Microsoft maakt inloggen bij Microsoft Account met Hello of FIDO2-key mogelijk

Microsoft biedt gebruikers sinds deze week de mogelijkheid om in te loggen bij hun Microsoft Account door middel van Windows Hello of een FIDO2-apparaat zoals een YubiKey-hardwaresleutel.

De mogelijkheid werkt in combinatie met de Edge-browser van Windows 10, aldus Alex Simons van Microsofts Identity Division. Gebruikers kunnen de beveiligingsmaatregel activeren door in te loggen bij hun Microsoft-account en onder Beveiliging bij 'Meer beveiligingsopties' de stappen voor het instellen van een beveiligingssleutel te doorlopen. In het Nederlands is de optie op het moment van schrijven nog niet aanwezig.

Het instellen van Windows Hello voor biometrische authenticatie kan in Windows 10. Bij de volgende keer inloggen bij een Microsoft Account met Edge, verschijnt onderaan de optie om in te loggen met Windows Hello of een beveiligingssleutel. Daarna hoeven ze alleen nog maar de vooraf ingestelde pincode in te voeren en bijvoorbeeld hun vingerafdruk met een YubiKey te scannen.

Microsoft maakt gebruik van de WebAuth-api en de ctap2-specificatie van FIDO2 om het inloggen met hardwarematige sleutels mogelijk te maken. FIDO2 van de FIDO Alliance en het W3C is een open authenticatiestandaard, die voortbouwt op U2F en UAF. Het doel is om de traditionele wachtwoorden op zoveel mogelijk plekken overbodig te maken.

Microsoft Account inlog

Reacties (30)

GekkePrutser 20 november 2018 21:15

Uit het artikel:

Daarna hoeven ze alleen nog maar de vooraf ingestelde pincode in te voeren en bijvoorbeeld hun vingerafdruk met een YubiKey te scannen.

Dit is niet juist. Er bestaan geen yubikeys met vingerafdrukscanner.

Het metalen vlakje is alleen maar een aanraakvlak waarmee je de sleutel activeert in sommige modes.

Het zou op zich wel cool zijn als ze zo'n yubikey zouden maken zodat je die in plaats van een pincode kon gebruiken. In sommige yubikey modes heb je namelijk een pincode nodig. Denk aan OpenPGP, PIV en de CTAP2 mode van Fido2.

Maar op dit moment bestaan die niet en ze hebben net de Yubikey 5 serie geïntroduceerd dus ik denk ook niet dat die snel gaat komen. Zou ook een stuk kwetsbaarder zijn natuurlijk, misschien te kwetsbaar voor iets dat aan een sleutelbos hangt. De huidige modellen zijn vrijwel onverwoestbaar.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 02:02]

Verwijderd @GekkePrutser • 20 november 2018 22:14

Zou de yubikey modellen niet onverwoestbaar willen noemen.

http://hexview.com/~scl/neo/

Dertig minuten in een badje met aceton en de printplaat is brandschoon en dan zie je dat er vlakbij de
usb contacten via's in de print zitten op een plaats waar de printplaat het smalst is en makkelijk kan breken.

Yoshi @Verwijderd • 20 november 2018 22:29

Jakob clarified the "practically indestructible" term as:
"The word "practically" here obviously means "in normal everyday use", including everyday gizmo dangers, like being soaked in water or being crushed in a pocket. Destroying the Yubikey is not that hard - a pair of pliers would make that job easy."

We agree with Jakob's comment that although the device's electronics are easily accessible, it does not mean that the device is insecure or easy to compromise.

*** Update 2 ***
It looks like Yubico took criticism well and redesigned the case. The key ring hole is now more robust and Yubikey 5 uses chemical-resistant plastic. Good!

[Reactie gewijzigd door Yoshi op 24 juli 2024 05:24]

GekkePrutser @Verwijderd • 20 november 2018 23:17

Bedankt voor die interessante teardown! Ja ik zie dat er ook een flink gat zit naast de USB. Maar, dit stuk wordt wel door de behuizing versterkt (en wellicht zit de behuizing zelfs door dat gat heen). Zoals ze ook zeggen daar.

Ik moet ook zeggen: Ik heb de Neo 3 jaar lang aan mijn sleutelbos in mijn achterzak gehad en hij doet het nog steeds uit de kunst. De contacten zijn ook nooit afgesleten ondanks dat deze steeds langs sleutels hebben geschraapt. Hij is inderdaad iets dunner geworden vergeleken met de '5', maar past overal nog prima in. Voor mij onverwoestbaar genoeg.

