Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft raadt af wachtwoorden te laten verlopen in Windows 10 - update

Microsoft raadt de optie af om wachtwoorden automatisch te laten verlopen in Group Policy-instellingen voor Windows 10. Volgens Microsoft is het een verouderde methode van beveiliging. De wijziging zit in de 2019H1-versie van het besturingssysteem.

De instellingen om wachtwoorden te laten verlopen maken daardoor geen deel meer uit van de baseline voor de komende release, meldt Microsoft. Zo kunnen bedrijven de optie uitschakelen zonder dat ze tegen het advies van Microsoft ingaan.

De praktijk is achterhaald, omdat een kwaadwillende een gestolen wachtwoord immers per direct kan gebruiken, waardoor het beleid van een nieuw wachtwoord elke twee maanden daar niet tegen beschermt. Beheerders kunnen een korte termijn instellen, maar daardoor moeten gebruikers vaker hun wachtwoord wijzigen.

Bovendien forceert het vaak veranderen van wachtwoorden om alleen kleine wijzigingen in wachtwoorden aan te brengen, waardoor ze makkelijk te raden kunnen zijn. Ook zijn er mensen die hun wachtwoord fysiek opschrijven en in de buurt van hun pc leggen, waarmee het geen veilige methode van beveiliging is. Daarnaast vergeten gebruikers ze vaak, claimt Microsoft.

Het bedrijf benadrukt dat de baseline van beveiligingsmaatregelen in Windows 10 een begin is, maar niet voldoende is voor een verantwoordelijk beveiligingsbeleid. Het softwarebedrijf raadt bedrijven aan om gebruik te maken van andere beveiligingsmaatregelen, zoals tweetrapsauthenticatie en het gebruiken van lijsten met verboden wachtwoorden. Dat zou de kwaliteit van wachtwoorden verbeteren. De wijziging geldt voor beheerde pc's met een Group Policy.

Update, donderdag: In dit artikel stond oorspronkelijk dat de optie zou verdwijnen uit Windows 10, maar dat is niet juist. Het gaat alleen om het opnemen van de optie in de baseline.

Door Arnoud Wokke

Redacteur mobile

24-04-2019 • 20:41

231 Linkedin Google+

Reacties (231)

Wijzig sortering
Met de nieuwe active directory build heb je straks passwordless login ( MFA dmv fingerprint).Dus dan zijn passwoorden helemaal niet meer van toepassing voor enterprises. En klopt inderdaad vaak word het dan wachtwoord123 -> wachtwoord1234

https://www.microsoft.com...-hello-or-a-security-key/

Select Security > More security options and under Windows Hello and security keys, you’ll see instructions for setting up a security key. (You can purchase a security key from one of our partners, including Yubico and Feitian Technologies that support the FIDO2 standard.*)

Werkt nu nog alleen maar op microsoft account maar over maandje kan het ook gebruikt worden met active directory.

Nog wat extra informatie. Afhankelijk van leverancier is het ook mogelijk dat de key U2F en FIDO2 support en anders komt het wel binnen 1-2 maanden op de markt dus dan kun je MFA of 2FA inschakelen op een breed scala van websites ( google account is er 1 van) dus vanuit bedrijfsoogpunt altijd interessant om op die manier alles gelijk dicht te gooien.

One key to rule them all :+

Reden voor wijziging ( onduidelijkheid).
Ter verduidelijking want misschien onduidelijk:

Het is MFA aangezien het niet alleen je vingerafdruk is.
Je hebt een hardware key die gebonden is aan je account en deze key unlock je met je vingerafdruk ( Dus vingerafdruk is puur op de secure element dus je OS heeft inderdaad geen toegang) en je kunt in principe ook nog een pin toevoegen voor de veiligheid maar is niet nodig aangezien iemand al erg ver moet gaan om toegang te krijgen.

1. Je vingerafdruk kopieren ( dat gaat je standaard hacker echt niet doen en dan kom je toch al bij de overheids hackers )
2. Dan moeten ze je hardware key bemachtigen
3. Als je dan pin erop zet dan moeten ze ook nog je pin bemachtigen

En als je je key kwijt bent kwestie van je admin opbellen en hij kan de key blokkeren dus de kans dat hacken dan plaatsvindt is toch wel zo miniscuul dat het waarschijnlijk makkelijker is om een spion te trainen en bij het bedrijf aangenomen te worden en zorgen dat ze op key positie komen waar ze toegang hebben ivm werk tot gevoelige informatie.

Want uiteindelijk kan je externe protectie nog zo goed zijn. Als je Hoofd R&D wegloopt met een usb stickje met de tekeningen erop dan kun je daar uiteindelijk weinig aan doen |:( ( en ja je kunt USB acces blocken etc maar er zijn altijd manieren als iemand intern kwaad wil doen).

[Reactie gewijzigd door Zyphlan op 25 april 2019 04:50]

Biometrie opslag is in strijd met de AVG. Fingerprint, Iris scan oplossingen ed. kunnen zo de prullenbak in, zolang de wetgever daar nog geen regels voor heeft opgesteld.
Je hoeft ook de vingerafdruk niet op te slaan, dat doen i-Devices en Android phones namelijk ook niet....
Definieer 'opslaan'.

Een vingerafdrukscanner zal iedere keer een net iets ander beeld geven van de finger. Een net iets ander 'plaatje'. Daarom kun je vingerafdrukken niet 1-op-1 vergelijken. De gebruikelijke methode is om eigenschappen op te slaan. Waar komen lijntjes samen, waar eindigen lijntjes, enz. Om een vingerafdruk te matchen, moeten dan een x aantal van die eigenschappen overeen komen. Vroeger (10 jaar terug) was dat tussen de 15 en 35, maar wat men nu aanhoudt weet ik niet.

Wanneer je vingerafdrukken wil matchen, zul je dus altijd een lijst van properties moeten opslaan voor iedere vinger. Veel devices doen dat tegenwoordig niet in het algemene flash geheugen of op SD kaart. Immers, die informatie is nogal gevoelig en zou eigenlijk nooit uitgelezen mogen worden. De meeste fingerprint reader IC's bieden dus een x aantal slots om in de chip zelf die informatie op te slaan. (Hopelijk zonder instructies om die informatie later op te halen). Dat maakt het uitlezen een stuk lastiger. Maar uiteindelijk zijn de eigenschappen van je finger nog altijd opgeslagen.
En dan nog, biometrische gegevens worden nooit in het 'origineel' opgeslagen, alleen in een hash, welke nooit terug kan worden omgezet naar de originele 'afdruk'.

Jammer dat deze info nooit goed wordt uitgelegd bij het invoeren van biometrische opslag om mensen/medewerkers gerust te stellen.
En dan nog, biometrische gegevens worden nooit in het 'origineel' opgeslagen, alleen in een hash, welke nooit terug kan worden omgezet naar de originele 'afdruk'.

Weet niet of jij een echte IT'er bent of ik iemand met een alu-hoedje op maar zeg nooit nooit!

Een "hash" is weldegelijk uit te lezen. Ik weet niet over welke hash jij het hier hebt maar als het nu nog niet kan dan kan het in de toekomst wel.
Een "hash" is weldegelijk uit te lezen. Ik weet niet over welke hash jij het hier hebt maar als het nu nog niet kan dan kan het in de toekomst wel.
Een hash is onomkeerbaar. Een hash heeft namelijk een vaste lengte terwijl de lengte van de input (in principe) onbeperkt is. Als het aantal mogelijke inputs groter is dan het aantal mogelijke outputs is het onvermijdelijk dat ergens, ooit, 2 inputs terecht gaan komen op dezelfde output (sterker nog, in theorie zijn er oneindig veel inputs die dezelfde output opleveren). Daarmee is het bewezen dat ik vanuit die output nooit meer terug kan naar één unieke input.

Een simpel voorbeeld van een hash functie is bijvoorbeeld de modulo. 'Modulo 5' heeft bijvoorbeeld maar 5 mogelijke outputs (0,1,2,3,4), terwijl het aantal inputs oneindig is. Inputs 0,5,10,15,.... leveren allemaal 0 op als output. Als ik alleen die output heb weet ik dus nooit wat de input is geweest.

[Reactie gewijzigd door Iknik op 25 april 2019 09:25]

Dat bij een hash meerdere inputs naar een enkele kortere output herleidt is slechts een enkele eigenschap. Een (vaak) belangrijkere eigenschap is dat het vanuit de output lastig tot onmogelijk te herleiden is wat de input was en dat die input geen random onzin is, ook al zijn er mogelijk meerdere.

Eigen correctie: het is een (vaak) belangrijke eigenschap dat het vrijwel onmogelijk is om een input te genereren bij een bekende output.

[Reactie gewijzigd door RuudAnders op 25 april 2019 11:03]

Een (vaak) belangrijkere eigenschap is dat het vanuit de output lastig tot onmogelijk te herleiden is wat de input was
Het is onmogelijk om te herleiden wat de exacte input was als het aantal mogelijke outputs kleiner is dan het aantal mogelijke inputs.
en dat die input geen random onzin is, ook al zijn er mogelijk meerdere.
Er zijn voor elke hash (theoretisch) oneindig veel 'geen random onzin'-oplossingen.

[Reactie gewijzigd door Iknik op 25 april 2019 11:02]

Het is onmogelijk om te herleiden wat de exacte input was als het aantal mogelijke outputs kleiner is dan het aantal mogelijke inputs.
In het verleden waren MD5 en SHA1 veelgebruikt, welke tegenwoordig redelijk makkelijk te kraken is. Juist omdat het wel mogelijk is.
Er zijn voor elke hash (theoretisch) oneindig veel 'geen random onzin'-oplossingen.
Daarom zei ik ook "lastig tot onmogelijk". In theorie is alles mogelijk te bruteforcen, zo lang als je oneindig veel tijd hebt. Dat is het gehele idee achter encryptie: maak het praktisch onhaalbaar om iets te doen voordat het nut daarvan verloren is.
"kraken" is hier het verkeerde woord. Een hash is niet omkeerbaar.
Je kunt bijvoorbeeld een MD5 hash (16 byte) maken van een foto van 10485760 byte.

Tegenwoordig is het mogelijk om makkelijk(er) collisions te berekenen. DWZ dat je 2 verschillende inputs hebt, die dezelfde output genereren. Dit is een probleem wanneer hashes worden gebruikt om de authenticiteit van bestanden te valideren.

Echter in het geval van gehashte (foto's van?) vingerafdrukken, kun je door het berekenen van een collision natuurlijk niet het originele bestand terug toveren.

Conclusie: als alleen een hash van biometrische gegevens wordt opgeslagen, kunnen de originele biometrische gegevens niet "gekraakt" worden. (zoals een noot die uit zijn schil gehaald wordt)
Als de hash+hashing functie gestolen wordt, zou er theoretisch een collision gemaakt kunnen worden, dwz een andere vingerafdruk die dezelfde hash oplevert als die van jou.
Doet mij denken aan dit stukje nieuws van even terug:
nieuws: Onderzoekers claimen vingerafdruk te hebben nagemaakt met foto's vinger

Zelfs als de hash veilig is zijn er fysieke manieren om biometrische sensoren voor de gek te houden.
In het verleden waren MD5 en SHA1 veelgebruikt, welke tegenwoordig redelijk makkelijk te kraken is. Juist omdat het wel mogelijk is.
Nee, dat is ook met MD5 en SHA1 niet mogelijk. MD5 is nog steeds onomkeerbaar. Ik heb bij een hash ook helemaal de originele input niet nodig, dus dat die lastig te herleiden is is niet belangrijk. Ik heb alleen maar een waarde nodig die dezelfde hash oplevert.

Bijvoorbeeld:
Jouw wachtwoord is 'MiJnSuPerIngewikkeldeWachtwoord&*&^#%@*((#'. De hash daarvan is 'ABCDEF'. De hash van '0xDEADBEEF' is toevallig ook 'ABCDEF'. Als jouw applicatie wachtwoorden op basis van de hash controleert kan ik jouw originele wachtwoord invoeren, maar ook '0xDEADBEEF'. Dat levert namelijk dezelfde hash op en daarmee kom ik dus door de controle. Dat dat niet jouw originele wachtwoord is maakt niks uit, zolang ik ook maar 1 van de mogelijke inputs vind die 'ABCDEF' oplevert ben ik spekkoper. En dat kan (tegenwoordig) vaak wel met MD5. De oplossing daarvoor is langere hashes gebruiken, omdat collisions dan lastiger te vinden zijn.
Daarom zei ik ook "lastig tot onmogelijk". In theorie is alles mogelijk te bruteforcen, zo lang als je oneindig veel tijd hebt. Dat is het gehele idee achter encryptie: maak het praktisch onhaalbaar om iets te doen voordat het nut daarvan verloren is.
Excuses, dan heb ik jouw eerdere opmerking verkeerd begrepen :)
En als ik dan lees dat MD5 en SHA1 hashes zijn gekraakt geloof ik je verhaal niet.

Het kan nu misschien niet maar in de toekomst wel :-)
De MD5 hashes die gekraakt zijn, geven je geen toegang tot het origineel, maar door dat er verschillende inputs door hashberekning toch dezelfde hash bekomen.

Dus als een paswoord als hash is opgeslaan en je vindt een andere input met de berekening van een hash, kan je toch toegang krijgen tot het systeem.

Het origineel is dus niet te raden door MD5 want er zijn collisions...
Aangezien een md5 16 byte lang is, is de kans echter wel zeer groot dat het om het exacte wachtwoord gaat indien een collision gevonden is. Wachtwoorden zijn meestal korter, en de kans dat 2 korte strings dezelfde hash opleveren is zeer klein.
MD5 wordt niet meer als secure gezien omdat hier bijvoorbeeld rainbow tables beschikbaar zijn. Bereken maar eens een md5 hash van een niet zo heel unieke wachtwoord. De kans is groot dat indien je googled op de hash het originele wachtwoord onmiddellijk vind. Hiervoor zijn ook rainbow tables gemaakt waarin voor veel hashwaarden al een originele string ter beschikking is.
Aangezien een md5 16 byte lang is, is de kans echter wel zeer groot dat het om het exacte wachtwoord gaat indien een collision gevonden is. Wachtwoorden zijn meestal korter, en de kans dat 2 korte strings dezelfde hash opleveren is zeer klein.
MD5 wordt niet meer als secure gezien omdat hier bijvoorbeeld rainbow tables beschikbaar zijn. Bereken maar eens een md5 hash van een niet zo heel unieke wachtwoord. De kans is groot dat indien je googled op de hash het originele wachtwoord onmiddellijk vind. Hiervoor zijn ook rainbow tables gemaakt waarin voor veel hashwaarden al een originele string ter beschikking is.
Helemaal correct. Door de manier waarop het gebruikt wordt (korte wachtwoorden kiezen) beperkt de gebruiker eigenlijk zelf het aantal mogelijke inputs, en gaat iets als MD5 veel meer richting een 1-op-1 mapping, waarbij je dus wel de exacte input kunt terugvinden.
En als ik dan lees dat MD5 en SHA1 hashes zijn gekraakt geloof ik je verhaal niet.
Een hash is gekraakt als je een van de inputs vindt die een bepaalde output geven. Dat hoeft niet noodzakelijkerwijs ook de specifieke input te zijn die gebruikt is om die output te genereren.

Als je mijn voorbeeld neemt, die zou gekraakt zijn wanneer jij in staat bent om bij een gegeven output een input kunt vinden die dezelfde waarde oplevert. Ik zou bijvoorbeeld als input '7' kunnen kiezen, dat levert '2' op. Jij hoeft niet in staat te zijn om mijn '7' terug te vinden, je hoeft alleen maar in staat te zijn om een input te vinden die ook '2' oplevert. Als je weet hoe dat moet is mijn hash gekraakt. In dit geval is dat niet echt rocket-science, en een simpele modulo is dan ook niet echt een secure hash :)
Het kan nu misschien niet maar in de toekomst wel :-)
Nee. Een één-op-veel mapping kun je niet terug herleiden. Als 'A' de hashwaarde '1' oplevert en 'B' ook, kun je uit de hashwaarde '1' niet herleiden of de input 'A' of 'B' geweest is, alleen dat het één van beide geweest moet zijn.

[Reactie gewijzigd door Iknik op 25 april 2019 10:58]

Een hash is gekraakt als je een van de inputs vindt die een bepaalde output geven.
Nee dan heb je een collision gevonden. Je hebt het algoritme gekraakt wanneer je bij elke hash waarde de originele waarde kan terugberekenen.
Nee dan heb je een collision gevonden.
Correct. Kraken is niet de juiste term.
Je hebt het algoritme gekraakt wanneer je bij elke hash waarde de originele waarde kan terugberekenen.
Dat kan bij een hash per definitie niet vanwege het pigeonhole-principle. Als het aantal mogelijke inputs groter is dan het aantal mogelijke outputs krijg ik een één-op-veel mapping, en die is niet terug te draaien.
Als de input volledig willekeurig is heb je gelijk en ik weet niet hoe vingerafdrukken opgeslagen worden. Maar stel ze doen het door op 20 punten diepte te meten. Als je weet dat deze waardes altijd binnen een bepaalde bandbreedte zitten kan je de output hash die je gevonden hebt omzetten naar mogelijke inputs en die filteren op waardes binnen de mogelijke bandbreedte om zo een te behappen aantal mogelijkheden over te houden.
De hash bevat niet je gehele vingerafdruk maar een set herkenningspunten uit je vingerafdruk. Om die reden is de hash, of hij geëncrypt of niet geëncrypt is, niet terug te zetten naar een complete vingerafdruk.
De hash bevat niet je gehele vingerafdruk maar een set herkenningspunten uit je vingerafdruk. Om die reden is de hash, of hij geëncrypt of niet geëncrypt is, niet terug te zetten naar een complete vingerafdruk.
En om dezelfde reden is de vingerafdruk zoals deze is opgeslagen niet uniek in tegenstelling tot wat de meeste mensen denken. Daarbij heb je nog te maken met false positives, errors etc.
Leg mij eens het volgende uit....

Ik neem even vast waarden voor het gemak.

- 5 sets nodig hebben om 1 complete vingerafdruk.
- 5 sets moeten dan gevalideerd worden met elkaar.
- Tijdens het valideren zou je in theorie wel een MITM-Attack kunnen uitvoeren.

Zit er bij het valideren geen zwakheden denk je?
Een "hash" is weldegelijk uit te lezen.
Wie nu nog MD5, SHA1 of soortgelijken gebruikt moet z'n harddrive gewist krijgen. Een goed, modern hashalgoritme is onomkeerbaar.
Hashen is een andere toepassing dan encryptie. Voor de uploadfilter zal waarschijnlijk de hashwaarde worden gebruikt van de inhoud van het bestand. Voor wachtwoorden moet je niet alleen hashen maar komt er meer bij kijken zoals een salt en cost. De cost is het aantal keer dat ie het hashed en rehashed.
MD5 is volgens mij nog wel bruikbaar om hash codes van bestanden te genereren om te controleren of deze bestanden correct zijn getransporteerd.

Ik gebruik het ook om database dump te controleren, maakt archiveren betrouwbaarder. MD5 zit wat dat btreft wel op een fijn punt tussen complexiteit en snelheid waarmee deze gegenereerd worden.

Voor daadwerkelijke beveiliging is het inderdaad niet meer geschikt, maar voor controle van bestanden (in eigen beheer) zie ik weinig problemen met het gebruik van MD5 (en door de snelheid zeuren gebruikers niet zo erg veel bij controles van bestandsintegriteit).
Dit is de (sha1, ik maak het je makkelijk) hash van mijn telefoonnummer: 148315af9f6f35e2975c980a342931775fbba7b8

Als je even belt legt ik je uit hoe dat met hashes en reversibiliteit werkt.
Nooit gezegd dat ik het kan.
Ben alleen meer van het zeg nooit nooit.
Zijn veel slimmere mensen op aarde dan jij en ik (en andere)
Dan win jij binnenkort de nobelprijs voor de wiskunde :)
Wat gemeen, er bestaat geen nobelprijs voor de wiskunde!
Maar het systeem zet het toch om bij het inloggen? Sorry ben beetje een noob op dit gebied.
Het systeem heeft een manier com een hash te berekenen op het moment dat je jouw vinger op de sensor legt. De scan van jouw vinger bevindt zich alleen in het ram geheugen van het systeem en wordt nooit opgeslagen. Dit is hetzelfde principe als wachtwoord hashes waar het gros van websites met een login mee werkt. Het enige verschil is dat de data die gehashed wordt niet een wachtwoord is maar een beschrijving van een vingerafdruk.
Hoe dit werkt hangt totaal van de implementatie af. Een hash is een veiligere manier dan de vectoren die zijn bepaald opslaan maar ook dat gebeurd. Niet elk systeem is even veilig jammer genoeg.

De aanval bij de meeste vinger afdruk systemen is ook niet gericht op de opslag zelf maar simpelweg op het achterhalen van de vingerafdruk buiten het systeem om. Die laat jij overal achter zonder dat je er vaak erg in hebt. Het misbruik is soms eenvoudiger of onconventioneler dan men denkt. Voorbeeld is bijvoorbeeld de Gummy Bear attack: https://www.theregister.c...feat_fingerprint_sensors/

Een ander voorbeeld op basis van lijm: https://www.instructables...print-Scanner-Using-GLUE/

[Reactie gewijzigd door Bor op 25 april 2019 08:40]

De aanval bij de meeste vinger afdruk systemen is ook niet gericht op de opslag zelf maar simpelweg op het achterhalen van de vingerafdruk buiten het systeem om. Die laat jij overal achter zonder dat je er vaak erg in hebt.
Ja klopt helemaal!
Meestal zit de benodigde vingerafdruk al op de muis & toetsenbord als het gaat om toegang tot een specifieke pc te krijgen. :)

Iemand die een klein beetje kennis heeft kan ter plekke de juiste vingerafdruk verkrijgen en hergebruiken...
Vandaar dat dit mij een betere oplossing lijkt, scannen van de aders in je handpalm:
https://www.fujitsu.com/f...urity/product/palmsecure/
We waren dit aan het bestuderen voor toegangscontrole. Bij een presentatie zeiden dat er ongeveer 2 miljoen punten worden opgeslagen in een hash. Eerst wouden we die op een rfid kaart opslaan en zodat de biometrische gegevens niet centraal opgeslagen worden. Er was dus een dubbele authenticatie met badge en scanner. Helaas is er niet echt voldoende plaats om dit op te slaan en is het ook niet snel genoeg en moet het dus centraal staan, wat de server een single-point-of-failure maakt.

Voordeel is dat het hygiënisch is, alhoewel je er weinig aan hebt voor authenticatie op een pc in die zin dat je daarna op een vuil klavier moet gaan tokkelen. Het ding kijkt ook of er bloed door je aders gepompt wordt en dus nog kan ademen :)
Heb je hier misschien een linkje van naar de code die bijvoorbeeld Microsoft/Apple/Google/Huawei/Dell gebruikt?
Ben wel benieuwd welke data van mijn gezicht/vinger gebruikt wordt en hoe vervolgens die hash wordt berekend.
Deze code heb ik niet zo snel beschikbaar, zeker omdat je via een API moet werken bij smartphones en deze simpel een true/false terug geeft indien wel/niet geautoriseerd, verdere data krijg je niet.

Echter heb ik vroeger veel met vingerafdruk scanners gewerkt om o.a. tijdklok- en toegangssystemen te ontwikkelen. Uit de diverse vingerafdruk sensoren kregen we gewoon netjes een hash welke we konden opslaan in de database.

Het zijn dus geen gifjes/jpegs ofzo welke we op een CSI manier moesten vergelijken in de database :)
Nee hoor, niet als de gebruiker daar zelf toestemming voor geeft.
Helaas, dat zijn bijzondere persoonsgegevens. Hoe dat verder in elkaar zit kan ik je niet precies zeggen. De wetgever mag het volgens mij wel en anderen niet.
Enige nuance: Er moet wel een zwaarwegend belang zijn. Als het mogelijk is om een andere manier van authenticatie te gebruiken dan mag het dus niet:

"Het gebruik van de vingerafdruk moet hiervoor dan wel noodzakelijk zijn. Dat wil zeggen dat uw werkgever het doel, in dit geval toegangscontrole, niet op een andere manier kan bereiken.

Een manier die die minder ingrijpend is voor de privacy van werknemers, zoals gebruik van een toegangspas. Alleen als uw werkgever het doel niet op een andere manier kan bereiken, is er sprake van noodzaak."
En aangezien het altijd wel op een andere manier te bereiken is mag het dus gewoon niet. Niet voor het gemiddelde bedrijf in ieder geval. Kan me voorstellen dat op sommige plekken het wel toegestaan zal zijn, zoals bij bijvoorbeeld een opslagplaats of laboratorium met gevaarlijke stoffen waar je niet zou moeten willen dat je er bij kan met enkel een pasje.
Ken een bedrijf die inklokken met een vingerafdruk had geïmplementeerd. Toen kwam die wet er en moesten ze weer over op pasjes. Ze hadden zo'n instelling van dat je nooit je vingers kan vergeten, maar wel zo'n pasje. Tja, misschien onschuldig daar, maar die wet is ergens ook wel logisch. En voor het inklokken is het totaal niet noodzakelijk.
Noodzaak is en blijft altijd een discussie. Kan x echt onmogelijk uit worden gevoerd zonder deze gegevens? Je kan bijvoorbeeld een heel alternatieve persoonsregistratie systeem opzetten waar in je geen persoonsgegevens (naam, bsn) weet maar mensen een alternatief onherleidbaar nummer hebben (bouwpas bijvoorbeeld) . Om iets met persoonsgegevens te doen moet je voldoen aan 1 van de 7 grondslagen. Van deze grondslagen zijn er 6 altijd discutabel en alleen de laatste toestemmen concreet. Al heb je daar weer het risico van machtsverhoudingen.

[Reactie gewijzigd door Redstone op 25 april 2019 10:35]

Ligt er maar net aan wat voor type bedrijf het is. Bij een metaal bewerkins bedrijf is het hebben van hetzelfde aantal vingers aan het begin van de dag en aan het eind van de dag geen 100% zekerheid. Vleesverwerkingsbedrijf: Daar geldt hetzelfde voor. Ongelukken zitten altijd in een klein hoekje
En voor wie te lui is om de link door te lezen specifiek dit stuk:
Nederland heeft in de UAVG bijkomende voorwaarden hierover vastgesteld. Het verbod op het verwerken van biometrische gegevens is in Nederland niet van toepassing als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Quote uit jouw link: Volgens de AVG is het verwerken van biometrische gegevens om iemand te identificeren in beginsel verboden. Iets verderop uit jouw link: Het verbod op het verwerken van biometrische gegevens is in Nederland niet van toepassing als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Aangezien het in deze casus geen noodzaak betreft lijkt het me nog steeds verboden.

[Reactie gewijzigd door MrX_Cuci op 25 april 2019 23:47]

Een paragraaf veder leggen ze het uit met een voorbeeld van een sportschool:
Uw sportschool heeft geen noodzaak om uw vingerafdruk te verwerken. Uw sportschool mag uw vingerafdruk daarom alleen gebruiken als u hiervoor toestemming geeft.

Ik ben nog altijd van mening dat een noodzaak altijd discutabel blijft, en alleen toestemming een organisatie zekerheid geeft. Noodzaak wil zeggen echt onmogelijk om het anders op te lossen, en dat is natuurlijk nooit zo.
Is het nodig om de gegevens zelf op te slaan? Of zou je net zoals bij een wachtwoord ook op basis van een hash kunnen werken? Daarnaast wordt de vingerafdruk bij devices vaak op een aparte chip opgeslagen, waar het OS niet bij kan.
Die hash zou dan te herleiden zijn naar een persoon. Lijkt mij dat dit dan ook niet mag?
Je user name en ww is ook te herleiden naar een persoon... Wat is het verschil?
Username en ww kan je veranderen. Je vingerafdruk niet.
De hash dan weer wel.. En userName veranderen ja? Dat zie ik toch niet vaak gebeuren bij bedrijven.

Maakt ook weinig uit denk ik. Imo wordt de avg misbruikt in veel gevallen. Denk na of iets nodig is of niet en of het misbruikt zou kunnen worden.

Regels over verwijderen van dit soort data na uit dienst treden etc zijn belangrijker

Imo is een hash van je vingerafdruk prima om op te slaan binnen een bedrijf en zie graag hoe dit misbruikt zou kunnen worden
Een hash is niet te herleiden naar een uniek persoon. Denk maar aan je pincode en 17miljoen Nederlanders. Er zijn er genoeg die dezelfde pincode hebben maar wie er specifiek behoort bij een bepaalde pin ... zijn er waarschijnlijk nog zo'n 1700. Een gezonde hash is iets groter maar werkt in essentie op dezelfde manier. Zolang duidelijk is dat iets niet uniek te herleiden is mag je dit binnen een voldoende beveiligde omgeving, gewoon opslaan (nooit het origineel).
Een vingerafdruk is uniek. De hash van de vingerafdruk dus ook. Er is, bij mijn weten, nog nooit een zelfde vingerafdruk gevonden bij verschillende personen.
Niet dus.

Stel dat jouw vingerafdruk karakteristieken K-5-G-7 zijn en de hash is even heel simpel alles in ASCII waarden optellen. Dan zou jouw hash 75+53+71+55 = 254 zijn. Er wordt opgeslagen: MrX_Cuci, 254.

Stel dat mij vingerafdruk karakteristieken G-7-5-K zijn. Wederom alles in ASCII waarden optellen levert 254 op. Er wordt opgeslagen HAMSTEG, 254.

Als jij nu in de dbase kijkt staat daar:
...
MrX_Cuci, 254
HAMSTEG, 254
...

De hash is niet uniek. Hoe complexer de berekening van de hash hoe minder groot de kans dat deze meerdere keren voorkomt, maar bij hashes is er geen garantie dat het resultaat uniek is en daarom mag je deze gegevens opslaan.

Disclaimer, dit voorbeeld is niet AVG proof. Gegevens zouden in gescheiden dbases moeten staan met een niet herleidbaar id als key.
Vingerafdruksensoren verwerken geen afbeelding. De vingerafdruk op zich wordt dus al niet opgeslagen.
De AVG heeft het niet over opslaan, maar over verwerken. Ook het omzetten van een gescande vingerafdruk naar een hash is een verwerking, en daarmee aan beperkingen onderhevig
Het is altijd een hash volgens mij. Alle gegevens opslaan van je vinger afdruk is veel meer dan een goede hash.
De check is dan sneller omdat het compacter is. Ook heeft het voordeel in opslag.
AVG is helemaal geen ding volgens mij, het is niet herleidbaar naar de originele data nml.

[Reactie gewijzigd door jozuf op 25 april 2019 07:41]

Een hash kan niet zoals ik het begrijp, want er worden eigenschappen (features) opgeslagen van je vingerafdruk, waarbij er slechts een aantal moeten overeenkomen bij authenticatie. Alle hashes zouden dan moeten worden opgeslagen voor elke mogelijke correcte combinatie van eigenschappen. Zie ook het antwoord van Nijn in 'nieuws: Microsoft raadt af wachtwoorden te laten verlopen in Windows...
Klopt het in strijd met de AVG om het op te slaan. Echter wordt die fingerprint lokaal opgeslagen op het secure element van de key dus niemand heeft er toegang toe. Dus ook jou admins hebben geen toegang tot jou fingerprint.
Nee hoor. Er wordt namelijk geen vingerafdruk opgeslagen. https://research.utwente....ction-matching-and-databa
Voor irisscan heb ik me er nooit in verdiept, maar zal ook via feature extraction gaan.
Artikel wel even lezen want het is leuke wiskunde en toegankelijk geschreven.
Biometrie opslag is in strijd met de AVG. Fingerprint, Iris scan oplossingen ed. kunnen zo de prullenbak in, zolang de wetgever daar nog geen regels voor heeft opgesteld.
De wetgever heeft daar bij de uitvoeringswet al regels voor opgesteld.
ZIe ook wat de AP hier over zegt:
Het verbod op het verwerken van biometrische gegevens is in Nederland niet van toepassing als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
https://www.autoriteitper...n/identificatie/biometrie

Het lijk mij dat dit dus wel degelijk kan, mits aan bovenstaande wordt voldaan
Biometrie gebruik is geheel conform de GDPR. Het wordt her en der genoemd als een valide geldige verwerking. Het is ook iet voor niets dat het met een paspoort via meerdere wijzen wettelijk verplicht is.
Met de nieuwe active directory build heb je straks passwordless login ( MFA dmv fingerprint)
Hoe is "enkel" een vingerafdruk nou Multi factor?
Het device waarop je inlogt tevens onderdeel is van diezelfde Active Directory
Je logt dus in op het device met jou account en authentiseert middels je vingerafdruk
Jaa maar als je nou niet op de zaak inlogt maar thuis, dan log je eerst lokaal in en niet direct met vpn.
Dan dient jouw toestel thuis (PC/mobiel/tablet/etc) ook aangemeld te zijn bij de AD. Zonder registratie van het toestel is het niet mogelijk om in te loggen.
Voor beide is een oplossing:
(Always on) VPN kan al actief zijn voordat je bent ingelogd
Cached Credentials op je device zorgen ervoor dat je kan inloggen zonder dat een verbinding actief is

Het is dus zeker niet zo dat je met elk device op elke locatie met alleen je vingerafdruk toegang krijgt dat de resources bij je bedrijf.
Het is gewoon 1 methode per device, dus als iemand je wachtwoord/pin/fingerprint heeft dan werkt dat alleen op die laptop. MFA is dus device + wachtwoord/pin/fingerprint waardoor remote hackers al geen mogelijkheid meer hebben
Of voor de meeste gebruikers: One key to loose them all... :+

Zorg wel eerst dat er een recovery mogelijk is voor je het inschakelt.
Ja is er ook en je admin heeft in principe toegang tot je account dus die kan de key ook blokkeren zodra je hem kwijtraakt dus voor pak hem beet 50 euro per medewerker ben je klaar.

Hoe vaak raak jij je sleutels kwijt? :P gebeurt ook niet dagelijks ;) .Daarintegen zullen veel mensen hem in de werk pc laten zitten daarom is biometrisch ook zo belangrijk aangezien je anders puur alleen knopje hoeft in te klikken als ze om verificatie vragen om in te loggen ( volgens mij op dit moment vereist het ook nog een pincode maarja laten we eerlijk zijn dat is ook vaak genoeg gewoon 0000 ) alhoewel zonder biometrisch blokkeer je nog steeds de meeste phishers etc.
Als er één wachtwoord is dat je de hele dag laat slingeren dan is het wel je vingerafdruk. Dat is makkelijk, maar volstrekt onveilig. Iris scan is ondertussen ook al een aantal keren gefopt.

Een goed wachtwoord en MFA via een los device (zonder benodige internet verbinding) is mijns inziens nog altijd the way to go.
Tegenwoordige technology voor authentication in apps is minstens zo veilig als een aparte digipass, wie heeft zo’n onding altijd bij?
Iemamd die hem altijd nodig heeft
Je auto kun je ook niet gebruiken als je de sleutel niet bij je hebt. Went snel, zelfs bij hardleerse mensen.
Maar veel te tijdrovend in een kantooromgeving waarbij je duizenden medewerlers hebt die soms tientallen keren per dag hun wachtwoord moeten ingeven.
Wat blokker inderdaad zegt. Het is een afweging van veiligheid en gebruiksgemak.

Ja bij voorkeur heb je natuurlijk:

Complex password
Hardware key met nog een extra fingerprint erop
En dan nog een extra pin of password op die key

Dan is de kans dat je ooit gehacked word toch echt gereduceerd tot zo goed als 0 maar zelfs dan is het in theorie nog steeds mogelijk.

Maar ik gok dat als het al teveel moeite is om een complex passwoord te kiezen dat jij inderdaad op kantooromgeving je medewerkers echt niet gaat overtuigen om dat te doen en helemaal je normale werknemers die gaan bij hun manager lopen klagen hoe irritant en complex die inlog procedure wel niet is en dan heb je de beste beveiliging maar dan kan IT met regelmaat op komen dagen om te resetten of je krijgt mensen die 123wachtwoord en 0000 als pin gebruiken omdat ze inderdaad meerdere malen per dag moeten inloggen.
Hoe vaak raak jij je sleutels kwijt? :P gebeurt ook niet dagelijks ;) .Daarintegen zullen veel mensen hem in de werk pc laten zitten daarom is biometrisch ook zo belangrijk aangezien je anders puur alleen knopje hoeft in te klikken als ze om verificatie vragen om in te loggen.
Waardoor je dus het hele principe van een 'secure key' ongedaan maakt.

Je laat je auto toch ook niet geparkeerd buiten staan met de sleutels in het contact? Als iemand dat binnen mijn bedrijf flikt, dan heeft ie gelijk een waarschuwing wegens grove nalatigheid aan zijn broek.
Ja dat snap ik :P maar de realiteit is toch vaak dat mensen het toch doen.

Zelfde met niet je passwoord met 1 letter verlengen. Dat spreekt voor zich maar toch gebeurt het op grote schaal :+
Ik hoop dat het inderdaad propere multifactor authenticatie wordt, en niet dat er puur gebruik gemaakt zal gaan worden van biometrische eigenschappen. Die zijn namelijk niet vervangbaar.
Inderdaad !!! Enkel biometrie is een heel slecht idee
Je kunt, zeker op enterprise niveau, wel wat meer eisen stellen aan een wachtwoord. :) Je kunt ook instellen dat een wachtwoord niet teveel mag lijken op een van de vorige wachtwoorden (wat ook instelbaar is). Wachtwoord123 -> Wachtwoord1234 doet dat dus en valt dan dus af. Dus het hoeft niet zo simplistisch te zijn als dat jij momenteel doet lijken dat het is. ;)

[Reactie gewijzigd door CH4OS op 25 april 2019 00:14]

Natuurlijk kun je dat instellen. Maar dan regent het weer support calls van mensen die hun wachtwoord vergeten zijn. Of gebruikers gaan workarounds verzinnen zoals wachtwoorden op briefjes schrijven. Mensen hebben werk te doen, voor de meeste gebruikers hoort ingewikkelde wachtwoorden onthouden daar niet bij.

Microsoft heeft groot gelijk dat ze dit eruit halen, het is een vals gevoel van veiligheid. Je denkt jezelf te beschermen door wachtwoorden periodiek te wijzigen, maar dat werkt alleen maar averechts. Je kunt beter een sterk wachtwoord gebruiken en dat nooit wijzigen, dan een zwak wachtwoord omdat je het elke maand moet wijzigen.
Je kunt beter een sterk wachtwoord gebruiken en dat nooit wijzigen, dan een zwak wachtwoord omdat je het elke maand moet wijzigen.
Dit is een beetje een dooddoener die ik vaker tegenkom. Een eerlijke vergelijking is het gebruik van een sterk wachtwoord wat nooit verloopt of een sterk wachtwoord wat wel verloopt. Die tweede is, mits men er goed mee om gaat (awareness!) , veiliger dan de eerste.

Het probleem rond opschrijven word vaak ook behoorlijk overdreven. Dat punt is niet weg wanneer men een wachtwoord niet meer hoeft te wijzigen, zeker niet wanneer men alsnog een sterk wachtwoord vereist.

Overall is het een kwestie van verstand gebruiken en verantwoording nemen; ook door de eindgebruikers.
Het probleem is dat het concept van 'sterk wachtwoord' vaak verkeerd wordt opgevat, ook door developers van Active Directory.

Een wachtwoord wordt er niet significant sterker door als je een cijfer en een leesteken gaat eisen, maar het wordt er wel significant sterker door als je het langer maakt. Dat is gewoon simpele wiskunde, want de moeilijkheidsgraad van een wachtwoord neemt exponentieel toe met de lengte en veel minder met de grootte van het alfabet.

Uiteraard mag deze XKCD hier niet ontbreken.
[...]


Dit is een beetje een dooddoener die ik vaker tegenkom. Een eerlijke vergelijking is het gebruik van een sterk wachtwoord wat nooit verloopt of een sterk wachtwoord wat wel verloopt. Die tweede is, mits men er goed mee om gaat (awareness!) , veiliger dan de eerste.
Ik denk dus dat dat niet zo is. Je kunt een sterk wachtwoord bedenken en dat onthouden, maar dat ga je niet iedere maand opnieuw doen. Dus als het elke maand gewijzigd moet worden, gaan mensen een systeem gebruiken. Opnummeren of de maand gebruiken. Dit maakt het wachtwoord aanzienlijk onveiliger, want een inbreker doorziet deze systemen ook en kan dus bij een verlopen wachtwoord het nieuwe wel raden.

Daarentegen bescherm je jezelf tegen niks door het wachtwoord te laten verlopen. Een inbreker die een wachtwoord heeft gestolen, laat dat niet eerst een halfjaar laten liggen, want dan is de diefstal misschien ontdekt of de gebruiker werkt er niet meer. Als dief probeer je meteen of je het gestolen wachtwoord kunt gebruiken. Daarmee maakt het geen verschil of het wachtwoord in de toekomst verloopt of niet.

Daarbij inderdaad nog de soms absurde eisen. Te lang, niet lang genoeg, geen leestekens of juist wel. Als gebruiker die veel verschillende systemen gebruikt is dat hopeloos. Eigenlijk zijn wachtwoorden niet meer van deze tijd. De beveiliging is relatief slecht (want zwakke wachtwoorden), het kost gebruikers veel moeite en ze lekken gemakkelijk uit. Tijd voor iets nieuws.
Ik ben geen fan van alleen maar dat en geen wachtwoord. In veel gevallen is een wachtwoord ook het enige wat je goed beschermt tegen overheidsbemoeienis. Ik heb geen criminele activiteiten te verbergen, maar ik ga principieel weigeren iemand toegang tot mijn encrypted spul te verschaffen en die wachtwoorden zitten alleen in m'n hoofd. Afgezien daarvan vind ik het geen prettig idee om mijn biometrische gegevens op een dergelijke manier weg te geven met grote risico's op lekken naar criminelen.
Biometrie is een username, geen password.

Vingerafdrukken als password zijn een slecht idee. Op elke koffiekop laat je een kopie van je password achter, en je kan het niet veranderen.

In geval van erg gewilde data (bank pincodes?) heb ik liever een code die ik onder dwang kan afgeven dan dat de crimineel zegt: doe me die vinger maar.
Met de nieuwe active directory build heb je straks passwordless login ( MFA dmv fingerprint).
Ja, briljant (SARCASME)!!

Je hele bureau staat vol met je vingerafdrukken, en dan log je in met een vingerafdruk....

Achterlijker kan bijna niet. Enige wat nog dommer is, is een wachtwoord op een post-it schrijven en op de rand van je beeldscherm plakken.
En ik gok dat jij uiteraard ook je mobiel niet unlocked met Face ID of je vingerafdruk en uiteraard jou telefoon een pincode heeft met minimaal 8 cijfers etc en alles extra protected is dus per app een ander wachtwoord of wacht is dat allemaal net teveel werk en heb je het netjes opgeslagen in lastpass of dashlane ( Maakt het ook makkelijker voor ze).

Sorry hoor maar voor 99,9% van de gevallen gaat een hacker echt geen toegang krijgen tot je vingerafdrukken. Want 99% van de gevallen van phishing zijn gestoeld op het bemachtigen van je password en zit de persoon die het hackt niet naast je op kantoor en dan moet die ook nog je hardware key bemachtigen. Dus 1. online is al niet mogelijk 2. hoeveel bedrijven worden aangevallen door fysieke hackers?

En als je bij een bedrijf werkt dat inderdaad zulke belangrijke tech heeft dat fysieke hackers er in willen komen dan ga ik ervanuit dat je ook niet binnenkomt op de afdeling zonder : Acces management / bewaker die het checkt of jij wel de juiste persoon bent en ga zo maar door.

Maar ik raad je gerust aan om een bedrijf te starten waar je elke 2 weken je password moet vervangen / gecombineerd met elke keer een nieuw password aangezien het wel uniek moet zijn en uiteraard moet het ook complex genoeg zijn. Leuk voor de theorie maar jouw medewerkers gaan dat of niet doen of ze schrijven het op ;). Dus wat voor jou 100% security lijkt blijkt dan toch in 1 klap zo lek als een gatenkaas te zijn en theorie is leuk maar in de praktijk kiezen medewerkers de makkelijkste weg dus die gaan inderdaad die Post-it ophangen aangezien je het zo lekker ingewikkeld heb gemaakt ;).

En uiteraard als er geen actie op de pc plaatsvindt dan lockt die zichzelf automatisch en dan moet de medewerkers dat complexe passwoord weer invoeren ;) oh wacht medewerkers laten hun PC dan gewoon openstaan aangezien ze geen zin hebben om elke keer die stap te nemen.

[Reactie gewijzigd door Zyphlan op 25 april 2019 05:47]

[...]


Ja, briljant (SARCASME)!!

Je hele bureau staat vol met je vingerafdrukken, en dan log je in met een vingerafdruk....
Op het moment dat een 'hacker' al toegang heeft tot je bureau dan heb je een groter probleem. En ik mag hopen dat je dan gewoon een fatsoenlijk inbraakalarm hebt.
Er zijn ook mensen (gebruikers) die helemaal niet zitten te wachten op MFA (2FA). Die vinden het wachtwoord wijzigen al storend en extra factoren bij het inloggen draagt daar niet aan bij.

Wij zijn het ook aan het implementeren en ikzelf ben er ook niet kapot van. Hoop gedoe allemaal als je bedenkt dat er nog nooit iets is gehackt. Wij zijn ook geen overheid of bank of iets waar mogelijk interessante data te halen valt.

Vanuit het veiligheidsoogpunt draagt het inderdaad bij. Dat zal niemand ontkennen, maar zelfs mijn bank (ING) gebruikt het niet.

Ik vind het voor onze organisatie maar zware overkill. Ik ga er alleen niet over en heb maar uit te voeren.
Ik snap het uiteraard. Maar je krijgt dus in principe dat je ook geen passwoord meer hoeft te onthouden.

Kwestie van key inpluggen en je vinger erop leggen en je logt in. Dus het word in principe makkelijker voor medewerkers en dat gaat voor groot gedeelte van de bedrijven meer dan genoeg zijn ( het is meer dat zonder password phishing niet meer mogelijk is aangezien ze toegang tot je key moeten hebben en je vingerafdruk).

Voor nog een laagje extra beveiliging kun je nog een pincode erop leggen maar dat gaat inderdaad voor 9/10 bedrijven al overkill zijn.

Ik persoonlijk gebruik ook grotendeels van me tijd vingerafdruk om me telefoon te unlocken en dat is toch echt wel stukken fijner dan password.

[Reactie gewijzigd door Zyphlan op 25 april 2019 10:15]

Zo werkt MFA hier niet. Dat is een mogelijke toepassing.

Hier is het gebruikersnaam + wachtwoord + goedkeuring (kan op verschillende manieren) via een telefoon.
Ja verschilt natuurlijk ook per bedrijf. maar in principe als jij straks geen passwoord meer nodig hebt maar net zoals je telefoon gewoon je pc unlockt met je vingerafdruk dan heb je dus dat hele push via telefoon niet meer en ook niet gebruikersnaam en wachtwoord.

Dit komt er over 1-2 maanden aan ( nog wachten totdat microsoft de nieuwe azure AD build release voor bedrijven).

https://www.youtube.com/watch?v=bgyNfUawXJo
Toen ik jouw reactie las dat dit binnenkort ook beschikbaar zou zijn voor Active Directory heb ik direct jouw link geklikt. Wij hopen namelijk al heel lang op iets als finger print ondersteuning voor de Active Directory. Echter kan ik op die pagina niets vinden over de Active Directory, hooguit over de Azure Active Directory, onderaan de pagina:
We are currently building the same sign-in experience from a browser with security keys for work and school accounts in Azure Active Directory.
Vooralsnog geen Active Directory ondersteuning dus, of je moet een andere bron hebben waaruit dit wel blijkt.
Sorry excuses moet Azure Active Directory zijn :).
Jammer. Ook een beetje vreemd van Microsoft dat ze het wachtwoord principe achterhaald vinden maar dat je (zonder plugins van derden) geen ondersteuning hebt voor TWA of fingerprint in de Active Directory.
Uiteindelijk is een vinger-afdruk op 1 of andere manier gedigitaliseerd. Daarmee is het 1 (groot) wachtwoord. Het lullige is dat de meesten daar 10 varianten in hebben dus vaker kunnen we het niet veranderen.
"De praktijk is achterhaald, omdat een kwaadwillende een gestolen wachtwoord immers per direct kan gebruiken, waardoor het beleid van een nieuw wachtwoord elke twee maanden daar niet tegen beschermt."

Nogal simplistisch neergezet, hooguit een halve waarheid. Veel "gestolen" wachtwoorden bestaan uit oude hacks die boven tafel komen zoals te vinden op haveibeenpwned. Het uitgangspunt is hier dat veel mensen hetzelfde wachtwoord gebruiken voor meerdere diensten, inclusief dus mogelijk AD.

Expiring passwords verdedigen wel degelijk tegen dit veel voorkomende fenomeen. Is het een volledige beveiliging? Nee, maar het helpt.
Maar het veroorzaakt:

1) dat mensen simpele opvolgende wachtwoorden kiezen omdat het anders te moeilijk te onthouden is
en/of
2) dat mensen post-its op hun monitor gaan plakken met het wachtwoord van die maand.
Ik gebruik altijd een passphrase die ik elke 90 dagen verander. Een passphrase is vaak makkelijker te onthouden. Natuurlijk is er nog wel een discussie dat een passphrase eenvoudiger te bruteforcen zou zijn wanneer je zinnen bouwt met woorden. Per letter bruteforcen duur natuurlijk veel langer.
https://arstechnica.com/i...-because-of-poor-choices/

Veel mensen maken normale zinnen als passphrase en dus kun je ook proberen te hacken door zinnen te maken met veelgebruikte woorden ipv losse tekens. En hierdoor blijken veel passphrases niet eens zo veel veiliger te zijn dan complexe wachtwoorden.
Totdat je bedenkt dat je in een internationale omgeving zit en je niet weet van welke taal je het woordenboek moet gebruiken. Je moet rekening gaan houden met hoofdletters, leestekens, ... . Want men vergeet vaak wel eens dat het niet is omdat complexiteit niet meer vereist is, dat het niet meer is toegestaan.

En zelfs als ze marginaal veiliger zijn, dan zijn ze nog altijd veiliger.
Een dictionary attack op een passphrase is niet eens zo veel sneller omdat je als aanvaller niet weer hoe lang je passphrase moet zijn en omdat het woordenboek in verhouding veel groter is.

De enige situatie waarin een passphrase echt zwakker is, is als je alleen lowercase woorden zou gebruiken en geen leestekens. Een volledige zin ("The quick brown fox jumps over the lazy dog!") krijg je daarmee al niet ontfutseld vanwege de hoofdletters en het uitroepteken aan het uiteinde.
Hm, ben niet erg overtuigd.

Aantal letters (inc hoofdletters en veelgebruikte leestekens): ~60.

Aantal woorden in de dikke van dale: 240000

Iets zegt mij dat het bruteforcen van een 8 character pw een stuk makkelijker is dan een 8 woord passphrase.
In dikke van dale staan natuurlijk ook een hele hoop woorden die niet gebruikt worden in het dagelijks leven. Dus ze gaan zinnen maken met meeste gebruikte woorden.
Dat zijn er nog altijd een stuk meer dan 60
Tja daarom gebruik ik ook een pw safe zodat ik wachtwoorden niet hoef te onthouden en ik ze lekker ingewikkeld kan maken. En mijn pw safe is weer beveiligd met MFA.
Maar daar kan je dan weer niet aan vanop de login prompt van je OS.
1. Je kan moeilijk paswoorden afdxingen
2. Fysieke controle, 1 keer posit waarschuwing, 2de keer ontslaan zo simpel is het.

Altijd die flauwe excuses.
Een goed moeilijk paswoord is helemaal niet onmogelijk gewoon een beetje moeite doen.
Ligt net aan je bedrijf, ik ken bedrijven die perse willen dat je min 12 karakters gebruikt, sommige slaan helemaal door en willen min 20 karakters.

Ontslaan is gelukkig niet zo makkelijk.
Je kan tegenwoordig ook bekende passwoorden en logische wachtwoorden voorkomen.
https://techcommunity.mic...lly-available/ba-p/377487
Wat zul jij populair worden als je door het pand loopt :D
Mensen gaan alleen handiger worden in het verbergen van hun post its...
Tja, terwijl hybride helemaal niet zo verkeerd hoeft te te zijn.
Perfectie is namelijk niet bereikbaar - maar als ik eenmaal du7%wn9ls uit mijn hoofd leer. En elke maand een nieuwe post-it maak met daarop een aanvulling als RS4H of JMs9 dan is die combinatie waarschijnlijk beter dan wat de gemiddelde gebruiker doet.
Laat dan niet een policy dat dwarsbomen met "je oude en nieuwe WW lijken op elkaar".
Dan gaat het hele wachtwoord op een briefje (omdat elke maand een geheel 'goedgekeurd en vers' WW nodig is) of er komt elke maand een uit de rij Brazilie1234! Argentinie1234!.
Educatie, verplaatsen in de gebruiker, en tools helpen hier veel beter dan 'zo streng mogelijk'.
Nog los van het hoofd security die van zichzelf in mag loggen zonder token (want hij is expert en zal nooit in phishing trappen hè).
Overigens, ken je die van de mobiele policy waar je regelmatig aan een nieuwe PIN moet? Ook zo'n securitygrap. Of het niet-werken van SSO - waardoor allerlei kantoorapplicaties (zoals outlook) een popup geven voor de domaincredentials. Way to go for security.

Hulde aan Microsoft voor het sturen in dit geval (en dat zeg ik niet vaak hoor).
"je oude en nieuwe WW lijken op elkaar"
Dat zou niet mogelijk moeten zijn. Hiervoor heb je namelijk het letterlijke vorige wachtwoord nodig, wat zou betekenen dat deze ergens ongehasht opgeslagen moet zijn (ongehasht is niet gelijk aan onversleuteld). Wanneer een wachtwoord gehasht wordt is het niet haalbaar om dit te controleren.
Simpel voorbeeld met MD5 hash:
Welkom01 -> 288116504f5e303e4be4ff1765b81f5d
Welkom02 -> ab679d0ac901760c485fc5704071911e
Ze kunnen stukjes hash opslaan. Bijvoorbeeld geknipt in stukjes van 5 tekens, en de hashes daarvan vergelijken.
Het knippen kan ook door leestekens en cijfers eruit te gooien, de letters lowercase ta maken (en als het er meer dan 5 zijn) die te hashen.
Verdorie, nu geef ik allemaal ideeen voor iets verkeerds...
(En al die losse stukjes zijn nog steeds veel makkelijker te cracken dan complete wachtwoorden... niet doen dus!)
Ik lees een boel aannames die uitgaan van het slechtste. Wachtwoorden opslaan op een briefje gebeurt ook nog wanneer een wachtwoord niet gewijzigd hoeft te worden. SSO is niet altijd per definitie veiliger maar kan zelfs onveiliger zijn dan losse credentials per applicatie afhankelijk van de implementatie en hoe men daar met credentials omgaat en een hoofd security die geen token hoeft te gebruiken wanneer het beleid dit wel voorschrijft is een vergezochte uitzondering. Daar horen disciplinaire maatregelen tegenover te staan. Bij jouw voorbeeld met een toevoeging op Post-it's heb je maar 2 Post-it's nodig (en daarmee een beperkte tijd) om het schema te doorzien.
Pin op je telefoon .tssss wij gaan toch echt voor minimal 8 caracters. :9
Ik snap heel het probleem niet, hoger studies gedaan maar een wachtwoord onthouden .. ho maar.

[Reactie gewijzigd door klakkie.57th op 25 april 2019 09:14]

Ja, want Jan is dan wel de beste verkoper die we hebben, maar heeft al 3x een slecht pw verzonnen. Dus we ontslaan hem maar.

ITers vergeten nog wel eens dat computers gereedschap zijn, niks meer en niks minder.

Als je users slechte passwords gebruiken (en het is daadwerkelijk een probleem, in de meeste kantooromgevingen is het windows password eigenlijk alleen maar bedoeld om pranks van je collega's te voorkomen) dan moet je IT beheer ontslaan omdat ze het kennelijk te moeilijk gemaakt hebben. Niet de users.

Doe iets met hardware keys ofzo.
Paswoorden op PostIt plakken onderaan je scherm, daar ging het over. Moeilijke paswoorden zullen we wel afdwingen :9
Benieuwd of je ook zo zou reageren wanneer je dokter zomaar je gegevens laat rondslingeren.
Een veranderend, opvolgend password is nog altijd beter dan een oneindig statisch wachtwoord, lijkt me.
Nee dat is het niet echt, als iemand gericht op jou account probeert in te loggen en die kan uit jou wachtwoord opmaken dat je een nummering of datum gebruikt dan is het vrij simpel te bruteforcen.

Het is beter om over te stappen op passphrases en overal een ander wachtwoord te gebruiken dan elke maan een nieuw wachtwoord te moeten verzinnen wat het gebruik van makkelijk te onthouden onveilige wachtwoorden promoot.

De kans dat je Windows wachtwoord gestolen word is vrij klein en dan is het inderdaad meestal toch al te laat. Als je nu nog een wachtwoord gebruikt dat ergens in een database staat dan heb je het dus ergens al anders gebruikt. En als je een mail krijgt dat de site ergens een datalek heeft gehad wijzig je dat wachtwoord voor die site.

Anti-mens maatregelen met vage karakters en vaak het wachtwoord wijzigen zijn echt schijnveiligheid. Special characters verhogen de complexiteit van het wachtwoord bij een bruteforce aanval bijzonder weinig in verhouding met een langere makkelijk te onthouden passphrase. En die zijn ook veel minder vatbaar voor dictionary/rainbow table attacks.
Dat vang je af door de awareness te verhogen van de medewerkers. Educatie dat dit soort gedrag onveilig is.

De voorbeelden die je aanhaalt gebeuren zeker maar lang niet in de mate dat sommige mensen graag doen geloven.

Vergeet niet dat een niet verlopende authenticatie factor vereist dat deze direct wordt gewijzigd wanneer misbruik wordt vermoed. In de praktijk gebeurt juist dat niet altijd of is men niet op de hoogte van het misbruik.

[Reactie gewijzigd door Bor op 24 april 2019 22:07]

Het laten verlopen van wachtwoorden is gewoonweg een tool die samen met awarenes, beleid, training een veiliger password beleid kan bewerkstellen, dit weg halen lijkt mij een slechte zaak.
Het "oude" password Fkehd@1! is achterhaald, maar het laten verlopen van passwords imho nog niet.

Dat overactieve beheerders elke 2 weken een nieuw password willen en daarmee juist contraproductief zijn is een ander verhaal, dat MS graag iedereen AzureAD (of minstens een hybride variant) in forceert is ook een ander verhaal, en dat ze graag van GPO gaan afstappen en iedereen Intune in willen hebben ook....
Kan veroorzaken. Of dat kan is hangt af van de eisen, de middelen en of die eisen met de middelen afgedwongen worden.

Het is nogal eenzijdig om alleen te kijken wat voor negatieve kanten eisen en middelen hebben, zoals Microsoft lijkt te doen en reacties zoals deze. Beveiliging eenzijdig benaderen is ook niet van deze tijd.

Ik zie niet in waarom het verlopen van een wachtwoord per definitie zo fout zou zijn dat het geen keuze zou mogen zijn.

Gebruikers gaan er geen sterke wachtwoorden door nemen, luie gebruikers wijzigen hun wachtwoorden er niet door, het voorkomt niet dat er post-its gebruikt worden. Er zijn zowel voordelen als nadelen aan het het laten verlopen van wachtwoorden. Door daar geen keuze in te geven is er een middel minder, geen oplossing extra.

Ik zie liever dat Microsoft de gebruikers en beheerders keuzes geeft en ze niet ontneemt.
Zoals de opties in iets als Outlook. 25 schermen met opties hoe je mail te laten werken, en de meeste combinaties werken niet goed samen.
Wat zijn gebruikers beter geholpen met iets dat 'gewoon' werkt - zonder vreemde valkuilen.
1) dat mensen simpele opvolgende wachtwoorden kiezen omdat het anders te moeilijk te onthouden is
Mijn ervaring is toch wel dat mensen dit sowieso wel doen.
Een omgeving waarin iedereen één goed wachtwoord heeft (enforced of door gebruikersopleiding) is veel beter dan één waarin password resets de normaalste zaak van de wereld worden en volgnummers en dergelijke gebruikt worden.
De aanbeveling is al langer niet volledig te vertrouwen op de built-in policy en oudere requirements (password maximal age, complexity requirements) te laten vallen ten faveure van sterke wachtwoorden en beter nog, multifactor en/of "smart" authenticatie.
Wat je hier zegt is niet onwaar, maar hoe garandeer je dat je end-users daadwerkelijk één goed wachtwoord gaat verzinnen en niet gewoon toch een simpel wachtwoord gebruiken/recyclen? Dat is namelijk wel een fundamentele drager van dat principe...
Door ze op te leiden en een password filter (of Azure AD) te gebruiken.
Maar vooral door te zorgen dat gerbuikers het zo weinig mogelijk nodig hebben! Als ze normaal een smartcard of iets dergelijks gebruiken, hebben ze er geen problemen mee een "moeilijk" wachtwoord te kiezen :)
(password maximal age, complexity requirements) te laten vallen ten faveure van sterke wachtwoorden
Sterke wachtwoorden hebben complexity. Het is niet het een of het ander maar het een en het ander wanneer je een goed voorbeeld wilt geven. Dit is hier een veel voorkomende misopvatting blijkbaar.
Het gaat om de policy die ze laten vallen, zie ook link.
Ik ben het overigens niet met je eens dan een "complex" wachtwoord (dat aan die policy voldoet) een beter wachtwoord is. (April19! vs aipojbfe)

Hetgeen echt van belang is, is de entropie van een wachtwoord.
Volgens de link gaat het nu juist niet om de policy die ze laten vallen maar om een veranderende baseline. Het artikel is inmiddels aangepast.

Ik zeg ook niet dat een complex wachtwoord per definitie een beter wachtwoord is echter is een sterker wachtwoord wel complex.

[Reactie gewijzigd door Bor op 25 april 2019 12:58]

Je kan ook je best doen om me verkeerd te begrijpen :D

In de aanbeveling hebben ze al jaren geleden deze policy "laten vallen". Ik bedoelde overigens ook mijn eigen link.

[Reactie gewijzigd door the_stickie op 25 april 2019 13:01]

Niet geheel correct: in 2017 werd nog steeds een max password age tussen de 30 en 90 dagen als best practise aangeduid door Microsoft en dat is slechts de eerste hit die ik vond.
Heb je mijn link (uit 2016) gezien?

De aanbeveling die je noemt is de aanbeveling als je de policy wil gebruiken.
Dan ga je uit van online diensten, en daar worden wachtwoord veranderingen zogoed als nooit afgedwongen. Ik kan vandaag op heel veel diensten nog altijd inloggen met hetzelfde wachtwoord als 15 jaar geleden. Dat kan ik op mijn werkaccount bijvoorbeeld niet. Daar moet ik het elke 2 maanden aanpassen.

Daarnaast, zoals in het artikel aangegeven bevatten heel wat wachtwoorden waar je regelmatig moet aanpassen een cijfercomponent die gewoon wordt aangepast, meestal met 1 enkel cijfer verhoogd. Dan is het dus gewoon een kwestie van uit te vissen hoe lang een wachtwoord geldig is, wanneer het geldig was en het aantal periodes bij het cijfer optellen.

En omdat wachtwoorden elke 2 maand moeten worden aangepast gaan gebruikers natuurlijk graag een kort, eenvoudig wachtwoord kiezen. Het is daarom beter om in plaats van elke 2 maanden een nieuw wachtwoord te kiezen het beter 1x in te stellen op een zeer lang wachtwoord. Trek die minimale lengte op nar 25 en laat de verplichting tot complexiteit vallen zodat men er gewoon een zin van kan maken als men wil.
Account "hacks" op basis van informatie uit databases met oude wachtwoorden zijn online dan ook schering en inslag.
Het type mens dat hun wachtwoord van braadworst01 naar braadworst02 veranderd gaan absoluut honderd procent gegarandeerd ook gewoon wachtwoorden recyclen die ze elders op internet gebruiken als je dat vervalbeleid uitzet en wachtwoorden wil hebben van 30 karakters dus ik geloof er gewoon niet zo in dat je er veel mee wint/verliest.

Dit is niet persé een motie voor of tegen een een beleid waarin wachtwoorden verlopen wat mij betreft maar het lijkt me ook erg kort door de bocht het gewoon als fout beleid weg te zetten, zoals nu een beetje lijkt te gebeuren.

Volgens mij ligt aan dit probleem primair gewoon laksheid en onwetendheid ten grondslag en heb je meer aan een beleid dat je zelf verzint op basis van kennis die je hebt van je eigen eindgebruikers in plaats van je beleid religieus te baseren op anekdotes van derden in andere scenario's.

[Reactie gewijzigd door Koffiebarbaar op 25 april 2019 11:40]

Volgens mij ligt aan dit probleem primair gewoon laksheid en onwetendheid ten grondslag en heb je meer aan een beleid dat je zelf verzint op basis van kennis die je hebt van je eigen eindgebruikers in plaats van je beleid religieus te baseren op anekdotes van derden in andere scenario's.
Gebruikers goed informeren helpt al in veel gevallen :)
Wachtwoorden laten vervallen is nooit een goed idee: https://www.sans.org/secu...e-password-expiration-die

Dit werd ook al uiteengezet in dit oud essay: https://cryptosmith.com/password-sanity/exp-harmful/
Als je het verhaal van microsoft goed leest dan staat daar dat hun advies (en de standaard instelling) is aangepast omdat er andere methodes zijn om toegang te beveiligen.
Uiteindelijk kan iedereen beslissen om toch de wachtwoorden te laten verlopen.

Bedenk dat er steeds meer toegang wordt gekregen zonder het wachtwoord te gebruiken. Met vinger-afdruk of pincode op een gekend apparaat en zo hoef je het wachtwoord praktisch niet meer te gebruiken. Als je het dan een keer nodig hebt (ander apparaat, pincode-oeps) dan moet je het dus meteen veranderen omdat je het al een jaar niet gebruikt hebt. Dat schiet dan dus niet op.

Maar ja, als je geen alternatieve en/of mfa toegang biedt, dan is het laten verlopen van een wachtwoord nog steeds mogelijk en zelfs geadviseerd.
De gelinkte bron heeft het over "proposed changes" waar men graag feedback op wil zien. Het artikel brengt het geheel als feit. Wat is nu de waarheid?
Microsoft is pleased to announce the draft release of the security configuration baseline settings for Windows 10 version 1903 (a.k.a., “19H1”), and for Windows Server version 1903. Please evaluate these proposed baselines and send us your feedback via blog comments below.
Gaat het hier nu daadwerkelijk om het laten vallen van de optie in de Windows code of alleen om de recommended baselines. Als ik de bron lees krijg ik het idee dat dit het laatste betreft.

[Reactie gewijzigd door Bor op 24 april 2019 21:48]

Het gaat om een voorstel. Maar wel een voorstel dat in lijn is met de guidance die ze tot nog toe bieden.
Langs de andere kant denk ik dat nog teveel klanten op deze policies rekenen en er niet zomaar van willen afstappen. Microsoft volgt meestal de wensen van de (grote) klanten wel.
Ik zie deze aankondiging voorlopig meer als het creëren van "awareness".
Bij mijn vorige werkgever moest ik mijn wachtwoorden van vier systemen elke maand veranderen, ik had op een bepaald moment bedacht dat ik het wachtwoord de maand van het wijzigen zou noemen + jaartal. Dit deed ik met al mijn accounts.

Dit deed ik in het begin niet en ik moest regelmatig naar onze IT afdeling bellen, die gebrekkig Nederlands of Engels spraken, dat bracht enorm veel frustratie en irritatie mee.

Ze hadden van mij de optie lekker er in kunnen laten, zolang je niet verplicht bent om hem te gebruiken, dus vind vreemd dat ze de optie niet als een optie erin laten zodat iedereen het lekker zelf kan weten.

Ik kan overigens niet wachten totdat ik een laptop hebt die door middel van gezicht of vinger ontgrendelt kan worden!

[Reactie gewijzigd door Dhr.Maassen op 24 april 2019 20:48]

Heeft vermoed ik puur te maken met het feit dat Microsoft men wilt forceren om deze oude standaard te laten varen. Dat moet soms..
Ze hadden van mij de optie lekker er in kunnen laten, zolang je niet verplicht bent om hem te gebruiken, dus vind vreemd dat ze de optie niet als een optie erin laten zodat iedereen het lekker zelf kan weten.
Goh, ja, hadden ze kunnen doen. Maar als het dan inderdaad toch niet zoveel bijdraagt aan de systeemveiligheid en het vooral tijd verspilt op de helpdesk en toedraagt aan de frustratie van mensen, gooi het er dan maar meteen uit. Je gaat altijd zo'n koppige beslissingsnemer hebben (die over dit soort beslissingen gaat) die erop staat dat dit ingeschakeld blijft. Zo'n beetje als waar je op veel plaatsen hoort "Cloud? Cloud?! Je bent goed gek zeker?! Da's onveilig/duur/ongemakkelijk" (en ja, public cloud is dat allemaal als je er dezelfde (slechte) praktijken op nahoud als op on-prem.)
De reden dat men ze er uit wil is omdat er een steeds bredere consensus komt dat het net minder veilig is.
Ja opzich raar dat ze het er uit halen aangezien het in principe niet hoeft om het te verwijderen.

Gok dat ze bedrijven toch meer weg willen halen van schijnveiligheid.
schijnveiligheid, Zoals dhr Maassen hier in extreme vorm bevestigd.. en dat zo te zien voor jarenlang :+

Het is goed dat ze het eruit halen, dit laat men nadenken over beveiligingsmaatregelen die wel effectief zijn. Het standaard wachtwoord wijzigen eens in de zoveel maanden is inderdaad niet meer van deze tijd.

[Reactie gewijzigd door Ocin32 op 24 april 2019 20:53]

Wat is dan wel van deze tijd? Een wachtwoord wat nooit verloopt? MFA met een vast wachtwoord is bijna te vergelijken met een enkele factor en biometrische zaken kennen grote nadelen want niet veilig of een mogelijke grote privacy inbreuk.

Het controleren van wachtwoordlijsten ondersteund Windows ook niet native.

[Reactie gewijzigd door Bor op 24 april 2019 21:30]

Wellicht MFA met een pincode bijv. die niet te makkelijk mag zijn. Pincodes gebruiken we nog steeds op bankpassen en dat wordt nog altijd als veilig geacht. En als je maar 3 keer mag raden en je hebt 9999 mogelijkheden of 99999 als je 5 cijfers doet wordt dat al lastig te raden (mits je de 12345 en 00000 etc blokkeert). Een pincode is ook iets wat mensen veel makkelijker kunnen onthouden.

Ik ken ze ook genoeg hoor mensen met wachtwoorden als Winter2018, Lente2019 etc. Inderdaad compleet nutteloos maarja het is bedrijfspolicy om ze te wijzigen eens in de zoveel tijd.
Een pincode op zich wordt niet als veilig geacht. Het gaat om een risico afweging waarbij ook nog eens strenge extra maatregelen getroffen zijn zoals het blokkeren van standaard reeksen maar ook een directe blokkade bij slechts 3x foute invoer. De bank berekent de kosten die deze toch relatief zwakke vorm van authenticatie met zich mee brengt en vergelijkt dat met de baten (namelijk erg lage kosten).

Vergeet ook niet dat het grotere gevaar voor pincodes niet is dat men maar "3x mag "raden"" maar veel meer dat het meelezen / afkijken kinderspel is in de meeste gevallen.

[Reactie gewijzigd door Bor op 24 april 2019 21:53]

Een pincode in combinatie met een Authenticator is behoorlijk veilig, aanvallen van buitenaf zijn dan onmogelijk (lekke systemen daargelaten) blijft alleen het risico van een collega of insluiper.
Bankpassen is echt een zeer slecht voorbeeld .. er is totaal geen risico verbonden voor de “bank” enkel voor het “individu”. Maar stel dat het HR diensthoofd enkel een pin zou gebruiken , tja dan is de impact toch iets groter bij verlies. Daarenboven een pin zie je in 1 oogopslag.
Vandaag wordt er de voorkeur gegeven aan 3 mogelijkheden:

- lange wachtwoorden, 30 karakters of meer. Met de mogelijkheid maar zonder de verplichting tot complexiteit. Hierdoor moeten aanvallers alsnog alle mogelijkheden nagaan tijdens bruteforcen maar krijgen gebruikers het eenvoudiger om hun gekozen, lang wachtwoord te onthouden.
- vereenvoudige logins met een lokale, beveiligde opslag. Denk aan de PIN code op Windows 10 die in de TPM chip wordt opgeslagen.
- MFA
TPM hoort volgens mij niet in dit rijtje thuis. Dit gebruik je gewoon om je opslagmefium te versleutelen , niet je netwerktoegang
TPM hoort volgens mij niet in dit rijtje thuis. Dit gebruik je gewoon om je opslagmefium te versleutelen , niet je netwerktoegang
Nee, TPM gebruik je voor het secure opslaan van encryptiesleutels.
Nog nooit gehoord dat de TPM chip van mijn laptop de encryptiesleutel van mijn netwerktoegang opslaat , wel die van mijn ssd.
Nog nooit gehoord dat de TPM chip van mijn laptop de encryptiesleutel van mijn netwerktoegang opslaat , wel die van mijn ssd.
Ik doel slechts op je opmerking dat je de tpm chip gebruikt om je opslagmedium te versleutelen. Dat klopt niet.
Dat is alleen in Azure AD beschikbaar, niet binnen de normale kerberos based Active Directory die de meeste bedrijven gebruiken.
Dit kun je ook gewoon inzetten bij een synced azure AD topologie :).

Many of you have already been using Azure AD Password Protection in public preview. Azure AD Password Protection allows you to eliminate easily guessed passwords and customize lockout settings for your environment. Using it can significantly lower the risk of compromise by a password spray attack. Best part, it’s available for both cloud and hybrid environments
is een vingerafdruk al in het hele domein te gebruiken? Of alleen maar op je eigen laptopje?
Eigen laptop.
Ik gok dat ze weer één of andere “betalende” service willen leveren
Nee zover ik kan zien valt MFA met windows hello sign on onder de gratis opties bij Azure. Ik gok dat ze vooral af willen van passwoorden aangezien het keer op keer blijkt dat mensen toch niet sterke complexe wachtwoorden kiezen.
Tweetrapsauthenticatie is niet een methode om wachtwoorden sterker te maken. Dit zorgt alleen voor een sterker authenticatie proces. Wachtwoord lijsten zijn leuk maar wie gaat er nou lijsten van meer dan 1000 zwakke wachtwoorden bij houden.

Mijn voorstel zou dan ook zijn maak gebruik van wachtwoord zinnen zoals xkcd er ooit al eens een leuke illustratie van gemaakt heeft: https://xkcd.com/936/

Hou er ook rekening mee, dat in een omgeving die gebruik maakt van een gedeelde database, lees active directory oid. Je totale beveiliging zo veilig is als je zwakste schakel. Het lijkt iets vanzelf sprekend maar wanneer er voor elke dienst tweetrapsauthenticatie verplicht is behalve die ene dienst (want die ondersteunde het niet) moet je direct terug vallen op je sterke wachtwoord.
Wachtwoorden op zichzelf zijn inderdaad een zwakke schakel.

MFA dmv biometrie is dan ook de beste oplossing ( fingerprint gebruiken). Ja klopt dat vingerafdruk ook te kopieren is maar met alleen de fingerprint blokkeer je de meeste phishers en hackers afgezien van echt proffesionele partijen die de mankracht en invloed hebben om je vingerafdruk en key te bemachtigen voordat jij de admin belt dat je key verdwenen is en hij hem blokkeert in het systeem. Maar in principe is alles te kraken.
Een vinger afdruk bemachtigen is niet zo moeilijk; je laat hem immers overal achter in wisselende kwaliteit. Daarbij vergeet je dat een vingerafdruk voor authenticatie doeleinden niet uniek is (er worden slechts een aantal kenmerken opgeslagen) en bovendien nooit te wijzigen is. Eenmaal bemachtigd blijft er misbruik mogelijk. Dat is een zeer groot nadeel. Een vingerafruk wordt in veel gevallen dan ook enkel als 2e of 3e factor gebruikt.
1. Je hebt je key dus zonder kun je niet inloggen.
2. Je fingerprint unlocked de key

Ja inderdaad als je een overheidsinstantie achter je hebt die de mankracht heeft om niet alleen je vingerafdruk te bemachtigen maar ook nog je key te jatten en dat allemaal in een tijdframe waarin je het zelf niet door hebt (aangezien je hem dan kunt blokkeren )dat die weg is dan kun je inderdaad zeggen . ok onveilig. Maarja dan ga je de theoritsche kant op aangezien zelfs een sterk wachtwoord niet gaat helpen want als ze zo goed zijn dan moet het ook geen probleem zijn om je toetsenbord te vervangen met een keylogger erin.
Je hebt geen overheidsinstantie nodig of de processing power daarvan om een vingerafruk systeem te misbruiken in sommige gevallen. Er zijn voorbeelden bekend waarbij sensoren met zeer goedkope middelen al te foppen zijn. Het is niet voor niets dat een fingerprint in high secure omgevingen niet genoeg is maar slechts 1 van de factoren.
Ja daarom heb je ook de key. Dus dan is het Key+Fingerprint en je kan in principe ook nog pincode erbij doen.

Ik bedoel meer een overheidsinstantie ( dus goed getrainde mensen die weten hoe je moet inbreken om 1. key te bemachtigen 2. vingerafdrukken te krijgen 3. Monitoren wanneer ze key kunnen jatten en gebruiken aangezien als jij je key kwijt bent gewoon contact opneemt met de admin en die blokkeert de key dus hebben ze er niks meer aan.)

Dat gaat je normale hacker echt niet doen.
ik heb er niet over dat MFA niet afdoende is maar zoals de naam het al zegt het is een 2e factor. Ik geval van gebruik van biometrische gegevens zullen ze 9/10 gevallen terug vallen op een PKI systeem en zal de private key versleuteld zijn middel de biometrische gegevens.

Dit is iets wat bijvoorbeeld zoals je hierboven ook al aangeeft middels FIDO en FIDO2 inderdaad gedaan wordt. How does FIDO work

Waren deze standaarden er niet of zijn er systemen die het niet kunnen gebruiken dan val je al weer terug op die stomme wachtwoorden. Ik kom immers dagelijk nog systemen tegen die of deze nieuwe techniek niet ondersteund of zelf tweetrapsauthenticatie niet ondersteund, laat staan een federatieve koppeling naar IDP (Identity provider)
Op Azure valt alles af te schermen. Dus als je applicatie open aan het internet hangt is het idd niet veilig, maar wanneer je deze binnen Azure hangt is het gewoon veilig.
Eh nee, of iets in Azure draait of niet zegt maar bar weinig over de veiligheid. Ook in Azure kan je fundamenteel onveilige applicaties en diensten aanbieden. Het is in feite niets anders dan een systeem in een eigen datacentre. Ook daar zal je zaken zelf van goede beveiliging moeten voorzien.

[Reactie gewijzigd door Bor op 25 april 2019 09:10]

Sure, maar je heb dan middelen als MFA, Conditional Access en andere Azure security maatregelen om de risico's te mitigeren.
Laat mensen en bedrijven nou gewoon de keuze! Soms zijn omgevingen te complex om de nieuwste technologieën (al) te ondersteunen en nou moet een bedrijf zich afvragen of ze wel de mei 2019 update willen draaien of (lang) wachten op implementatie van de nieuwere technologieën.

Ik begrijp het wel, maar beetje jammer op deze manier… Nu is de kans weer groter dat medewerkers onbeperkt lang hun wachtwoord hetzelfde houden.
Laat mensen en bedrijven nou gewoon de keuze!
Als het gaat om de security van je bedrijfsnetwerk? Men moet met de tijd meegaan. Als je mensen laat kiezen dan blijven ze kiezen voor de gemakkelijke optie. Met andere woorden, men blijft bij hetzelfde want dat is men gewend en dat is makkelijk. Het is 2019. Men dient ook te begrijpen dat het beveiligen van een IT infrastructuur andere vormen gaat en moet aannemen.
Ja en dat is prima. Meteen afdwingen dat je multifactor moet gebruiiken en een lange passphrase in plaats van een wachtwoord met vage tekens wat in elke rainbow table en 4 post-its en nog een txt op de desktop staat want anders onthoud men het niet.

Security is bij veel bedrijven gewoon nog steeds een ondergeschoven kindje, want iedereen denkt dat het hem toch niet overkomt want dat systeem word alleen intern gebruikt en ja het kost geld en is allemaal onnodig lastig om over na te denken. En ja, ook bij die grote bedrijven waar jij nu van denkt dat het daar wel snor zal zitten want internet is hun core business. Jou gegevens zijn ze minder waard dan fatsoenlijke security standaarden. Liefst zo veel mogelijk waan en schijnveiligheid. Gebeurt toch alleen bij anderen.
Goede forcering. Windows Hello is makkelijker voor de gebruiker, en voor "domme onwetende" users ook veel veiliger. Het is een combinatie van Conditional Access, Windows Hello, common sense en een goed password waarmee je veiligheid verhoogt, een password change hoort daar niet meer bij.
In jouw voorbeeld gebruik je wel een wachtwoord maar je vereist geen wijziging -> in feite kan je het wachtwoord dan al bijna doorstrepen. Deze richtlijnen gaan er vanuit dat fraude detectie goed mogelijk is. De praktijk is echter dat de meeste bedrijven niet in staat zijn te achterhalen of een persoon die inlogged met een wachtwoord ook daadwerkelijk de persoon in kwestie is of dat het wachtwoord gelekt / gekraakt is. Ook bij MFA dien je veilige factoren te gebruiken.
Over enkele jaren kun je het wachtwoord ook doorstrepen. Nu al zie je dat bij securescore.microsoft.com het niet nodig is om een password change policy te implementeren, maar dat het belangrijker is om conditional access, MFA en device compliancy te implementeren.
Als je al een combi hebt van CA, Windows Hello en dan een Azure AD connectie, dan kun je natuurlijk dat soort fraude detectie ook vanuit Azure gebruiken.
Ik heb 1903 build 18362.53 draaien (die van MSDN), wanneer ik de Local Group Policy Editor open en naar deze setting browse staat ie er nog gewoon bij... :?

-edit
Wat ik vermoed is dat ze dit gaan aanpassen in de ADMX files die je in je Central Policy Store plaatst op je AD server. Al zijn die meestal identiek aan de files op je Windows 10 client.

[Reactie gewijzigd door Derice op 24 april 2019 20:51]

En dan mogen bedrijven dus ook nog eens een hele omgeving gaan optuigen om twee-traps authenticatie mogelijk te maken...? Met straks de dringende (dwingende) aanbeveling om hiervoor een MS "authorized" en "licensed" soft en hardware pakket in te zetten...
Gewoon een pincode of biometrisch windows hello op ieder apparaat zetten, werkt een stuk beter.

Verlooptijden op wachtwoorden zijn onzinnig en achterhaald
En hoe gaat dit dan werken wanneer je in barcelona zit en je bent je fysieke key vergeten in Brussel ?? Zijn we eindelijk van die fysieke RSA tokens af, bedenken ze weer wat anders om te vergeten

[Reactie gewijzigd door klakkie.57th op 24 april 2019 22:46]

Misschien dat een service desk tijdelijk je account kan unlocken, wel met de nodige identificatie check natuurlijk.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Laptops

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True