan dat maar met zeer weinig FIDO diensten, want het is juist de bedoeling dat er slechts één key aan een account gekoppeld wordt en als die key zoekt raakt, moet je de boel uitschakelen of resetten door een bevestiging via e-mail, sms of een lijst van maximaal 10 backupcodes.

Bijna niemand biedt dus de optie om een tweede key aan te melden, maar tot nu toe heeft wel iedere website die ik ben tegengekomen een eerder beschreven herstelmethode aangeboden. Het gaat feitelijk net zoals met TOTP (Google Authenticator).
PostHEX @vliegendekat18 april 2018 16:09
want het is juist de bedoeling dat er slechts één key aan een account gekoppeld wordt en als die key zoekt raakt
Waar staat dat geschreven? Lijkt mij een achterlijke vorm van security beleidsvoering, waardoor ik ook betwijfel dat die bestaat. Achterlijk want je zou men betuttelen om geen extra key te mogen registeren, maar je laat wel toe om een extra authenticatie methode te registeren (email, sms, backupcodes)? Daar zit geen logica in. Je kan dan net zo goed account beheerders een extra key laten registeren.

Ik gebruik op dit moment FIDO U2F alleen voor mijn Google-en Tutanota account en Dashlane password manager, en bij alle drie kan ik toch echt meerdere keys registreren. Kan jij naar diensten verwijzen waarbij je dat niet kan?

[Reactie gewijzigd door PostHEX op 23 juli 2024 05:33]

vliegendekat @PostHEX18 april 2018 20:23
Ik gebruik op dit moment FIDO U2F alleen voor mijn Google-en Tutanota account en Dashlane password manager, en bij alle drie kan ik toch echt meerdere keys registreren. Kan jij naar diensten verwijzen waarbij je dat niet kan?
Excuses. U heeft helemaal gelijk. Het kan tegenwoordig wel.
Milmoor @RobinF18 april 2018 16:05
https://www.themooltipass.com
Back-ups, open source en meerdere wachtwoorden in een apparaat. Wel wat groot.
dicexq @faim18 april 2018 11:22
Het is weer een hardware device erbij, maar er zijn ook vele welke graag een single-purpose-device voor security tokens willen.
Ook zal het voor bedrijven interessanter zijn een hardware sleutel te leveren aan haar medewerkers (waar je voor kan laten tekenen en terug kan eisen na einde dienstverband) dan iedereen zijn mobiel laten voorzien van een vergelijkbare app.
faim @dicexq18 april 2018 11:29
Voor bedrijven is het zeker interessant, de video doelt volgens mij ook voornamelijk op een zakelijke omgeving en mijn reactie was inderdaad meer uit consument perspectief.
Pwigle @faim18 april 2018 16:39
Het is momenteel inderdaad meer gericht op de zakelijke markt, vooral om veilig en snel in te loggen op gedeelde PC's. Andere manieren zoals een App op je telefoon & Bluetooth komen ongetwijfeld in de toekomst. Support ontbreekt daar nu voor. Eerst voegen we support voor AD ipv Azure AD toe.

(Overigens heb ik de Microsoft blog geschreven, leuk om het hier terug te lezen)
Sandwalker @dicexq18 april 2018 13:18
Die de-authorisatie zal het probleem niet zijn, omdat bij einde dienstverband je een account natuurlijk gewoon deactiveert. Maakt het ook niet uit of er nog een hardware device of app circuleert. Wat wel lekker is dat met een hardware device, je echt voorkomt dat wachtwoorden gedeeld worden. Er is namelijk max 1 device in omloop wat geautoriseerd is, waardoor er fysiek maar op 1 machine in gelogd kan worden.
Pwigle @Sandwalker18 april 2018 16:41
Je kunt als admin of gebruiker zelf een device deactiveren bij verlies. Bij einde dienstverband is het account uitschakelen inderdaad een nog betere oplossing.
IStealYourGun @faim18 april 2018 12:45
Het is een alternatieve methode, ben je de sleutel vergeten, dan meld je gewoon aan met je username en wachtwoord.
faim @IStealYourGun18 april 2018 13:03
Dat denk ik juist niet, als je dit in een bedrijf toepast je moet forceren deze manier van inloggen te gebruiken (lees: dus het gebruik van gebruikersnaam en wachtwoord uitschakelen). Anders blijven mensen gewoon hun inloggegevens gebruiken en laten steeds meer mensen hun key thuis, omdat ze 'hem toch niet nodig hebben'.
Sandwalker @faim18 april 2018 13:20
Combinatie: Key en Pin zal wel vereist worden. Het enige wat ik me afvraag hoe dat werkt met virtuele machines. Heeft iemand daar ervaring mee?
runeazn @faim18 april 2018 11:22
Dan is de veiligheid er weer af als je je telefoon zou gebruiken. Die is niet geïsoleerd van een internet omgeving. Er zullen vast nog wel tig redenen zijn, maar dit is het eerste wat in me op kwam.

Wel is het zo dat je natuurlijk extra hardware kan inbouwen in de telefoon, maar dan heb je infeite gewoon zo'n USB stick in je telefoon, ik weet alleen niet hoe veel je er dan mee opschiet.
Verder bouwend, je zou natuurlijk ook capabiliteiten in de soc kunnen bouwen zodat je minder oppervlak verliest, maar dit is allemaal speculatief. Wat nou echt handig wordt zullen we wel zien.

Het is in ieder geval een mooie eerst stap toch?
mr.DJ95 @faim18 april 2018 12:35
Ik zit in hetzelfde schuitje momenteel, het liefste zou ik een oplossing zien die aansluit bij de huidige PKI oplossing. Inmiddels een test pakketje besteld van AirID (https://certgate.com/en/products/airid/) *geen aandelen.

Benieuwd of dit wat gaat worden.
tc-t @faim18 april 2018 11:25
Dat is wel zo,maar een YubiKey bv (van de andere weet ik het niet) kun je gewoon aan je huissleutel hangen of iets anders dat je altijd bij hebt.

Ik ben al vaker mijn telefoon vergeten dan mijn huissleutel :)
faim @tc-t18 april 2018 11:33
Nog niet eens aan gedacht inderdaad.
Ik ben al vaker mijn telefoon vergeten dan mijn huissleutel
Dan heb jij geluk, ik heb vaker buiten gestaan zonder huissleutel, maar met telefoon 8)7
Gelukkig kon ik dan nog wel bellen zodat iemand anders de deur open kon maken.
PetervdM @faim18 april 2018 11:36
ik kan de voordeur openmaken met m'n telefoon, hoezo huissleutel?
faim @PetervdM18 april 2018 11:38
Mijn telefoon past niet in dat sleutelgat.
Dark Angel 58 @faim18 april 2018 12:06
Hehehe... erg funny :P
Hij heeft een elektronische slot, die alleen zijn telefoon deur kan openen. Hij kan het ook op afstand voor anderen deur openen.
Twam @PetervdM18 april 2018 11:46
ik kan de voordeur openmaken met m'n telefoon, hoezo huissleutel?
Ik ook, maar dan heb ik daarna wel een glaszetter en een nieuwe telefoon nodig. Tragisch :+

On topic: Kan je met een aantal van die hardware keys niet meerdere accounts aan 1 apparaatje toewijzen? Dan kan je dus, mits de standaard breed wordt ondersteund zoals ze nu vanuit W3C proberen te stimuleren, uiteindelijk met 1 stick/chip/sleutelhanger toe voor al je 2FA-behoeften. Zou ik persoonlijk ideaal vinden, als ik daarmee dan wel van stapel wachtwoorden af zou zijn... Als het weer een extra ding naast die wachtwoorden is, meh.

Hoe langer dit soort dingen doorontwikkeld worden, hoe interessanter het wordt om een NFC-capable chip in je vinger te laten prikken, natuurlijk. Als je daarmee opeens NFC-authenticatie met een vingertik kan doen, die niet aan een vingerafdrukscanner is gekoppeld (zowel vanuit veiligheidsperspectief als technisch eenvoudiger), die gewoon bijna universeel wordt ondersteund, begin je toch een eind richting de SF-oplossingen te komen. En die kan je dan niet vergeten mee te nemen, maar wel vervangen/herprogrammeren als je beveiliging lekgeschoten is :P
PCmisbruiker @PetervdM18 april 2018 13:46
ik kan de voordeur openmaken met m'n telefoon, hoezo huissleutel?
Dus als je je telefoon verliest verlies je ook je huissleutel :+
+ je kan niemand bellen om je binnen te laten.
Umbrah @faim18 april 2018 11:47
Uiteraard zal dat ook een optie zijn, omdat daar ook FiDO op geimplementeerd kan worden. Hoewel iOS dit misschien wel dicht heeft staan, en bij Android zal je device zelf uiteraard ook een risico zijn, zelfs met secure stores zoals KNOX. Een losse dongle als alternatief voor password + biometrie/token (dus dongle + biometrie zoals in het filmpje), is denk ik juist veilig: je hebt altijd twee elementen nodig.

Ook leuk dat het een vrij open standaard is. Azure AD is al erg handig omdat het OAuth/SAML 'spreekt', en daardoor flexibel is.
Z80 @faim18 april 2018 11:51
Bluetooth is alles behalve veilig. En de bereik hiervan is ook relatief groot. Leuk voor thuis, niet in een zakelijke omgeving.
Daarbij is een usb/card te vervangen. De Bluetooth in je smartfoon niet.
windows8fan @faim18 april 2018 12:00
Gedeeltelijk kan het al wat je wilt http://www.tomshardware.c...-lock-unlock-windows.html
Cilph @windows8fan18 april 2018 12:25
Werkt vrij slecht. Ik kan naar de andere kant van mn kantoor lopen en dan lockt hij nog steeds niet. Ook is de timeout veel te lang en niet instelbaar.
BenVenNL 18 april 2018 11:29
Ik weet niet hoeveel die extra hardware mag kosten maar waarom niet gewoon in de laptop inbouwen?

Tevens kun je dit toch ook gewoon in een USB keyboard inbouwen.

[Reactie gewijzigd door BenVenNL op 23 juli 2024 05:33]

The Zep Man
@BenVenNL18 april 2018 11:34
Ik weet niet hoeveel die extra hardware mag kosten maar waarom niet gewoon in de laptop inbouwen?
Omdat een laptop logisch en fysiek gescheiden is van de gebruiker en zo behandeld moet worden. Het idee is dat een hardwaresleutel de gebruiker authentiseert. Als je dat in de laptop inbouwt dan voldoet het niet aan dit idee.
Tevens kun je dit toch ook gewoon in een USB keyboard inbouwen.
Een USB keyboard identificeert geen gebruiker. Het is een gebruiksvoorwerp dat mogelijk door andere gebruikers wordt gebruikt.

Hardwaresleutels zijn interessant voor (tegen?):
• Gebruikers die wachtwoorden maar lastig vinden.
• Gebruikers die onveilige wachtwoorden gebruiken.

Wel introduceer je het probleem dat een gebruiker zijn hardwaresleutel kan vergeten, net als bij smartcards. Dat is in de praktijk op te lossen door normaliter een smartcard te verplichten om de gang op/uit te komen op een kantoor. Dan leert men het zichzelf snel genoeg aan om de sleutel mee te nemen. :+

Met natuurlijk een knop aan de binnenkant om de deur bij noodgevallen open te doen. Je mag geen mensen opsluiten, maar ze er wel op aanspreken als ze die knop misbruiken.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 05:33]

BenVenNL @The Zep Man18 april 2018 13:24
Het idee is dat een hardwaresleutel de gebruiker authentiseert. Als je dat in de laptop inbouwt dan voldoet het niet aan dit idee.

Waarom dan die vingerafdruk? Waarom eerst jouw unieke vingerafdruk op een stuk hardware drukken welke dan vervolgens weer een unieke code doorgeeft aan Windows.

Waarom niet gelijk een vingerafdruk gebruiken.
kaas-schaaf @BenVenNL18 april 2018 14:01
Een vingerafdruk is identificatie (zeg username), geen autorisatie. Dat laatste vereist een bewuste denkhandeling. Dat dit bij veel mensen anders wordt gebruikt is een ander verhaal.

Door het apparaat met de sleutel lost te koppelen van het te gebruiken apparaat en alsnog een vingerafdruk te gebruiken verbeter je de veiligheid iets maar eigenlijk nog niet veel. Je hebt de sleutel en de toepassing in ieder geval wel gescheiden. Beter zou zijn om een sleutel te laten gebruiken op een apart apparaat, de vingerafdruk voor identificatie en daarna een gebruikershandeling voor autorisatie te laten tellen.
The Zep Man
@kaas-schaaf18 april 2018 16:04
Je hebt de sleutel en de toepassing in ieder geval wel gescheiden.
Klopt. En je hebt gelijk dat de vingerafdruk gelijk is aan de gebruikersnaam. Immers kan de vingerafdruk ook op de fysieke sleutel staan. ;)

[Reactie gewijzigd door The Zep Man op 23 juli 2024 05:33]

RobinF @BenVenNL18 april 2018 11:36
Voor €20,- heb je er al eentje: https://www.yubico.com/product/security-key-by-yubico/

[Reactie gewijzigd door RobinF op 23 juli 2024 05:33]

Cilph @BenVenNL18 april 2018 11:46
Ja ik laat de sleutels ook altijd in mijn auto zitten. Waarom bouwen ze dat niet meteen in?
GekkePrutser @BenVenNL18 april 2018 17:37
In de laptop ingebouwd bestaat al: Dat is de TPM.

Zoals @The Zep Man hieronder zegt is dat meer om de machine te authentificeren, maar je kan het daar wel voor gebruiken als je met een paswoord/pin code inlogt op de TPM (bijvoorbeeld bij preboot authenticatie). De TPM is eigenlijk een smartcard ingebouwd in de laptop.
Brent 18 april 2018 11:34
Dus een huidige U2F key werkt niet? Jammer!
RobinF @Brent18 april 2018 11:36
Die kan als het goed is al met de Yubikey App
Cilph @Brent18 april 2018 11:48
Wel een beetje jammer. Ik hoop dan ook nog steeds op een YubiKey 5 met BLE ondersteuning die dit ook meteen meeneemt.
GekkePrutser @Cilph18 april 2018 17:34
Ja en NFC ook.. Dat viel me erg tegen dat dit gedropt werd bij de Yubikey 4. De Neo had namelijk wel NFC maar een aantal dingen niet die met de 4 ingevoerd zijn, zoals touch to sign.
darkfader @Brent18 april 2018 18:36
Ik snap niet zo goed waarom de huidige versie niet zou kunnen werken. Misschien kan het maar voldoet het niet aan de veiligheidseisen (m.a.w. niet veilig)
Ikeb nu al een paar U2F keys maar kan ze waarschijnlijk niet upgraden. Er zal op een gegeven moment ook wel weer een 3e versie komen. En zo'n key helpt ook niet als de rest van de software of hardware niet veilig is.
caipirinha 18 april 2018 12:44
Ik loop al jaren zakelijk met een RSA token rond en daarvoor met een smartcard.
Zo'n systeem is echter alleen veilig als je daarnaast ook een sterk password moet gebruiken i.v.m verlies van de token.
Een diefstal, verlies en schade gevoelig item als een telefoon als token gebruiken vind ik echt een lachertje.
Dat initiatief van MS is een stap in de goede richting als je de rest van de beveiliging ook goed inricht.
Maar jammer dat het alleen windows is, ik zie het aantal macs en linux dozen gestaag groeien.

[Reactie gewijzigd door caipirinha op 23 juli 2024 05:33]

Sandwalker @caipirinha18 april 2018 13:21
Weer een USP voor Microsoft. Met hun hele 365 omgeving proberen ze toch een totaaloplossing te bieden voor het grootbedrijf, en dit past daar prima bij in
GekkePrutser @caipirinha18 april 2018 15:12
Met een smartcard heb je niet per se een sterk wachtwoord nodig. Omdat je het aantal pogingen kan beperken (meestal wordt 3 of 5 gebruikt) is een 6-cijferige pin code voldoende.

Ik gebruik smartcards nog steeds voor mijn prive spullen (helaas valt het met websites tegen omdat bijna niemand RSA certificaat inlog toestaat, terwijl dit er al jaaaren in de standaard zit)

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 05:33]

pauldaytona 18 april 2018 13:29
Kan me erg goed voorstellen dat je een keer s'avonds thuis komt en denkt: key vergeten, in de pc laten zitten. Wie heeft er nog nooit een USB memory stick een keer in een pc laten zitten?
mutley69 18 april 2018 21:15
Ik verkies duidelijk die sleutels met U2F boven vingerafdrukken en andere biometrische methodes - die zal ik NOOIT toelaten. U leegt het goed - nooit. Iets dat je overal kan zien, en registreren en roven kan je niet gebruiken als beveilgingsmaatregel - knoop dat maar zeer goed in jullie oren. Die sleutels (liefst meer dan één) - vormen in combinatie met het aparaat en dan nog een wachtwoord of pincode meestal wel genoeg om relatief veilig te kunnen werken.
Tweak3D @RobinF18 april 2018 12:06
De Yubikey series 4 en de yubikey Neo bieden wel windows ondersteuning:
https://www.yubico.com/setup/#
Het kost iets meer dan dat wel, maar mogelijk een alternatief voor RSAkeyfobs of Fortitokens bv.
GekkePrutser @Tweak3D18 april 2018 17:34
Maar geen Fido2.. En dat is met het oog op komende website ondersteuning wel handig om te hebben,
Tweak3D @GekkePrutser19 april 2018 00:08
Jawel, Het is er pas sinds 10 April dit jaar .. maar het is er wel:
Ondersteuning van Fido2
https://www.yubico.com/product/security-key-by-yubico/
GekkePrutser @Tweak3D19 april 2018 00:36
Ja maar niet in de Yubikey Neo en 4, dat bedoelde ik.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq