Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft laat Windows 10-gebruikers wachtwoord als inlogmethode schrappen

Windows 10-gebruikers krijgen volgend jaar de keuze om alleen nog via Windows Hello of pin in te loggen op hun systeem en niet meer met een wachtwoord. Bij de aanmeldopties verschijnt dan de mogelijkheid om een wachtwoord in te voeren niet meer.

Bij de aanmeldinstellingen van Windows 10 verschijnt na een update volgend jaar de optie 'Make your device passwordless', meldt Microsoft. Het activeren hiervan schrapt de optie om met wachtwoorden in te loggen. Windows 10-gebruikers die nu inloggen via een pincode of gezichts- of vingerafdrukscan via Hello kunnen nog wel terugvallen op een wachtwoord als ze zich aan willen melden bij het OS.

Microsoft test de functie momenteel met buildversie18936 van Windows 10 Insider Preview 20H1, die voor een release in de eerste helft van volgend jaar op de planning staat. Microsoft benadrukt al langer de voordelen van biometrische Hello-authenticatie en het gebruik van een pincode. Wachtwoorden voor Microsoft-accounts kunnen online onderschept of gestolen worden terwijl de pincode gebonden is aan een apparaat en versleuteld op een tpm-chip opgeslagen kan worden. Microsoft voegde recent inloggen op een Microsoft-account met behulp van Hello of een FIDO2-hardwaresleutel toe.

Door Olaf van Miltenburg

Nieuwscoördinator

11-07-2019 • 18:31

255 Linkedin Google+

Reacties (255)

-12550248+1112+210+30Ongemodereerd107
Wijzig sortering
https://techcommunity.mic...ort-for-FIDO2/ba-p/746362

I’m thrilled to let you know that you can now go passwordless with the public preview of FIDO2 security keys support in Azure Active Directory (Azure AD)! Many teams across Microsoft have been involved in this effort, and we’re proud to deliver on our vision of making FIDO2 technologies a reality to provide you with seamless, secure, and passwordless access to all your Azure AD-connected apps and services.

Zijn eigenlijk drie echt grote spelers op de mark die met Microsoft samen werken ( werk zelf voor 1 van ze ;) .

Our partner community is one of our greatest assets, and we’re in conversation with many of you to solve the password dilemma. We had a chance to work with partners selected to join Microsoft Intelligent Security Association (MISA): Feitian Technologies, Yubico, and HID Global.

https://techcommunity.mic...ion-and-great/ba-p/566493

Het wordt echt keihard gepushed door all grote spelers het gehele Webauth en het gehele true passwordlles met biometrisch ipv pin kan door de telefoon mooie grote stappen nemen ( de angst voor het gebruik van biometrisch is flink gedaald de laatste jaren) ook omdat de biometrische gedeelte puur gebruikt wordt voor unlocken van de hardware ( opgeslagen op secure element) dus nergens op een database komt te staan of ook maar de key verlaat.

https://webauthn.guide/
Behalve dan het feit dat je niet mee kunt helpen aan je eigen veroordeling via een wachtwoord/PIN maar wel gedwongen kan worden met een kenmerk dat je bezit (vingerafdruk, faceID, enz).

Dit was recent in het nieuws.

Bovendien heeft de EU straks toegang tot je vingerafdruk:

nieuws: Europees Parlement stemt in met verplichting vingerafdrukken op id-ka...

Dan kunnen ze ook wel een malletje maken om hem te unlocken.

Verder is naast bovenstaande ook van belang de false positives bij deze technieken. Bij sommige devices is dat bedroevend laag maar gebruikers weten dat niet.

PS: Het feit dat jij werkt aan deze technieken, en bovenstaande totaal buiten beschouwing laat in al jouw posts, stemt mij cynisch.
( de angst voor het gebruik van biometrisch is flink gedaald de laatste jaren)
Heb je hier een bron voor?

Ik vind het absurd dat biometrische authenticatie uberhaupt mag. Je vingerafdruk staat niet gelijk aan een wachtwoord. Hetzelfde geldt voor al je biometrische eigenschappen. Het groootste datalek ben jezelf.
Ik zou zeggen kijk in je omgeving hoeveel mensen hun mobiel unlocken met hun vingerafdruk :) en als het in het normale leven gebruikt wordt is het makkelijker aanvaardbaar op kantoor.

Maar aangezien je bron wilt.

A recent report by Gartner shows that at least 30% companies from all over the world will use biometrics on mobile devices by 2016. In addition, several smartphone manufacturers have already started to embed biometric sensors on their devices with fingerprints, facial recognition and voice biometrics the most popular modalities of choice. Once upon a time a fingerprint scanner was used only by governments, the military, and law enforcement, but in the past 5 – 10 years, biometric identification has exploded and rapidly spread to the commercial sector, permeating virtually every corner of our lives as a more secure method of proving individual identification.

http://www.m2sys.com/blog...iometrics-on-smartphones/
Ik ben niet zo van de anecdotes, en mijn omgeving is denk ik niet de jouwe ;)
De "bron" vertelt niets over afname van angst. Mijn angstniveau neemt alleen maar toe als ik dit soort berichten lees, maar det zegt dus niets over de statistiek.

Het nare van biometrie als "wachtwoord" is o.a. dat je het niet of nauwelijks kunt wijzigen (laat staan dat het erg ingewikkeld wordt). Voor consumentenproducten is dit echt een stap achteruit.
Biometrie zou nooit als enige factor gebruikt moeten worden bij authenticatie om bij gevoelige gegevens te komen, met de reden dat je biometrische gegevens niet kan revoken zoals een wachtwoord of certificaat. Eenmaal gestolen is voor altijd gestolen.

Dit gaat in de toekomst wel veel problemen opleveren, wanneer criminelen veel biometrie zullen willen stelen.

Voor identificatie is biometrie echter perfect.

Ik denk dat je steeds meer situaties zult gaan zien dat je een computer wel kan unlocken met biometrie, maar wanneer je gevoelige gegevens wilt benaderen op een omgeving je al snel met een andere factor extra moet authenticeren.
Offtopic :

Dat kan inderdaad kloppen dat wij niet dezelfde omgeving hebben ;).

Angst is moeilijk meetbaar maar wat je vaak ziet. Zodra mensen het meer gebruiken wordt het een standaard en nemen de angsten af ( ander onderwerp voorbeelden maar als fingerprint niet succesvol was en niet gebruikt word of als vervelend gezien werd .... waarom zouden smartphone makers er dan alles aan doen om het gebruik makkelijker te maken ) ik zou het eigenlijk wel willen zien als de nieuwe iphone/samsung zonder vingerafdruk gemaakt word wat de reactie zou zijn.

Deze ken je uiteraard al ( over mobiele telefoon :P ) en dat is 1999

https://www.youtube.com/watch?v=MbCNViY-yhQ

As with any transformative new technology, automobiles encountered considerable resistance when they arrived on the American scene in larger numbers between 1900 and 1910

https://dangerousminds.ne...stile_to_the_introduction

Ja er zitten nadelen aan biometrie maar het is nou niet wat je noemt bijster makkelijk om er misbruik van te maken helemaal omdat de beveiliging van de fingerprint scanners etc natuurlijk ook met ze tijd meegaat.
Daar heb je een (goed) punt :)
Ik zou zeggen kijk in je omgeving hoeveel mensen hun mobiel unlocken met hun vingerafdruk :)
Als ik even vluchtig naar mijn omgeving kijk: vrijwel niemand...
We zijn collectief vergeten dat de overheid(sinstanties) je mogen dwingen je device te unlocken met biometrische gegevens?
En die pincode is natuurlijk ook een stuk makkelijker te bruteforcen.
Alleen jammer voor jou dat jij niet gaat over wat goed of fout is. Wat vandaag door de overheid als goed wordt gezien kan morgen fout zijn en dan...
Nee niet een erg sterk argument.
https://www.businessinsid.../?international=true&r=US

None of Google’s 85,000 employees have been successfully phished on their work accounts since it started requiring security keys to log in, the company said.

Phishing zorgt al voor veel van de problemen dus je vangt al een hele groot probleem af ( je eigen medewerkers en hun gebruiksgemak).
Kan er mij iemand uitleggen waarom een pincode veiliger is dan een paswoord?
En pin is bijvoorbeeld alleen aan één device gebonden. Het is beter dus dat je pin lekt dan je wachtwoord waardoor je meer risico hebt op gegevensverlies omdat met je wachtwoord op meer plekken aangemeld kan worden door onbevoegden. Met die pincode kan je alleen maar op dat ene device aanmelden waarop je deze hebt ingesteld dus dat is de truuk :)

[Reactie gewijzigd door grimson op 11 juli 2019 18:40]

Het is dus broekzak/vestzak principe. Een pincode kan ik ook op andere devices/services instellen en is daarmee direct een vervanger van een hergebruik van wachtwoord. Het is het ene door het andere vervangen zonder dat het echt een probleem oplost.

Ik begrijp deze stap van microsoft dan ook echt niet.
versleuteld op een tpm-chip opgeslagen kan worden
KAN inderdaad. KAN.
Als ik overal dezelfde PIN zou gebruiken, dan kun je dus inloggen op mijn PC, Telefoon en Tablet. Allemaal mijn devices in mijn bezit. Als ik overal hetzelfde wachtwoord gebruik, kun je vanachter je eigen PC op al mijn services inloggen. Concreet verschil.

Toevoeging:

Een PIN is minder veilig dan een wachtwoord, maar de devices waarvoor de PIN werkt, waarop mijn account geautoriseerd is, is nagenoeg altijd in mijn bezit, en daarmee een stuk minder publiek dan een login-form ergens op het internet.

[Reactie gewijzigd door jhaan1979 op 11 juli 2019 21:01]

Een PIN is veiliger, omdat deze alleen op het device zelf bestaat versleuteld op een TPM-chip. Een PIN kan ook alfa-numeriek zijn.
Wanneer je iemand zijn PIN kan achterhalen werkt die alleen op dat account voor die machine (mits de PIN niet wordt hergebruikt). Je zult het device dus moeten stelen en hopen dat het AzureAD-account niet wordt gelocked.
Stel ik geef aan jou mijn pincode om op mijn Pc aan te melden (Microsoft Account). Je kan dan in mijn OneDrive neuzen en andere dingen doen maar omdat je mijn password niet weet kan je nooit op een ander device of webbrowser mijn Microsoft Account 'misbruiken'. Dat is in essentie het voordeel van device gebonden pincodes. Omdat je een stuk minder met je password werkt kan het ook veiliger omdat er minder kans is dat je deze verliest aan 'criminelen'. (En inderdaad ook zelf vergeten helaas).
Stel je nogmaals dezelfde pincode in op een ander apparaat zijn er dus 2 apparaten waarmee je eventueel via je pincode aangemeld kan worden door onbevoegden. Dat is toch een stuk minder risicovol dan je password op het web verliezen.

[Reactie gewijzigd door grimson op 11 juli 2019 19:54]

Mensen gaan gewoon dezelfde pincode voor alles gebruiken, dat dorn ze nu ook MFA is de betere oplossing

Standaard complex paswoord + melding op een ander device
Sterker nog, mensen zijn vrij slecht in het onthouden van een reeks getallen. Reken er maar op dat die pincode hetzelfde gaat worden als die op een van de betaalpassen, credit cards, tankcard of mobiele telefoon.
Die XKCD is helaas ook al een paar jaar achterhaald: https://www.pentestpartne...-good-password-heres-why/
Ik kan niet wachten tot ik echt passwordless ben, ik heb er veel te veel en kan geen passwordmanager vinden die fijn werkt.
Ik denk dat je onderschat hoeveel meer mensen keepass gebruiken. Ik zie het steeds meer om me heen. Vinger print en al je wachtwoorden zijn beschikbaar.
Ik gebruik het met alle plezier. Wel je Gmail account en je password vault goed beveiligen
En als je op je device dan ook een mail cliënt hebt die je mail van je Microsoft Account binnenhaalt? Kan ik dan via de password recovery dan alsnog je Microsoft account resetten en overal bij?
Het wachtwoord resetten, nee dat gebeurt via mail naar een account in een extern domein (hopelijk zonder forward) of een andere 2de factor (bellen, smsen, notificatie op telefoon of een OTP). Tenzij je zo dom bent om je smsjes via je browser op te halen zou je er dan niet bij moeten kunnen. Of iemand moet ook in je telefoon kunnen ;).
Dus eigenlijk gewoon terug zoals vroeger waarbij je op je Windows 7 gebruikersaccount een wachtwoord koppelt en je dan apart moest inloggen om op je mail/onedrive(toen nog skydrive) moest geraken? Die services configureerde je toen éénmaal op je device.
Ik zal altijd biometrische pasworden vermijden, in veel gevallen hebben ze je enkel maar bewusteloos of half dood nodig om te unlocken.
Een paswoord met pin of gewoon wachtwoord heeft een groter probleem.
Ook als de overheid ergens in wil, ze kunnen je gewoon verplichten om je vingertje ergens op te leggen ...
Vermoedelijk daarom dat het zo gepusht wordt ..., ik trap er niet in.

Als je een pincode geeft maar je gebruikt Firefox of Chrome als paswoord manager kunnen ze met die pin ook aan al je wachtwoorden dan alleen maar in drive.
Pincode is slechts 1 van de opties.

https://www.youtube.com/watch?v=fuMc7zohgyw

Biometrisch ( secure element wordt de fingerprint opgeslagen dus gaat nergens heen).
Zolang natuurlijk dat er geen fout zit in de chip, en de voorbije maanden is toch net gebleken dat dit niet het geval is.
Gewoon sterke paswoord + mfa op een ander device, dan hieft er niks opgeslagen te worden
Klopt en we hebben ook keys zonder het biometrische het probleem is alleen dat je ziet dat veel bedrijven gewoon van wachtwoorden af willen omdat mensen vaak gemaksdieren zijn en gebruiksgemak hoger ligt met biometrisch ( in een winkel bijvoorbeeld elke keer inloggen gaan medewerkers niet snel doen...is tijdconsumerend en als het dan ook nog een lang password moet zijn dan zie je dat mensen gewoon niet meer de pc locken en open laten staan ..... omdat het makkelijker is.... dan kun je er nog op hameren als CISO maar zodra je weg loopt gaan ze weer naar de makkelijkste oplossing.
En als die chip stuk is? Kun je dan niet bij je data op die device?
Ja en daarom gebruik je onedrive en de rest van Office 365 zodat je online alle data ook nog hebt.
Dus staat de data alsnog op meerdere plekken.
Het voordeel van deze chip met pincode is dat het device gebonden is. Dat voordeel valt toch weg, als je 't vanwege recovery verplicht in de cloud moet zetten?
Dat is ook niet waarom een pincode in gezet wordt. Het is om je toegang tot je informatie en met me services te compartmentaliseren. Als je je Microsoft account wachtwoord prijs geeft ben je alles (potentieel) kwijt bij Microsoft. Als je alleen EJ pincode weg geeft alleen de laptop/device wat daar aan gekoppeld is.
Nee, ik gebruik geen onedrive of Office 365 en zeker niet om inlogproblemen te omzeilen.
Bovendien wil ik altijd bij m'n data kunnen ook als internet kapot is, ik m'n PIN code ben vergeten en een pleister op m'n vinger heb. 8)7
Als het bedrijf Active Directory gebruikt en de chip is stuk of je raakt je key kwijt kun je gewoon je admin bellen en die kan de login optie blokkeren echter ik heb de biometrische key op dit moment in me handen ( werk zelf voor 1 van de 3 grote) en zijn expres heel robuust gemaakt ( is wat we ook van klanten horen) heb hem zelf al 8 maanden aan me sleutelbos hangen ( 2 stuks usb-a / usb-c) met biometrische optie en werken nog naar behoren ik kan natuurlijk niet aanraden om er mee te gaan zwemmen ( ik gok dat mijn usb stick dat ook niet overleeft die eraan vast zit :P )
Maar hoe veilig is die biometrische shit? Je wilt niet weten hoeveel vingerafdrukken je achterlaat. Wat plakband en iets met 37 graden erachter werkt soms al.
Dat is inderdaad altijd een vraag. In principe is bijv Face ID van apple als erg veilig gezien ( maar is ondertussen ook al gebroken , klant van mij is ze hobby in duitsland en begreep dat het echt moeilijk was en eigenijk voor 99.999% van de gevallen ook echt totaal niet te doen / interessant).

Het is een kwestie van de moeilijkheidsgraad en de winst die te behalen is.

In theorie zou een hacker dus 1. jouw vingerafdruk moeten bemachtigen 2. Je key moeten stelen

Ben jij hem kwijt dan bel je de admin op en die blokkeert je account. Dus moet hij het ook nog in die periode doen ( ben zelf geen systeembeheerder maar zou niet verbaasd zijn als ze kunnen zien wat jij uitvogelt en wanneer je ingelogd bent , dus dan kunnen ze nachecken ... heeft iemand toegang gehad toen ze key weg was en dan heb je natuurlijk alle red flags ) en de ontwikkelaar van fingerprint sensors zit natuurlijk ook niet stil ;)

. Is het 100% veilig... nee nooit dat is het nadeel aan combinatie van gebruiksgemak want in principe kun je ook zeggen.... biometrisch + password met 20 letters/types + pin. dan heb je natuurlijk een hogere veiligheid maarja dan kun je er vergif op in nemen dat dit niet gevolgd word of tenmiste mensen makkelijke manieren gaan zoeken ( passwoord copy pasten / pin 0000).

Een CISO zou natuurlijk graag de 2de optie willen maar jan en alleman gaat daar nooit mee akkoord. Inloggen met biometrisch geeft hoge veiligheid ( niet 100% veiligheid) en gebruiksgemak en het volgen van het ook echt locken van je PC ( inloggen kost 1-2 seconde zoals je van je tel weet) is uiteindelijk veiliger dan mensen die hun pc open laten staan op kantoor met de redenatie........Teveel moeite om dat password weer in te tikken.

[Reactie gewijzigd door Zyphlan op 11 juli 2019 21:28]

Zo'n chip bevat niets anders dan een unieke code die door een agoritme wordt gehaald. Deze code zou bij je bekend moeten zijn zodat je deze op een vervangende chip kan schrijven. Ten minste, ik neem even aan dat dit over rfid ging? Voor alle RFID's die ik heb, heb ik een hardcopy van de code, zij het in hex, zij het middels een QR.
Dat ligt eraan of je Bitlocker hebt geactiveerd, als die actief is kan je niet zomaar bij de data. Als je bitlocker activeert krijg je de keuze om de herstelsleutel te uploaden naar Onedrive, op te slaan op een externe USB of het op te slaan als een .txt bestand.

Heb je geen Bitlocker actief dan kan je de data gewoon uitlezen.
Totdat je dezelfde pin ook op je telefoon gebruikt. Als meer services dit gaan aanbieden is dit voordeel ook direct weer weg.
Dat gebeurt nu al idd. Bankpas, edentifier, bankapp, telefoon, computer, tablet, en nog her en der wat apps. Ik hou ze nu al niet meer uit elkaar (en het voordeel van bv vingersadruk is dat het niet vaak meer nodig is, maar het nadeel is dat je het niet meer zo vaak gebruikt om het ook goed te onthouden.)

Ik kan de organisatie in elk geval ondanks een wachtwoordmanager nog steeds niet aan.
Biometrische beveiliging ( vingerafdruk) dus dan heb je echt 0 passwords. Fido2 / Webauth en alle grote spelers maken dat nu mogelijk dus in theorie is het mogelijk om password manager verleden tijd te laten zijn in de toekomst.
Biometrie blijft in essentie toch bezit en geen kennis. Als ik slaap (al dan niet met externe niet vrijwillige hulpmiddelen) kan je met een vinger inloggen. Daarom heb ik op mijn bankapps inloggen met Bio en Auth met kennis (passcode = pin). Eigenlijk zou ik dat misschien moeten omdraaien bedenk ik mij nu.
Vijlen, aardappels schillen (veel!), chemicaliën... opties genoeg! :+
Maar je biometrics zijn toch juist alleen jouw biometrics en dus de ideale identificatie? Iedereen en zijn/haar moeder kan mijn password intypen en nog steeds niet "mij" zijn. Online wel, maar dat heet identiteitsfraude. ;)
Als iemand je wachtwoord weet, kan je het veranderen.
Als iemand je hardware key heeft, kan je hem veranderen.
Als iemand je vingerafdruk heeft, heb je pech.

Biometrische identificatie is op zijn best een onderdeel van MFA.

"Something you know, something you have, something you are"
Zolang die PIN alleen aan specifieke apparaten gekoppeld blijft loopt het op zich nog steeds los. En wachtwoord in z'n huidige vorm is over heel de wereld te gebruiken. Als ik overal dezelfde pin gebruik, dan is die pin alleen bruikbaar op m'n fysieke apparaten zoals m'n telefoon, tablet en laptop.

Het leeuwendeel van misbruikte wachtwoorden wordt gedaan met een sleepnetmethode om vervolgens automatisch in te loggen en te spammen oid. Als je iets met m'n pin wil kunnen moet je daadwerkelijk het fysieke apparaat in handen krijgen.
Kan er mij iemand uitleggen waarom een pincode veiliger is dan een paswoord?

Pincode is apparaat geboden. Dus als ik jouw achtwoord ken, kan ik overal in. Door mensen dwingen een PIN te gebruiken, kan iemand die die PIN steelt, of als malware een token afgeleid van die PIN, niet andere zaken benaderen zoals de bedrijfsservers, andere workstations, etc.

Ook door het simpelweg niet gebruiken van het wachtwoord kan een keylogger die niet pakken. Idee is dat het wachtwoord enkel gebruikt wordt om eenmalig per apparaat een PIN te maken of Windows hello op te zetten met behulp van multi-factor authenticatie.

Een beetje zoals je telefoon werkt, waar je eenmalig met je Google/Apple account inlogt/registreert maar daarna vooral een PIN, vingerafdruk of gezichtsherkenning gebruikt.
Dit. Ik werk als leraar en zou dolgraag met mijn laptop van de zaak via de gezichtsherkenning van Windows Hello willen kunnen inloggen in plaats van steeds mijn wachtwoord in te hoeven typen terwijl er leerlingen langslopen. Het apparaat heeft met dit doel een dubbele webcam, maar ICT heeft Windows Hello geheel uitgeschakeld omdat Windows Hello activeren alleen kan in combinatie met een pincode. Die pincode voldoet niet aan het wachtwoordbeleid, dus mag Windows Hello niet aan... |:(

Huidige workaround: De huidige standaardinstelling is dat de laptop pas vergrendelt als het deksel 15 minuten gesloten is. Handig voor lokaalwisselingen, maar niet bepaald de veiligste optie als iemand met het ding aan de haal gaat...

[Reactie gewijzigd door ari op 11 juli 2019 18:44]

Die pincode staat los van het wachtwoord beleid, en ook kan je er voor kiezen om letters te gebruiken in je pincode. Dus je IT afdeling heeft denk ik geen zin in vragen over hoe je Hello moet instellen.
Denk eerder dat er een manager boven zit die denkt: “kost geld, want alle pc's die geen webcam hebben moeten er dan 1 krijgen. Losse webcams raken kwijt (zeker op een school), gaan stuk of vormen een ander beveiligingsrisico."
Met dit artikel (en het origineel van MS) kan de IT-afdeling in ieder geval wat van de vooroordelen/angsten wegnemen bij die manager... :)
De pin reset service werkt enkel op een enterprise edition en als je ze toch even complex gaat maken, dan is het makkelijker om ineens je AD-wachtwoord te gebruiken, wat je ook nog eens over al je toestellen heen kan gebruiken ipv dat je voor elk toestel een aparte pin moet gaan instellen. Het is gewoon dom dat Microsoft een lokale encrypted pin wél veilig vindt en hun eigen protocollen niet. Als ze die vereiste zouden laten vallen zullen er veel meer bedrijven zijn die biometrics als authentication gaan toelaten (want voor een fingerprint heb je ook een pin-requirement)
Precies, geef me de mogelijkheid om biometrie in te stellen zonder PIN als fallback, maar gewoon je wachtwoord. Dit zou wat mij betreft ideaal zijn, maar misschien zie ik een security risico over het hoofd?
Mijn grootste probleem met een pincode is dat de gebruikers het ervaren als wéér een extra wachtwoord. Dat de pincode het wachtwoord op een apparaat vervangt lijkt misschien handig, maar als je vervolgens je wachtwoord weer op allerlei andere inlogmomenten nodig hebt... Dit gaat er bij mij op het werk echt niet in.
Scheelt dat wij bij bijna elke applicatie Single Sign On gebruiken dus een wachtwoord invoeren komt niet meer zo vaak voor (tenzij je wachtwoord verlopen is of dat je iets moet doen wat bedrijf kritisch is).

Bij ons zijn de gebruikers heel positief over Windows Hello, ik kan het zelf ook iedereen aanraden. Ik moet er niet meer aan denken om elke dag meer dan 5x mijn wachtwoord in te voeren, ik gebruik mijn gezicht om aan te melden en dat accepteert mijn laptop gelukkig :p
Zover zijn wij nog niet, maar we zijn op de goede weg. Heb je bij jou dan niet dat mensen hun wachtwoord gewoon vergeten omdat ze hem bijna nooit meer hoeven in te typen? Dat vind ik een beetje het iPhone touch-id syndroom. Na een herstart van de telefoon door een update staan ze weer met het schaamrood op de kaken aan m'n bureau :P
Je kan de laptop toch locken door even op Windows toets - L te drukken als je er even van weg moet lopen?
Dan moet je weer je wachtwoord invoeren en dit was nou net het pijnpunt van @ari
Je pincode is apparaat specifiek, en is dus veiliger dan een standaard ict-beleid. Sowieso heeft MS laatst al die ‘standaard’eisen voor wachtwoorden veranderd gezien ze totaal geen veiligheid bieden.

Helaas dat weinig ict-mensen er in mee willen gaan en stug vasthouden aan 1 centraal wachtwoord voor alles (binnen een bedrijf)
Een pincode is nooit veiliger dan een moeilijk paswoord en al helemaal niet veiliger dan MFA.

Ik snap ook het probleem niet. Mijn standaard user paswoord is langer dan 16 karakters, en wijzigt om de zoveel dagen. Mensen kunnen hele boodschappenlijstjes onthouden maar paswoorden niet. ... pure gemakzucht.

[Reactie gewijzigd door klakkie.57th op 11 juli 2019 20:04]

Het is voornamelijk gebruiksgemak. Bij mn vorige werkgever hadden we een klant waar ze gebruik maakten van Windows Hello met FaceID of Pincodes. Dat is veel makkelijker en sneller dan elke keer het wachtwoord in te tikken. Het enige nadeel is dat ze het wachtwoord van hun Azure account vaak vergeten in de loop van der tijd :Y)

[Reactie gewijzigd door silverchaoz op 11 juli 2019 19:15]

Een paar letters (WW) of een paar cijfers (PIN) , hoezo sneller? (en dan je Azure probleem ... |:(
Ik toets die cijfers op een numpad vele malen sneller in dan mijn volledige ww. Tevens is face ID natuurlijk nóg sneller
Mijn Windows pincode is ook gewoon een wachtwoord, even aanvinken dat letters gebruikt mogen worden, en daar gaan we :P.

Verder begrijp ik dat inderdaad ook niet. Het is wel dat je wachtwoord direct je Microsoft account wachtwoord is, als je daarmee inlogt bij Windows. Dus als iemand dan je wachtwoord ziet ingetoetst worden kan hij direct op je e-mail inloggen. Maar goed, zelf heb ik gewoon een offline account voor Windows.
Ik heb ook een wachtwoord op mijn telefoon. Gebruik gewoon de cijfers waar de letter onder valt.
Goed, dat is dus vele malen onveiliger dan een echt wachtwoord, tenzij je device na x pogingen lekker op slot gaat. Het duurt letterlijk het aantal pogingen gelijk aan je numerieke wachtwoord.
ik snap het ook niet, het alfabet heeft 26 letters, en dat is maal 2 als het wachtwoord hoofdlettergevoelig is. Dat verslaat toch iedere cijfercombinatie qua complexiteit.
In theorie wel, maar in de praktijk gebruiken mensen heel slechte wachtwoorden en dat kan met een pincode ook wel, maar beperkter.
Het enige wat ik kan bedenken is dat een paswoord door het raden van familienamen, adressen etc makkelijker te hacken is dan een pincode dat iets onpersoonlijker is maar voor het idee blijft een pincode ook gewoon een wachtwoord.
Een pincode wordt alleen veel veiliger als je een 2e authorisatie hebt zoals een smartcard, USB sleutel of een bio herkenning.

Persoonlijk hoeft het voor mij niet, ik zou graag het wachtwoord willen houden en hoop dan ook dat ze die optie houden. En anders denk ik dat er wel weer tooltjes voor komen.
Het enige wat ik kan bedenken is dat een paswoord door het raden van familienamen, adressen etc
Dat kan en gebeurt bij cijfercombinaties net zo goed; genoeg mensen die bijv. als pincode voor de bankpas een geboortejaar van zichzelf of een naaste gebruiken.
Heel simpel, de pincode is gekoppeld aan je apparaat. Bij inloggen wordt je pincode op het apparaat gevalideerd. Bij inloggen met een wachtwoord (van een Microsoft account) gaat je wachtwoord of tenminste de hash ervan internet op om door de servers van Microsoft gevalideerd te worden. Veiliger dus :)
Waarom doet Microsoft dan zo ontzettend z'n best om je een Microsoft wachtwoord aan te raden in plaats van een lokaal wachtwoord? Een lokaal wachtwoord is ook lokaal gebonden, werkt alleen op de PC waarop het is aangemaakt, maar je moet door allemaal hoepeltjes springen als je bij het installeren van Windows of een het aanmaken van een extra account een lokaal wachtwoord wil gebruiken. Als je een extra account wil maken met lokaal wachtwoord moet je zelfs antwoorden "ik beschik niet over de Microsoft inloggegevens van mijn familielid", zelfs als ik voor mezelf een lokaal wachtwoord met beperkte rechten wil aanmaken. Maar een lokaal wachtwoord is veel veiliger dus dan een Microsoft account. Waarom raden ze dat dan niet aan voor Windows?
Omdat de prijs 'n alleen lokaal op de machine werkt niet remote te gebruiken is.... Weten ze je pin, hebben ze fysieke toegang nodig
Ik vraag me wel af wat er gebeurd met je device als je bioritmische sensor ineens niet meer werkt. Dat kan door schade, maar in theorie is het ook mogelijk dat een feature update er voor zorgt dat het apparaat niet meer correct werkt.
Goed, als je toetsenbord/muis, je USB-controller, het kabeltje van mobo->scherm op een laptop/tablet, HID of grafische drivers de geest geven, kun je ook niet meer inloggen met wachtwoord. Heb ooit een systeem gehad dat alleen in een resolutie van 32x32 wist te booten, de cursor was een pixel op een grid van een paar pixels, en ik kon effectief niets meer met het systeem. Een kapot onderdeel vervang je natuurlijk.
Een recovery key of procedure via je Microsoft account en je data staat natuurlijk in de cloud, dus er is geen data verloren
Wachtwoorden voor Microsoft-accounts kunnen online onderschept of gestolen worden terwijl de pincode gebonden is aan een apparaat en versleuteld op een tpm-chip opgeslagen kan worden.
Mogelijk een domme vraag, maar is het dan onmogelijk om in plaats van een pin een wachtwoord (met letters/symbolen etc...) in die tpm-chip op te slaan? Ik vind het persoonlijk veiliger om een passphrase te gebruiken dan een pin. Ook makkelijker te onthouden.
Je kan er voor kiezen om letters te gebruiken in je PIN. Dus je kan gewoon een wachtwoord aanmaken.

Het wachtwoord word alleen lokaal opgeslagen in je TPM chip, die gaat dus niet het internet over.
En je moet dan wel een ander wachtwoord dan voor je Microsoft account gebruiken anders heeft het ook geen zin.
Dat lijkt mij wel handig ja, maar al gebruik je hetzelfde wachtwoord. Het wachtwoord is dan niet op te bangen omdat de authenticatie lokaal plaats vindt.
Pff. Dan kan ik mijn gedeelde mappen niet meer veilig delen in t netwerk. Nu maak ik een share die ik deel met iedereen (die het wachtwoord heeft) en alles Read only. Tenzij pin ook werkt?
Op de achtergrond wordt gewoon nog een wachtwoord gebruikt. De essentie is dat je dat wachtwoord niet meer hoeft in te typen, zodat je niet kunt worden geskimd.
Hmm oke dus als ik bijv op de client een wachtwoord moet invullen nu, wordt een pin maar als basis heb je nog het wachtwoord?

Tja geskimd, dat zou betekenen dat iemand al controle heeft over je systeem en ook nog het lockscreen/login saboteert? Ik zeg niet dat het niet overigens, maar vind het best ver gezocht.

edit: ik gebruik trouwens geen microsoft account om in te loggen op de pc. gewoon lokaal. Eerst zonder wachtwoord, maar tegenwoordig dus weer met een wachtwoord zodat het meteen de gedeelde map heeft beveiligd met dat wachtwoord.

[Reactie gewijzigd door dennis_rsb op 11 juli 2019 20:16]

Maar het is een optie en geen verplichting toch? Ze geven je de optie om wachtwoorden te schrappen, als dat voor jouw use-case niet handig is dan houd je je wachtwoord gewoon, geen probleem.
Volgens mij gaat dat om nú, als in, op dit moment. Het is namelijk nu zo dat je een wachtwoord ingesteld moet hebben om Hello te activeren. De verandering is juist dat je Hello kunt instellen zonder wachtwoord, niet andersom.

Dat is in ieder geval hoe ik het lees.
Vind de pincode juist zwaar irritant, heb al genoeg moeite om mijn pincode van mijn pinpas en de codes van het alarm te onthouden.. Blijf het mooi bij wachtwoord houden..
ik vind de pin juist heel handig, kun je ook nog zelf bepalen. 2019 bijvoorbeeld :)
Lijkt me een heel veilige code! :+
Ja, maar je moet dat dan dus voor elk Windows 10 device apart hebben.. En dan gaan mensen dus net zo lamme pincodes bedenken als dat ze wachtwoorden bedenken, en pincodes zijn dan nog veel korter..
Ik snap het even niet, is dit voor Microsoft Account gebruikers of ook lokaal? Ik heb een wachtwoord in combinatie met een lokale account, betekend dat ik ook straks alleen nog pin of geen wachtwoord kan kiezen? (andere opties kan niet op mijn PC)

[Reactie gewijzigd door Mizgala28 op 11 juli 2019 19:29]

Voor MS account gebruikers, want ik kon niet Windows Hello gebruiken icm een lokaal account.

Dus nu: lokaal account is watchwoord of geen wachtwoord. Microsoft account is wachtwoord, met extra opties zoals PIN (webcam, vingerafdruk etc).
Toekomst: lokaal account is wachtwoord of geen wachtwoord. Microsoft account is wachtwoord en/of PIN en andere opties (webcam, vingerafdruk etc).
Je kan zeker een lokaal account gebruiken met Windows Hello (gezichtsherkenning). Ik heb het een jaar lang gebruikt.
terwijl de pincode gebonden is aan een apparaat en versleuteld op een tpm-chip opgeslagen kan worden.
Dat is leuk! Hoe weet je of dat het geval is?

Wachtwoordloos als optie is een goed idee. Ik gebruik zelf alleen de pincode, en zal het waarschijnlijk gebruiken.
Mooi, nu nog die drie verplichte geheime vraag/antwoord schrappen. Man wat erger ik me daaraan bij iedere VM die ik opzet. Ik gebruik maar een zo kort mogelijke keyboardcombo, inclusief de shift tabs en pijltjestoesten, om door dat venster heen te komen.
Wanneer je Windows 10 opstart in veilige modus dan moet ik inloggen met wachtwoord en kan ik de pin niet gebruiken.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Groot-Brittanie

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True