Het makkelijk openmaken is wel een punt voor wat betreft de beveiliging inderdaad, al kan het op zich niet zoveel kwaad als er een secure element in zit.

Ik vind het trouwens ook wel heel irritant dat de touch sensor maar aan 1 kant zit en niet aan de zijkanten zoals bij de USB-C versie. Dit is wel lastig in sommige gevallen omdat je er vaak gewoon niet bij kan, sommige hubs/laptops hebben de poorten verkeerd om zitten en in een apple toetsenbord zit de touch sensor dan onder het toetsenbord zodat je er echt niet bij kan.

[Reactie gewijzigd door GekkePrutser op 24 juli 2024 05:24]

PostHEX @Verwijderd • 21 november 2018 00:02

Exact om die reden zijn al mijn Yubikeys de Nano variant (de reguliere Nano, niet Nano C dus), in een metalen keychain USB A naar C OTG adapter naar keuze. Ik snap overigens niet waarom Yubico dit niet standaard doet. Gewoon alleen de Nano leveren, en men de optie bieden voor een stevige USB adapter. Dan kan men vervolgens zelf bepalen of ze Type A, C, Micro USB of Lightning aan het uiteinde willen hebben. En NFC zouden ze eventueel optioneel in de adapters kunnen verwerken.

Pwigle @GekkePrutser • 20 november 2018 21:17

En dat is waarom er staat "Feitian heeft".

GekkePrutser @Pwigle • 20 november 2018 21:19

Ik reageerde op het artikel waar helemaal niet over Feitian gesproken wordt maar wel over Yubikey. Niet op jouw post

Heb je trouwens een link naar die Feitian? Op zich wel het overwegen waard, maar het mooie van de Yubikey vind ik de diverse modes. Ik gebruik momenteel juist de PIV (werk) en OpenPGP (privé) modes veel.

Edit: Om deze gaat het dus. Misschien als FIDO2 echt een vlucht neemt wel interessant. Mijn werk gebruikt Office 365 maar met PingID als identity provider dus de mogelijkheid uit dit artikel gaat voor ons helaas niet op.

[Reactie gewijzigd door GekkePrutser op 24 juli 2024 05:24]

Pwigle @GekkePrutser • 20 november 2018 21:31

Excuus - op mijn telefoon leek het even dat het een reactie was op mijn reply.

MrR0b3rt 20 november 2018 22:05

Heel leuk, maar ik krijg het gevoel dat dit wel eens de oorzaak kan zijn geweest van de MFA storing van gisteren. Volgens de status pagina:

"Preliminary root cause: A recent update to the MFA service introduced a coding issue that prevented users from being able to sign in or carry out self-service password resets when using MFA for authentication."

Als dit het geval is, hadden ze het iets beter moeten testen imho

maar ik kijk er naar uit om met Hello in te kunnen loggen op Azure AD

Hopelijk komen andere browsers ook nog met een mogelijkheid om deze vorm van authenticatie naar websites mogelijk te maken. _{(ik ben niet zo'n grote fan van Edge)}

[Reactie gewijzigd door MrR0b3rt op 24 juli 2024 05:24]

djwice

21 november 2018 08:07

Meer details uit April:
https://www.microsoft.com...ello-fido2-security-keys/

Zie ook nieuws: Microsoft kondigt ondersteuning van FIDO2-hardwaresleutels in Windows...

dasiro 20 november 2018 23:12

ik had gehoopt dat het via een hello-compatibele webcam zou gaan, want een pincode is nog altijd doorgeefbaar. gemiste kans imho

TheVMaster Moderator WOS @dasiro • 21 november 2018 00:34

Het werkt gewoon hoor met een Windows Hello geschikte camera. Heb dat net geconfigureerd...

https://tweakers.net/ext/f/4ISIHyEgPKq3iexrcH2XPapc/full.jpg

[Reactie gewijzigd door TheVMaster op 24 juli 2024 05:24]

Wailing_Banshee

@TheVMaster • 21 november 2018 08:19

Hij geeft bij mij aan dat mijn browser of OS niet geschikt zou zijn... Ik gebruik Edge en log in met Windows Hello...

oezie @Wailing_Banshee • 21 november 2018 08:35

Same here...

TheVMaster Moderator WOS @Wailing_Banshee • 21 november 2018 11:08

Hm...ik heb een Surface Book.....en daar werkt het gewoon.

marcelvb

20 november 2018 22:51

Werkt WebAuth alleen maar met Edge? Waarom werkt dit niet met Firefox of Chrome?

418O2 @marcelvb • 20 november 2018 23:05

Chrome heeft ook support sinds v60. Het is een nieuw en nog niet uitgekristalliseerde API, dat duurt altijd even. Deze is natuurlijk ook vrij gevoelig, dus er moet goed over nagedacht worden.

GekkePrutser @418O2 • 20 november 2018 23:38

De CTAP2 werkt ook nog niet in Chrome, zelfs de canary dev versie niet. Dus de mode waarbij je de FIDO2 tokens als enige inlog gebruikt en dan unlockt met PIN code. De FIDO2 mode die alleen 2nd factor doet, werkt al wel. Ik heb het ongeveer een maand geleden nog geprobeerd.

[Reactie gewijzigd door GekkePrutser op 24 juli 2024 05:24]

Pwigle 20 november 2018 21:15

Vooral voor shared devices interessant. Veilig authentiseren met iets wat je hebt (de key) en iets wat je weet (pin).

Feitian heeft FIDO2 keys met ingebouwde fingerprint sensor waardoor de tweede factor "iets wat je bent" wordt.

sanzut 20 november 2018 21:46

Nu nog ondersteuning voor Chrome etc, en dezelfde opties uitrollen naar Office 365!

peter1908 @sanzut • 21 november 2018 09:16

Geduld. Azure AD (Office 365) komt in q1 2019 en Alex Simons (Microsoft) gaf aan dat de verwachting is dat o.a. Chrome spoedig zal volgen.

pe0mot 21 november 2018 10:31

Wat is het voordeel t.o.v. een authenticator app op je telefoon (die je bijna altijd bij je hebt)?

dmstork @pe0mot • 21 november 2018 13:19

Voor passwordless logon via de Microsoft Authenticator moet de telefoon Intune Enrolled zijn en dat kan maar met één tenant, als je dat als gebruiker uberhaupt wel wil. Ook heeft/wil niet iedereen een smartphone (voor werk) of wil de werkgever zoiets niet verschaffen. Dan is een hardware token een betere fit/goedkoper dan een smartphone. Of als je in het buitenland zit en geen mobiel internet etc..

pe0mot @dmstork • 22 november 2018 07:35

Helder, dank voor je antwoord.
Is de authenticator niet gekoppeld aan de klok, zonder data verbinding?
2FA met SMS is ook niet bruikbaar in sommige landen, SMS komt gewoon niet aan :-)

dmstork @pe0mot • 22 november 2018 12:37

TOTP is inderdaad timebased, maar Azure AD met passwordless logon gebruikt push notificaties en daarvoor heb je (mobiel) internet nodig.
Je kan in Azure AD meerdere MFA opties aan gebruikers aanbieden, dus app notificatie, TOTP, SMS, Call-back etc.. met een voorkeur. Je kan dus SMS als voorkeur hebben, maar terugvallen op TOTP of de andere opties als dat niet werkt. En dus binnenkort (public preview 2019Q1) ook hardware keys op basis van FIDO2.
SMS 2FA is zeker problematisch in het buitenland, of het komt niet aan of te laat (na verlopen van code...). Of soms met bepaalde providers; PayPal heeft moeite met mijn zakelijke Tele2 mobiel, ben dus ook blij dat ze nu ook TOTP toelaten (via workaround). Ik heb dus een aantal weken in de VS niets met PayPal kunnen doen

[Reactie gewijzigd door dmstork op 24 juli 2024 05:24]

pe0mot @dmstork • 23 november 2018 20:28

Is het niet zo dat Azure een mogelijkheid biedt voor het invoeren van een nummer als ze de authenticator app niet kunnen bereiken?

dmstork @pe0mot • 23 november 2018 22:36

Yup. Je kan altijd een app TOTP als fallback MFA invullen. Eigenlijk alle MFA methodes die door de beheerder zijn toegestaan en ook door de gebruiker zijn ingesteld/geconfigureerd en ownership (of toegang) is bewezen. Dus je kan ook gebeld worden of een SMS krijgen op een bekend telefoonnummer.

Mr.Whitewolf88 @Drannoying • 20 november 2018 22:12

Hoezo, prima browser.

Drannoying @Mr.Whitewolf88 • 20 november 2018 22:42

Is persoonlijke voorkeur denk ik maar ik vind firefox fijner... (Is misschien kwestie van wennen?) heb edge niet meer gebruikt sinds het aller begin toen het uit is gekomen. Gezien de reacties hier moet ik het toch weer eens proberen...

Op dit item kan niet meer gereageerd worden.

Microsoft maakt inloggen bij Microsoft Account met Hello of FIDO2-key mogelijk

Lees meer

Reacties (30)

Sorteer op:

Weergave: