Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft laat Windows 10-gebruikers wachtwoord als inlogmethode schrappen

Windows 10-gebruikers krijgen volgend jaar de keuze om alleen nog via Windows Hello of pin in te loggen op hun systeem en niet meer met een wachtwoord. Bij de aanmeldopties verschijnt dan de mogelijkheid om een wachtwoord in te voeren niet meer.

Bij de aanmeldinstellingen van Windows 10 verschijnt na een update volgend jaar de optie 'Make your device passwordless', meldt Microsoft. Het activeren hiervan schrapt de optie om met wachtwoorden in te loggen. Windows 10-gebruikers die nu inloggen via een pincode of gezichts- of vingerafdrukscan via Hello kunnen nog wel terugvallen op een wachtwoord als ze zich aan willen melden bij het OS.

Microsoft test de functie momenteel met buildversie18936 van Windows 10 Insider Preview 20H1, die voor een release in de eerste helft van volgend jaar op de planning staat. Microsoft benadrukt al langer de voordelen van biometrische Hello-authenticatie en het gebruik van een pincode. Wachtwoorden voor Microsoft-accounts kunnen online onderschept of gestolen worden terwijl de pincode gebonden is aan een apparaat en versleuteld op een tpm-chip opgeslagen kan worden. Microsoft voegde recent inloggen op een Microsoft-account met behulp van Hello of een FIDO2-hardwaresleutel toe.

Door Olaf van Miltenburg

Nieuwscoördinator

11-07-2019 • 18:31

255 Linkedin Google+

Reacties (255)

-12550248+1112+210+30Ongemodereerd107
Wijzig sortering
Consumenten is het niet op gericht.

Voor B2B daarintegen wel en jou bedrijf heeft toch al toegang tot je account ( admin) en nu betekent het dus dat als iemand van het bedrijf probeert te jatten ze dus : 1. toegang tot je pc moeten hebben 2. je key moeten bemachtigen 3. je vingerafdruk moeten bemachtigen.

Is het 100% veilig... nee maar als jouw ICT afdeling nog meer beveiliging wilt dan zet je er nog meer op authenticatie mogelijkheden bovenop..... zul je zien dat jij het misschien snapt maar de meeste collegas het niet kunnen waarderen als ze 5min bezig zijn met inloggen.

Je bedrijf gaat echt wel meewerken om jou account te unlocken als justitie voor de deur staat.

Bij voorkeur heb je dat mensen 16 cijferige passworden gebruiken en dan ook nog is alleen die op 1 account gebruiken en dan ook nog een hardware key hebben alleen zie je in de echte wereld dat mensen hetzelde password gebruiken op verschillende plekken / makkelijk password / niet hun computer locken... met de redenatie .......het is zo lastig om elke keer in te loggen.

Met deze stap erbij pak je daarnaast alle mensen aan die van afstand toegang proberen te krijgen tot bedrijf ( dan pak je alle scriptkiddies en heb je het misschien over professionele organisaties die de mankracht hebben om je vingerafdruk fysiek te bemachtigen maar realistisch hoeveel mensen hebben deze mate van beveiliging nodig). 100% veiligheid zul je nooit krijgen simpelweg omdat je toch op 1 of andere manier toegang moet krijgen.

[Reactie gewijzigd door Zyphlan op 13 juli 2019 14:47]

Als je het wilt hebben over gebruikersvriendelijkheid dan hebben we dat al: wachtwoorden met 8 karakters plus 2FA over SMS houdt momenteel ook (nog) de scriptkiddies buiten.

Verder schuilt het gevaar niet dat onze overheid die vingerafdrukken heeft. Het gevaar schuilt hem in het feit dat andere overheden 'm makkelijk kunnen verkrijgen, en dat iemand eenvoudig een malletje kan maken van jouw vingerafdruk. Het is simpelweg te fraudegevoelig. Het is een username; geen wachtwoord.

[Reactie gewijzigd door Jerie op 13 juli 2019 19:05]

https://www.theverge.com/...ion-hack-password-bitcoin

Ja klopt.... 2-3 jaar geleden werd sms nog als veilig gezien :).

All the group needed was the name, surname and phone number of the targeted Bitcoin user.

En ja is inderdaad erg eenvoudig om jou vingerafdruk en malletje te maken ( dan ga je er dus al vanuit dat fingerprint scanners ook niet vooruit gaan) maar dan moeten ze dus nog steeds jou vingerafdruk + hardware key + computer bemachtigen :). in plaats van : wachtwoord + sms spoofen wat niet bijster moeilijk is. Als ik een CISO ben is de keuze makkelijk ;)

Optie 1 die jij voorstelt lever je de scriptkiddies slechts wat extra werk op ( naam / achternaam / telefoonnummer is nou niet bijster moeilijk te bemachtigen)
Optie 2: Je vingerafdruk ergens vandaan halen en dan ook nog je key bemachtigen + acces op je computer in de tijd dat jij niet doorhebt dat je key gejat is en als je het doorhebt kun je admin bellen om hem te laten blokkeren en die kunnen kijken of ermee ingelogd is / wat er op die account gebeurd is.Optie 2 lijkt me dan toch een stukje veiliger :)

[Reactie gewijzigd door Zyphlan op 14 juli 2019 02:36]

Joh, 2017, die aanvallen gaan terug tot ergens in de jaren '00 toen aanvallen op SS7 al bekend waren. Zelfs Mitnick is uiteindelijk in eind jaren '90 door een MITM op GSM opgepakt en veroordeelt.

Je had het over scriptkiddies. Het hacken van 2FA over SMS is nog niet mogelijk voor scriptkiddies. Als je iets anders dan scriptkiddies bedoelt, dan moet je de terminologie goed gebruiken.

We zijn het verder eens dat 2FA over SMS een van de meer onveiligere methodes van 2FA zijn maar aan de andere kant is het ook een gebruikersvriendelijke. Verder ga je voorbij aan het feit dat er ook andere maatregelen kunnen zijn zoals whitelisting of blacklisting.
Verreweg de meeste hacks vinden nog plaats door al dan niet professionele scriptkiddies met een database met gejatte passwords.
I'm biometrie te hacken heb je fysiek toegang nodig en dat maakt de groep potentiële inbrekers heel veel kleiner.
Ik ben voor 2fa. Een vingerafdruk in combinatie met een pincode of wachtwoord of voor kritische toepassingen een authenticator.
Of gewoon toegang tot iets wat jij hebt aangeraakt, daar hoef jij niet voor in de buurt te zijn hoor.
Als de vingerafdruk op mijn telefoon is opgeslagen heeft de criminele ober in het restaurant waar ik gisteren gegeten heb niets aan mijn vingerafdruk op een glas: hij zal ook mijn telefoon moeten stelen.
Dan is er in jouw omgeving vrijwel niemand met een enigszins moderne smartphone?
Of je ziet het natuurlijk niet omdat je dan net toevallig moet kijken op het moment dat ze hun telefoon ontgrendelen met een vingerafdruk.
Ik zou vooral goed kijken of dat echt zo is. iOS is duidelijk dat de vingerafdruk een MFA is en niet je primaire manier van ontgrendelen. Daarom moet je bij een herstart altijd de pin (niet sim) ingeven.
Ik zou zeggen kijk in je omgeving hoeveel mensen hun mobiel unlocken met hun vingerafdruk :) en als het in het normale leven gebruikt wordt is het makkelijker aanvaardbaar op kantoor.
Is dat een concrete daling in de angst voor gebruik van biometrische data, of gewoon onwetendheid voor de implicaties van digitale opslagen van dingen als vingerafdrukken?
Kijk hoeveel paniek er "plotseling" is rond die smart speakers van Google en het feit dat Google die gesprekken kan (en doet, kennelijk) afluisteren terwijl dat echt geen nieuws mag zijn met een beetje kennis van inhoud.

Tevens, een werkgever die mijn vingerafdruk gaat vragen voor hun inlogsystematiek vind ik wat anders dan mijn eigen smartphone.

[Reactie gewijzigd door Koffiebarbaar op 12 juli 2019 16:32]

Kijk hoeveel paniek er "plotseling" is rond die smart speakers van Google en het feit dat Google die gesprekken kan (en doet, kennelijk) afluisteren terwijl dat echt geen nieuws mag zijn met een beetje kennis van inhoud.

Omdat jou data / stem ook naar servers geupload word. Er wordt met deze biometric niks anders gedaan dan je key unlocken en je fingerprint gaat dan ook nergens heen dus het komt niet van de key af.

Tevens, een werkgever die mijn vingerafdruk gaat vragen voor hun inlogsystematiek vind ik wat anders dan mijn eigen smartphone.

En daarom zijn er ook alternatieven met Fido2 met pin of wachtwoord ( leveren we ook en biometrische key kun je ook als bedrijf beslissen om die optie op dit moment niet te gebruiken en als normale 2FA te gebruiken maar dan nog wel passwoord / username of pin in tikken. Dus de werkgever kan je de optie geven maar aan jou is ook gedacht ;)
Wat verkeerd is en wat niet is een flexibel begrip onderhevig aan wat voor leiderschap je land heeft en tijdsgeest waar je in leeft. Je hoeft niet zo heel ver terug in de geschiedenis om te zien dat je gewoon vervolgd kan worden voor arbitraire factoren zoals je geloof en je afkomst.

Als je nu naar jezelf kijkt en die sonde's die je tegenwoordig in je leven geïnjecteerd krijgt in het kader van arbitraire redenen als "terrorismebestrijding" en dat allemaal oké vind omdat je NU binnen gestelde kadertjes leeft vind ik je erg kortzichtig.
Gechargeerd voorbeeld, maar als ze morgen vinden dat iedereen die melk drinkt kapot moet heb je toch een probleem als dat info is die bekend is van je.

[Reactie gewijzigd door Koffiebarbaar op 12 juli 2019 16:43]

Zolang jij denkt dat je niets verkeerd doet. Een rechter kan daar anders over oordelen na inzage in je gegevens op je mobiel.
Het voordeel van die pincode is wel dat het alleen op dat apparaat staat, en bruteforcen wordt tegengewerkt door beperkte inlogpogingen. Je moet dus fysieke toegang hebben.
Windows stagneert ook je inlogproces als je meerdere malen met een fout wachtwoord inlogt.
Ik snap deze keuze (behoud pin) ook niet.
Dat klopt, maar dat wachtwoord kun je dus ook online gebruiken, tenzij je een local only account gebruikt op je pc. Met een pincode kun je dus een microsoft account gebruiken met alsnog een lokaal wachtwoord.

[Reactie gewijzigd door mjz2cool op 12 juli 2019 20:16]

maar dat wachtwoord kun je dus ook online gebruiken
Het is Microsoft die graag wil dat je dat doet hé... dus als ze dat oprecht een argument vinden strookt dat niet echt met hun eigen werkwijze.
Niemand vroeg om die integratie van je Microsoft account in Windows en om daar omheen te gaan moet je wel weten welke volgorde van obscure knopjes je moet indrukken tijdens te installatie. Dat is puur Microsoft die heel erg zijn best doet om daar op aan te sturen dat je dat allemaal aan elkaar hangt.

Overigens zal bij een flink aantal mensen one drive opslag achter dat "onveilige" wachtwoord zitten, iets anders wat ze graag willen dat je gebruikt.
Volgens mij moet je onveiligheden op dat niveau dan dus ook beter afdekken.

[Reactie gewijzigd door Koffiebarbaar op 15 juli 2019 10:38]

Dat strookt prima met hun eigen werkwijze, je gebruikt dan een microsoft account, maar hoeft het wachtwoord nooit in te vullen op je eigen apparaten, zodat bijv. meekijkers alleen die pincode zien, en niet het wachtwoord die ze nodig hebben om online in te loggen.

En zo heel obscuur zijn die knopjes niet hoor, je hoeft alleen maar aan te klikken dat je geen account hebt, of je verbreekt de internetverbinding. Het had wel duidelijker gekund, daar ben ik het wel mee eens.
Overigens zal bij een flink aantal mensen one drive opslag achter dat "onveilige" wachtwoord zitten, iets anders wat ze graag willen dat je gebruikt.
Als je gewoon een beetje een sterk wachtwoord gebruikt is dat geen probleem, door die pincode is alleen 1 van de risico's afgedekt, namelijk het achterhalen van je wachtwoord door gewoon mee te kijken als je inlogt.
Ik denk dat deze push er voor zorgt dat veel mensen gewoon true passwordless blijven, namelijk gewoon geen wachtwoord op je computer. Ik hoop dat die optie wel blijft bestaan trouwens. Het is ook de optie die de meeste mensen in mijn omgeving op hun desktop hebben, de beveiliging is het slot op de voordeur.
omdat de biometrische gedeelte puur gebruikt wordt voor unlocken van de hardware ( opgeslagen op secure element) dus nergens op een database komt te staan of ook maar de key verlaat.


Persoonlijk vind ik dit aspect het allerbelangrijkste. Dan is dat in ieder geval niet de reden om het niet te zouden willen gebruiken. ;)

[Reactie gewijzigd door BenVenNL op 12 juli 2019 08:48]

Dat is het eerste wat ik zei toen R&D het aan me liet zien.... Als het ook maar enigzins van de key afgaat dan ga je dat in europa nooit verkocht krijgen :P
Wel ik weet niet hoe jouw handen en vingers werken maar ik laat overal vingerafdrukken achter.
Op mijn werk gebruiken we nu reeds de pin code in Windows 10. IT heeft vastgelegd dat deze minimaal 8 karakters lang moet zijn, combinatie van cijfers, kleine en hoofdletters, speciaal teken,...
Dus de vereisten van een Microsoft pin code kan gelijk zijn aan die van een gewoon paswoord.
Ik veronderstel dat het als PIN wordt omschreven gezien de gelijkenissen ermee. Zo is een PIN enkel gebonden aan een toestel en niet aan een account. Als je dus een PIN gebruikt met een "standaard" wachtwoord, dan kan je nog steeds enkel en alleen fysiek aanmelden op dat ene apparaat met dat "standaard" wachtwoord.

Het is in feite de vervanger van een lokaal account met lokaal wachtwoord maar dan met een microsoft account.
Je hebt gelijk, behalve dat er ook T9 was. Daarmee kon je letters (en symbolen) omzetten in cijfers. Hierdoor waren de cijfers effectief gezien makkelijker te onthouden. Werkte goed bij bijvoorbeeld telefoonnummers. Het voordeel hiervan is dat je langere telefoonnummers (en dus PINs) kunt gebruiken.

[Reactie gewijzigd door Jerie op 13 juli 2019 14:19]

Ik ben wel te spreken over dashlane, die heb ik onlangs in gebruik genomen en toch blij dat ik eindelijk ben overgeschakeld op een pw manager.
Dat valt wel mee, het enigste wat je hoeft te doen om die methode onbruikbaar te maken is ergens in je zin alleen al één character te vervangen met een speciaal character of een getal (iets wat zoiezo verplicht is bij vele websites). Iets moeilijker te onthouden maar niet zo heel veel moeilijker.
Ah ja, dat is een goed argument..

Het issue van passwordmanagers mijns inziens is dat je dan één single point of failure hebt die toegang verleent tot HEEL je digitale bestaan.. Ja je kan zeggen ''lastpass is nog nooit gekraakt" maar een beetje security expert zal je vertellen dat álles ooit gekraakt word, en het slechts de vraag is 'wanneer'.

Ik zelf voel me er totaal niet veilig bij om mijn gehele digitale bestaan toe te vertrouwen aan één enkel stukje software... maar wat een waardig alternatief zou zijn?..
Ik ben erg van het 'makkelijk te onthouden, moeilijk te kraken'... wellicht gewoon wél die techniek zoals ik hierboven heb uitgelegd maar dan óók in al je wachtwoorden een korte doch unieke reeks karakters invoeren? Hierdoor ben je beschermd tegen per-karakter brute force vanwege de lengte als ook beschermd tegen dictionary-attacks vanwege de inclu van een random string. (welke je in principe kan hergebruiken in al je wachtwoorden.. waardoor je maar een 'nare' string aan karakters uit je hoofd hoeft te leren)?
Totdat je weer zo’n website tegen komt die 14 tekens wel genoeg vind en ook eist dat er minstens een hoofdletter en speciaal teken in voorkomt. Maar geen ;€’. Ziek word je er van.
Verschil is, met jouw wachtwoord kan ik op elk willekeurig device inloggen op jouw account. Wanneer ik je pincode heb enkel op jouw devices waar je deze pincode gebruikt.
Dat hoeft helemaal zo niet te zijn.
Ook jouw windows/azure/live-id laat nu al MFA toe. Je kunt misschien 3 keer proberen daarna is het account locked out
MFA is te kraken (bijvoorbeeld door phishing), als dat gebeurt hebben ze toegang tot je account. Als je die pincode op meerdere apparaten gebruikt, en iemand die pincode vertelt, hebben ze alleen toegang tot de apparaten waar die pincode wordt gebruikt, maar niet tot je account.
Het was Microsoft zelf nota bene die destijds Windows gebruikers aanspoorde om hun lokale Windows account te koppelen aan een Microsoft account... En nu wil Microsoft het weer "loskoppelen".

Waarom niet gewoon een ander wachtwoord dan het Microsoft account forceren voor je device in plaats van een pin?

Laat die keuze tenminste aan de gebruiker over in plaats van het gebruik van een pin of Hello op te dringen, zou je zeggen.
Dat klopt helemaal niet. Ik log al jaren in met windows Hello op mijn surface. Ik log gewoon in met met corporate domain account. De PIN unlocked je account. Eens ingelogd moet ik mijn password niet meer ingeven nog voor bedrijfsresources nog voor mijn personal onedrive
Dat zeg ik toch niet?

Ik heb het dan ook over het feit dat Microsoft het weer wil doen zoals vroeger, maar dan met pincode/Windows hello ipv password!

Let op de woorden "Windows 7" en "vroeger" je hoefde ook maar 1 keer die passwoorden in te vullen die daarna onthouden werden.
Dat is toch een stuk minder risicovol dan je password op het web verliezen.
Mwa, valt wel mee toch als je 2FA aan hebt staan. Laten we de boel niet overdrijven.
Die pincode is dan nog steeds alleen op die apparaten aanwezig. Je moet dus altijd fysieke toegang hebben tot een apparaat om de pincode te gebruiken. Hergebruik van een pincode heeft dus veel minder impact, tenzij iemand die weet te kraken en toegang heeft tot je apparaten. Het kraken is trouwens ook lastiger, want je hebt beperkte inlogpogingen, waardoor bruteforce lastig is, zelfs met een 4 cijferige pincode. Maar je kunt ook een alfanumerieke pincode gebruiken, waardoor je de veiligheid van een sterk wachtwoord combineert met de veiligheid van een apparaatgebonden wachtwoord.

Als je een wachtwoord hergebruikt op online accounts, kan iemand die dat wachtwoord weet dus overal ter wereld inloggen op al je accounts die dat wachtwoord gebruiken vanuit zijn/haar luie stoel.

[Reactie gewijzigd door mjz2cool op 12 juli 2019 14:23]

Wat heeft dat met een pincode te maken?
Maar de waarheid is dat mensen uit grmak overall dezelfde pincode zullen gebruiken.
Dat dan weer wel natuurlijk :)
Maar als iemand toegang heeft tot je apparaat, heeft diegene nog geen toegang tot je account. Maar je hebt wel een beetje een punt. Dat online account is alsnog te kraken. Maar, die pincode is vooral bedoelt zodat mensen die meekijken als je inlogt niks aan die info hebben. Daarmee komen ze namelijk niet in je account.

[Reactie gewijzigd door mjz2cool op 12 juli 2019 14:27]

Dan maak je er toch een OF verhaal van, ik kan inloggen met Pin, met windows hello of met mijn paswoord. Bij dat laatste krijg ik dan wel een MFA challenge op mijn telefoon. Dus ik kan altijd wel inloggen.
Bovendien moet je data sowieso nog ergens anders staan al is het maar een backup. Je harddisk kan ook gewoon kapot zijn
de PIN is alfanumeriek en zo lang als je wil
Bitlocker slaat volgens mij een deel van de encryption key op in de tpm module, dus dan zou je al je data kwijt zijn als die chip kapot gaat ja. Dat heeft verder weinig te maken met het gebruik van een pincode of wachtwoord. Maar als je geen encryption gebruikt, kun je je schijf ook op een andere pc gewoon lezen.
De pincode heeft vooral als voordeel dat meekijkers hier niks aan hebben tenzij ze je pc in handen krijgen.
Bij een vorige werkgever had je een pas die in de reader moest icm een pin. Dat was best wel goed uitgedacht (zolang mensen die pas ook meenamen, dat was een zwak punt nogal zeg maar - ik denk dat ik één van de weinigen was met een 8 cijferige pin ipv de makkelijk afkijkbare 4 cijferige en 96% van de werknemers liet de pas in de reader zitten - een NFC optie zou beter werken). Verder bedoelde ik met passcode=PIN dus PIN/Passcode en niet wachtwoord.
Maar inderdaad niets is ideaal, we kennen allemaal hoop ik nog de oude James Bond films waar ze met kleine camera's foto's maakten van de dossiers uit de kast.

[Reactie gewijzigd door franssie op 12 juli 2019 01:23]

NFC bestaat tegenwoordig ook al ;).

We hebben nu een nieuw product. Biometrisch op de kaart ( zonder batterij) voor acces control en ook te combineren met fido2 / eigen applets.

https://www.ftsafe.com/products/Power_Card/Fingerprint
Als meer services dit gaan aanbieden is dit voordeel ook direct weer weg.
Het zit m er juist in dat een service dit niet kán aanbieden, althans, services die niet apparaatgebonden zijn kunnen dit niet aanbieden.
Alleen een apparaat kan deze manier van inloggen gebruiken. Als je 10 apparaten hebt met allemaal dezelfde pincode, kan iemand die de pincode weet alleen op die 10 apparaten inloggen, en verder niet. Als iemand je accountwachtwoord weet, kunnen ze online overal inloggen met dat account (wat wel moeilijker gemaakt kan worden met 2fa/mfa, maar ook dit is te "kraken")
Hm, daar had ik niet aan gedacht. Dat werkt vergelijkbaar met een hardware key/dongle, alleen is de dongle nu ingebakken in het apparaat. Interessant. Hierdoor is fysieke toegang tot het apparaat dus een vereiste voor authorisatie. (Totdat ze de hardware key weten te kraken, maargoed geen enkel systeem is perfect)
Bovendien zijn PIN's ook alfanumeriek in te stellen, haalt het Number er wel een beetje van af. Maar veiliger dan een ww. dus :).
https://www.youtube.com/watch?v=fuMc7zohgyw

Werk er zelf voor maarja er is maar 1-2 andere leverancier op dit moment die ook biometrisch doet maar die zitten nog met prototypes en niet on the market.

https://www.bol.com/nl/p/...oor-2fa/9200000110210987/
Owh dat hebben wij genoeg, scheelt dat wij een password manager gebruiken waarbij de mensen zelf hun wachtwoord kunnen wijzigen. Dus wachtwoord vergeten, dan hoef je niet bij ons aan te kloppen. Het kost je meer tijd om via ons je wachtwoord te laten veranderen dan dat je het zelf doet.
Wil jij eens met onze ICT-afdeling babbelen? O-)
Ja we zijn de enige op de markt dus kan helaas niet andere opties geven die ook echt on the market zijn en biometrisch aangeven :/

https://www.ftsafe.com/Products/FIDO2

Werk zelf voor ze ( ik had tweakers nog aangeboden dat we er wel 50 stuks beschikbaar willen maken als prijsvraag of iets in die trant aangezien het wel echt vette tech is en true passwordless mogelijk maakt maar nooit een reactie gekregen :+ )
bij deze meld ik mij als eerste aan voor een FIDO2 :-)
Ik zou het heel graag willen testen voor prive en zakelijk gebruik
Offtopic:

Zie prive berichtje :)
Als je een FIDO2 haalt met USB-C is deze dan ook compatible met bijvoorbeeld een Galaxy S10? Ik ben zelf nu aan het kijken hoe wij wachtwoordloos verder kunnen werken.

En als ik mij kan aanmelden voor een test dan hoor ik dat graag.
Er is een losse policy in Intune MDM waarmee je PIN requirements kan afdwingen. Vaak weet de interne IT dit überhaupt niet.
Klopt. Het probleem is dat je moet uitgaan van de gemiddelde medewerker. Ja in de perfect situatie werkt iedereen zoals jou maar als jij meerdere malen per dag moet inloggen gooit 99/100 mensen het op een makkelijk wachtwoord en bij voorkeur hergebruik..... de mens is nou eenmaal een gemaskdier :P
5 cijferige PIN: 100.000 mogelijkheden. Mensen die direct zo maar bij je device komen: 20? 5.000 mogelijkheden pp.

8 letterig password, alfanumeriek: ((26*2) + 10)^8 = ~2.1^14 mogelijkheden.
Mensen die zo maar bij je microsoft login form kunnen komen: ~3^9? ~11.000 mogelijkheden pp.

Natuurlijk allemaal redelijk fictieve getallen, maar het illustreert even het verschil.
Hoe groot is trouwens de kans dat in die 20 de een of andere hacker met toegang tot een bruteforce botnet zit? In die 3^9 iig gegarandeerd 100%, en dan zijn het er ook meer dan 20.

Disclaimer: ik had enkel een telefoontje (zowel post als rekenen), wss wel ergens een rekenfout. Principe houdt stand.

[Reactie gewijzigd door jhaan1979 op 11 juli 2019 21:33]

Bruteforce haalt helemaal niets uit na 3 foute inlogpogingen wordt het account gelocked , ik die je pin van 6 cijfers kan onthouden als effe over je schouder kijk nagenoeg 100%.
Oplossing is en blijft MFA
Wel als je anders een zwak wachtwoord gebruikt waarmee je overal in kunt loggen. Dan is zelfs een lokaal opgeslagen 4 cijferige pincode waarmee je alleen maar op dat apparaat kunt inloggen veiliger (bij meerdere mislukte pogingen zit er steeds een langere timeout in, dus dan ben je met bruteforce wel even zoet).
Wil je het nog veiliger maken, stel je een sterker alfanumeriek wachtwoord in als pincode.
Het gaat er niet om dat je de pin niet nodig hebt, maar dat de pin verplicht is om aan te hebben staan om in te kunnen loggen met gezicht of vingerafdruk. En die pin wil onze ICT-afdeling dus absoluut niet aan hebben. Dus als ze dat nu gewoon uit zouden kunnen zetten, dan log ik gewoon in met gezicht, vingerafdruk of een hardware token, en als dat niet werkt met m'n gewone wachtwoord. Dan is het hele probleem er niet meer. Maar daarvoor moet die pin dus uit en dat mag niet van Microsoft.
Nee pin is niet verplicht om in te loggen met Fido / Active directory ( zie youtube video hieronder , wij hadden toegang tot de private preview als hardware leverancier ;) )

https://www.youtube.com/watch?v=fuMc7zohgyw
Nice. Nu dat doorvoeren naar Windows Hello en ik ben helemaal gelukkig. :)
WIN toets + L = lockscreen.
Gebruik ik meerdere keren per dag... Werkt dat niet met de nieuwe methode?
Die combo gebruik ik ook vrij regelmatig. Het punt daarmee is dat ik vervolgens weer mijn wachtwoord moet invoeren, terwijl ik dat biometrisch wil kunnen doen. De nieuwe methode ondersteunt dat ongetwijfeld, maar die mag dus weer niet aan omdat dan ook pin aan moet en ICT niet aan die pin wil.
Volgens mij trekt Microsoft hier 2 dingen uit elkaar wat het nogal verwarrend maakt...
Het gaat over inloggen door middel van je Microsoft account op 2 verschillende niveaus, namelijk inloggen op je device (middels een pin) en inloggen op de betreffende service.

Ondanks dat je bij het unlocken van je device automatisch wordt ingelogd bij o.a. bijvoorbeeld OneDrive en office kan je vaak geen instellingen aanpassen aan het account zonder wachtwoord.
Een pin is dus per device met beperkte toegang tot het account terwijl het wachtwoord niet device afhankelijk is en gelijk volledige toegang verleend tot het account.

Het gaat er hier dus niet om dat een pin veiliger is ansich, maar door een pin te gebruiken om je device te unlocken die beperkte toegang verleend tot het gekoppelde account in plaats van je wachtwoord, is er minder risico dat je wachtwoord op straat komt te liggen.
de pincode is in combinatie met het apparaat. Lastig inloggen door iemand op een zolderkamer aan de andere kant van de wereld. Daarom is het vele malen veiliger dan een username/password.
makkelijker te hacken is dan een pincode dat iets onpersoonlijker is
O; mijn vrouw gebruikt de postcodecijfers. ;)
Gelijk aan die van de buren...
''Van een Microsoft account'', daar zeg je wat. Wie wil dat nou ?

Maar oke, ik houd alles privaat dus een wachtwoord voldoet voor thuisgebruik goed.
Het werkt anders bij de ATM al jaren prima?

Ik kan om een of andere reden een reeks cijfers beter onthouden dan een reeks willekeurige letters.
Nou zijn veel van die onderdelen vaak wel veel makkelijker te vervangen dan zo'n sensor.
Yup.

Heb hier een Lenovo laptop waarvan het stuurprogramma niet meer compatibel is ofzo met de laatste update van Windows. Windows Hello werkt daardoor gewoon niet meer.

Weg vingerafdruk.
Dan heb je bij de inlog gewoon nog recovery-opties, je kan altijd terugvallen op je inlog met wachtwoord.
Ze bedoelen met opvangen ook, keyloggers en meekijkers bijv. In transit opvangen kan je ook voorkomen door encryptie of een lokale hash/token ter verificatie te gebruiken (dat laatste vermoed ik wat met een pin e.d. wordt gedaan).
Daarom zet juist ook de PIN. Als iemand mee kijkt heeft diegene alleen je PIN en daarmee toegang tot je computer. Maar nog geen toegang tot je account.
Maar nog geen toegang tot je account.
Helaas klopt dat niet. Sinds Microsoft het mogelijk heeft gemaakt om d.m.v. FIDO2 en Windows Hello in te loggen op je Microsoft account, is het mogelijk om d.m.v. alleen je PIN toegang te krijgen tot de security options van een Microsoft account. Probeer het maar uit:

Ga naar account.microsoft.com, navigeer naar de menulink Beveiliging. Je wordt nu om je wachtwoord gevraagd, selecteer 'Inloggen met een beveiligingssleutel'. Vervolgens verschijnt er een Windows popup die je vraagt om je hardwaresleutel (YubiKey etc.) in te pluggen. In die popup kunt je ook kiezen om d.m.v. Windows PIN te authenticeren (knopje met icoontje van een numpad). Doe dit en je zult zien dat je nu via je lokale PIN van Windows Hello ingelogd wordt met FIDO2/WebAuthn. Je kunt nu alle belangrijke beveiligingsgegevens wijzigen zonder dat je het daadwerkelijke wachtwoord ook maar hebt ingevuld. Eigenlijk heel vervelend.
Simpel gesteld: de TPM chip slaat 128/256 bit codes op. Hoe een mens die interpreteerd zal de TPM chip een zorg zijn. Ofwel je kunt een cijfer PIN gebruiken of een ASCII wachtwoord. Zolang het totaal maar 128 of 256 bit lang is, is de TPM chip tevreden

Meestal hasht men daarom een wachtwoord zodat het vergroot of verkleint wordt tot 128bit, alvorens het in de TPM op te slaan.
Zoals ik het lees kom je er niet onderuit. Alleen degene die NU al hello of een pincode gebruiken kunnen nog kiezen voor een wachtwoord dan.

"Windows 10-gebruikers die nu inloggen via een pincode of gezichts- of vingerafdrukscan via Hello kunnen nog wel terugvallen op een wachtwoord als ze zich aan willen melden bij het OS."
Hmm oke. Ach we zien t wel. :) Hoop alleen dat ik zonder al teveel "gedoe" die shares kan blijven gebruiken. Een nas wil ik liever niet. En externe hdd's, meh, niet handig bij meer cliënts die je vaak gebruikt.
Niet als je NAS of Server gebruikt, ik gebruik FreeNas.

Dan moet je juist als bv admin op elke PC (ook die je extrern benaderd) dezelde Admin Username & Passwoord cq PIN gebruiken op in te kunnen loggen (op afstand ook) om zodoende op de betreffende PC's altijd als ADMIN in jouw nes netwerk op elke PC te kunnen inloggen om te op de nas server geplaatste files te kunnen bewerken.

Dit is ook handiger als 'normale' gebruiker, immers als je bestanden op de server opslaat, dan is het juist onhandig telkens een andere PIN te gebruiken, want je moet voor elke veranderde PIN deze autoriseren (heb ik al gemerkt, want IKKE met PIN 2019 op PC1 & IKKE met PIN 2020 op PC2 is juist door het verschil tussen PIN 2019 <=> PIN 2020 een andere gebruiker als het ware geworden.

Deze situatie heb ik al in de praktijk uitgeprobeerd en zo tot hele rare situaties gekomen van "waarom heeft IKKE2019 wel toegang en IKKE2020 geen toegang tot een directory ineens.

Maar als je handiger (zoals ik) bent maak je een batch file die de 'inlog procedure' volgt zodat je maar 1 mogelijk hebt op de server-range, want zo doen bedrijven het immers ook.
Daarin kan je vele zaken van te voren vastleggen die het leven doorgaans alleen maar makkelijker maken.

[Reactie gewijzigd door SirRonaldwwnl op 12 juli 2019 01:39]

op een telefoon zijn volgens mij ook maar 4 cijfers als pincode.
Op mijn oude Lumia gebruikte ik dezelfde pin als op Windows Pc.
Dat staat in de documentatie van windows hello, en wordt in bijna ieder blog er over nogmaals bevestigt
Of het op mijn laptop gebruik maakt van de TPM.
Ja; mateloos irritant en onnodig met een lokaal account en geen HDD encryptie. Ik heb nog geen manier gevonden dit te omzeilen.
Gewoon user aanmaken zonder Pass en dan via Computerbeheer-> Lokale gebruikers en Groepen -> Gebruikers: Wachtwoord resetten van die net aangemaakte gebruiker en daar het gewenste wachtwoord invullen. Heb je al die onzin van verplichte vraag/antwoord niet.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Groot-Brittanie

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True