Microsoft-accounts hoeven geen gekoppeld wachtwoord meer te hebben

Microsoft maakt het mogelijk om een wachtwoordloos Microsoft-account te hebben. Gebruikers die hier voor kiezen kunnen inloggen met alternatieve methoden zoals de Microsoft Authenticator-app, Windows Hello, een beveiligingssleutel of een verificatiecode.

Microsoft maakt het vanaf woensdag mogelijk om een Microsoft-account zonder wachtwoord in te stellen. Voorlopig gaat het alleen om persoonlijke accounts die ergens tussen nu en de komende maanden de 'account zonder wachtwoord'-optie krijgen. Deze verschijnt bij zowel bestaande accounts die al een wachtwoord hadden als bij het instellen van een nieuw account.

Gebruikers die het wachtwoord van hun account willen verwijderen, dienen de Microsoft Authenticator-app te installeren en te koppelen aan hun account. Vervolgens kunnen ze bij de 'Extra beveiligingsopties' van hun Microsoft-account, onder 'Wachtwoordloos account' de optie in- of uitschakelen. Tenslotte dienen ze hun account te verifiëren.

Microsoft waarschuwt gebruikers wel dat ze 'mogelijk toegang' verliezen 'tot enkele oude apps, services en apparaten'. Zo is het onder andere niet mogelijk om in te loggen op een Xbox 360 met een wachtwoordloos Microsoft-account, en ook niet op een Office-programma van 2010 of ouder of Windows 8.1, Windows 7 of eerdere versies.

Microsoft raadt gebruikers van een Xbox 360 of Office 2010 aan een app-wachtwoord te gebruiken. Dat is een automatisch gegenereerd wachtwoord dat een gebruiker kan aanvragen bij de beveiligingsopties op diens account. Na één keer vervalt het wachtwoord en moet er een nieuwe worden aangevraagd. Microsoft meldt dat het ook altijd mogelijk is om 'Account zonder wachtwoord' weer uit te schakelen.

Inlogopties zijn onder andere Microsoft Authenticator en Windows Hello, waarbij je geen wachtwoord nodig hebt, maar bijvoorbeeld een pincode of vingerafdruk. Volgens Microsoft zijn dergelijke methoden minder makkelijk te kraken dan een wachtwoord. Daarnaast zijn wachtwoorden vaak onderdeel van datalekken, wat met bijvoorbeeld een pincode niet snel zou gebeuren. Ook zouden gebruikers wachtwoorden irritant vinden. Volgens een survey die Microsoft opgevraagd heeft, stopt een derde van de mensen nog liever volledig met het gebruiken van zijn of haar account, dan dat het een wachtwoord gaat resetten. Het bedrijf zegt dat 85 procent van de gebruikers inlogt zonder wachtwoord.

Microsoft meldt verder het binnenkort te starten met het werk dat nodig is om wachtwoorden van Azure Active Directory-accounts te schrappen. Beheerders krijgen dan de mogelijkheid om in te stellen of bepaalde gebruikers die optie wel of niet krijgen. Het bedrijf is al langer bezig om wachtwoorden als inlogmethode te kunnen schrappen voor zijn software en diensten. Sinds 2019 is een wachtwoord al niet vereist voor Windows 10.

wachtwoord verwijderd

Reacties (187)

mhnl1979 15 september 2021 17:54

Uitstekend dat Microsoft hiermee begint. Is veel veiliger en beter dan de eeuwige wachtwoorden

Bruin Poeper @mhnl1979 • 15 september 2021 22:19

Wel lastig dat ik een gratis wachtwoord dat geen ruimte inneemt moet vervangen door een lompzware en dure telefoon+hoesje+lader+netaansluiting+abo+app waarop ik ook nog eens apart in moet loggen (met en pin of vingerprint).

Feitelijk een bezopen "oplossing". Waarom zouden we het makkelijk doen als het ook moeilijk kan?

GekkePrutser

Wachtwoord

@Bruin Poeper • 15 september 2021 22:48

Als je authentificeert met een wachtwoord, moet je het wachtwoord geven. Daarmee geef je de andere partij de mogelijkheid om zich als jou voor te doen. En de andere partij is niet de enige die je wachtwoord weet. Je computer ziet je wachtwoord langskomen, je browser, een eventuele phishing site waar je intrapt...

Met een challenge/response systeem zoals Fido, een app of OTP code kan dat niet. Want die worden elke keer opnieuw gegenereerd, en de private key of seedcode blijft altijd in het token (en kan er als het goed is niet uit).

Daarom is dit beter. En juist daarom is het geen probleem meer als je hetzelfde token op meerdere websites gebruikt. Is het ook gelijk over met het lekken van wachtwoorddatabases.

[Reactie gewijzigd door GekkePrutser op 25 juli 2024 20:37]

Rhinosaur @GekkePrutser • 16 september 2021 08:46

Wat wel een risico blijft is, als je je fysieke hardware key kwijt raakt. Stel je spullen worden gestolen of er is een brand of inbraak bij je thuis. Dan ben je de fysieke sleutel (ofwel als een token-app ofwel iets fysiek) compleet kwijt. Is natuurlijk een kleine kans, maar wel eentje die aanwezig is.

GekkePrutser

Wachtwoord

@Rhinosaur • 16 september 2021 10:01

Ja maar daarom kan je er meerdere aanmelden. Dit doe ik ook.

Ik heb er altijd eentje aan mijn sleutelhanger en eentje die ik dagelijks gebruik (zodat ik hem in de computer kan laten zitten als ik bezig ben zonder dat mijn sleutels er bij hoeven liggen). Ook heb ik een backup software key in mijn backups zitten.

Bruin Poeper @GekkePrutser • 16 september 2021 11:13

Daarom is dit beter.

Misschien is het beter voor de veiligheid, maar niet beter voor de handigheid (omdat je er een telefoon+...gevolg...) bij nodig hebt.

Overigens heb ik er weinig verstand van die veiligheid, dus daar kan ik niet over discussiëren. ik heb wel veel ergernis.

Momenteel gebruik ik Firefox op laptop, maak wachtwoorden aan waar gewenst, laat die opslaan en ze komen weer boven water waar nodig. Dat bevalt me goed. Ik kan ze terug zoeken en ook uitdraaien op een blaadje papier.

Ik gebruik zo weinig mogelijk telefoon maar vind het wel handig dat Firefox Android er op zit. Die neemt over van laptop, maar de laptop is niet afhankelijk van de telefoon.

Jij (gekkeprutser) mag me uitleggen of dit veilig is of niet.

mr_evil08 @mhnl1979 • 15 september 2021 18:21

Ja leuk alleen 1 nadeel je telefoon(Microsoft Authenticator App) valt in de toiletpot en dan kan je niet meer inloggen, en nu?

Juist je moet ergens inloggen in een systeem met wachtwoord om het te herstellen...

Kevin25621 @mr_evil08 • 15 september 2021 18:24

Als het goed is moet je altijd nog je telefoon nummer koppelen, dus je kan resetten via een SMS naar je telefoon nummer.

SMGGM @Kevin25621 • 15 september 2021 20:41

Waren het niet dat SMS al enige tijd (10 jaar al dacht ik) "gekraakt" is en bijgevolg bij NIST al lang aangeraden wordt om het niet meer te implementeren en best ook uitgefaseerd wordt als OTP (zeker als het gebruikt wordt als enig vereist token om je toegang weer terug te krijgen).

An out of band secret sent via SMS is received by an attacker who has convinced the mobile operator to redirect the victim’s mobile phone to the attacker.
A malicious app on the endpoint reads an out-of-band secret sent via SMS and the attacker uses the secret to authenticate.
https://pages.nist.gov/800-63-3/sp800-63b.html

mae-t.net @SMGGM • 15 september 2021 21:50

Dan moet de aanvaller wel weten welke telefoon bij welke computer hoort. Dat is een voorbeeld van een relatief onveilige methode die alsnog relatief veilig is juist _omdat_ het een 2e factor is.

HakanX @mae-t.net • 15 september 2021 23:28

Maar bij het resetten heb je de computer/telefoon die erbij hoorde dus niet meer. Het moet wel lukken op nieuwe hardware dus.

mae-t.net @HakanX • 18 september 2021 12:47

Dat los je op door je nummer mee te nemen, of je nieuwe nummer tijdig door te geven. De ING, die het gebruiksvriendelijke 2FA via de telefoon juist heeft afgeschaft en alleen nog gebruikt als 3FA, genereert tot vervelens toe (random?) meldingen om je telefoonnummer en mailadres te controleren, juist om die situatie te voorkomen.

mr_evil08 @Kevin25621 • 15 september 2021 20:04

Ja klopt maar als je telefoon in de WC pot ligt werkt SMS dus ook niet.

Ik probeer er ook mee te zeggen dat je volledig afhankelijk gaat maken van 1 apparaat, en nee ik heb mijn keuken la niet vol liggen met oude mobiele telefoons.

majetta @mr_evil08 • 15 september 2021 20:48

Onzin, je kan meerdere apparaten koppelen met 2FA.

Geen la met oude telefoons? Dan loop je naar de mediamarkt en haal je der eentje van 20 euro of je leent er eentje van ... iemand.

Man man man, zo een drama is het ook weer niet dat je totaal afhankelijk wordt gemaakt van jouw telefoon.

Tegenwoordig kan je ook <nog steeds> op zo een PC of laptop of tablet ding het internet op en 2FA instellen/resetten, waar het bij MS nog mogelijk is om een email te ontvangen met de reset code.
Er zijn wachtwoord managers op desktop en mobiel die 2FA kunnen beheren, dus als jouw telefoon kapot is dan heb je nog altijd een desktop of een laptop of een tablet.

Of sterker nog, je kan ook een hardware Key gebruiken. Die doet het nog steeds nadat die in een toiletpot is gevallen.

mr_evil08 @majetta • 15 september 2021 20:56

Ik ga er niet op door maar zo werkt het gewoon simpelweg niet, als je 2Fa bijvoorbeeld aanzet komt het vrijwel altijd binnen op 1 apparaat, en als die apparaat kapot gaat gebeurd het altijd net buiten winkeltijden.

Als je die 2fa kan resetten met e-mail is het meteen al weer hack gevoelig.

Ik praat over in praktijk, verhalen als "dan leen je maar ff een telefoon" of je keukenla ligt vast vol daarmee of ga maar naar de winkel die toevallig wel open moet zijn, zo werkt dat vaak niet in praktijk.

Dit soort dingen gebeuren altijd op ongelukkige momenten, ik wil dus niet afhankelijk zijn van 1 apparaat.

[Reactie gewijzigd door mr_evil08 op 25 juli 2024 20:37]

majetta @mr_evil08 • 15 september 2021 21:30

Alle punten die je opnoemt zijn toch wel problemen die je zelf overkomt, niet door schuld van Microsoft of welk ander bedrijf.

En volgens mij is het tegenwoordig ook gewoon mogelijk dat je 2FA op meerdere apparaten kunt instellen en bekijken, ook bij Microsoftdiensten. Voor 2FA is de standaard, de MS Authenticator App, daarnaast kan ik de code ook op mijn pc, laptop, tablet en smartphone opvragen via 1pass.

Dus die tegenstribbelingen dat je aan 1 apparaat verbonden bent ligt toch gewoon bij jouw

In ieder geval zorg er wel voor dat je altijd een opgeladen back-up telefoon ergens in huis hebt liggen voor noodgevallen

dat is wel handig.

divvid @majetta • 15 september 2021 21:54

Voor de school van mijn kind moest ik ook 2fa instellen. MS vraagt dan om je telefoonnummer toe te voegen om de code op je mobiele apparaat....voordat je het telefoon nummer doorgegeven hebt. Kip/ei,
Pas als je verder klikt in de authenticatie opties komt e-mail tevoorschijn. De hele procedure was voor mij als ICTer zelfs erg onduidelijk, laat staat voor minder ICT vaardige mensen (en die zijn er vééél). Laat staan dat die mensen de kennis hebben om twee apparaten toe te voegen. Je overschat echt de gemiddelde windows gebruiker.

mae-t.net @majetta • 15 september 2021 21:48

Ze zijn in zoverre de schuld van MS dat die een bepaalde werkwijze opleggen. Soms is 2FA heel nuttig, een andere keer flink overdreven.

In vakjargon heet dit soort inlogmethodes "door (brandende) hoepels springen".

[Reactie gewijzigd door mae-t.net op 25 juli 2024 20:37]

stijnos1991 @mr_evil08 • 16 september 2021 06:57

Volgens mij scheer je nu meerdere 2fa methodes over één kam. 2fa is een term voor tweede factor, geen authenticatie mechanisme. Zoals eerder aangegeven heb je meerdere opties en is het ook mogelijk om meerdere devices toe te voegen aan bepaalde authenticatie methoden. Je hoeft niet afhankelijk te zijn van 1 device als je dat niet wilt, en die mening deel ik volledig met je.

Yinchie @mr_evil08 • 16 september 2021 12:26

Bij het inschakelen van 2fa krijg je altijd aantallen recovery codes die eenmalig zijn te gebruiken.

Dus je account is altijd te recoveren.

tdlaccount @Kevin25621 • 16 september 2021 05:27

1. sMS is ook niet veilig.
2. Je moet wel een nieuwe telefoon weer kopen, misschien heb je niet genoeg geld deze maand, moet je wachten.

Ik denk dat een password gewoon beter is, ondanks dat het misschien wat minder veilig is. Maakt dit mfa gedoe het alleen maar lastiger en lastiger voor de gebruiker wanneer de mfa niet goed functioneert.

Qws @Kevin25621 • 15 september 2021 18:40

Prepaid simkaart kwijt, en nu?

Blokker_1999

Besturingssystemen
Microsoft Windows
Microsoft
Wachtwoord

@Qws • 15 september 2021 19:13

Naar je provider, nieuwe sim kaart vragen. Dat nummer hoort aan jouw persoon gekoppeld te zijn. Anomnieme simkaarten zijn al jaren verboden.

Bor Coördinator Frontpage Admins / FP Powermod

Wachtwoord

@Blokker_1999 • 15 september 2021 19:31

Naar je provider, nieuwe sim kaart vragen. Dat nummer hoort aan jouw persoon gekoppeld te zijn.

En dit is precies hoe dit soort zaken gehacked worden. Sim swapping is een reëel en groot probleem.

xenn99 @Blokker_1999 • 16 september 2021 02:40

Naar je provider, nieuwe sim kaart vragen. Dat nummer hoort aan jouw persoon gekoppeld te zijn. Anomnieme simkaarten zijn al jaren verboden.

Weet niet hoe je hier bij komt, maar anonieme simkaarten zijn niet verboden, en gewoon vrij verkrijgbaar, in Nederland althans.
Wellicht herinner je je het hele gebeuren rondom Belgie destijds.

[edit]
Ik zie net in je profiel dat je idd uit Belgie komt dus dat verklaart het wel

, maar in Nederland is dit dus niet illegaal.
Je kunt bij elke supermarkt of tankstation hier een dergelijke anonieme prepaidkaart kopen.

[Reactie gewijzigd door xenn99 op 25 juli 2024 20:37]

mjl @Qws • 15 september 2021 19:09

Nummer meenemen naar een nieuwe kaart…

Justin0017 @mr_evil08 • 15 september 2021 19:05

Daar heb je een backup-methode voor, bijvoorbeeld controle via SMS of via een telefoongesprek.Die zal je ook moeten instellen wanneer je MFA instelt op je account.

Skywalker27 @Justin0017 • 15 september 2021 19:58

Of een yubikey

jcbvm

@Skywalker27 • 15 september 2021 23:07

Volgens mij ondersteunt Microsoft geen hardware sleutels zoals de yubikey

RobWu @jcbvm • 16 september 2021 10:06

Altijd leuk, aannames doen...

Check eens bij YubiKey welke partijen dit ondersteunen. Het zal je verbazen

Bor Coördinator Frontpage Admins / FP Powermod

Wachtwoord

@Skywalker27 • 15 september 2021 21:20

Een yubikey heeft weer als nadeel dat je daar geen backup van kan maken behalve een ander token of je moet een andere yubikey registreren als fallback.

[Reactie gewijzigd door Bor op 25 juli 2024 20:37]

GekkePrutser

Wachtwoord

@Bor • 15 september 2021 22:37

Een yubikey heeft weer als nadeel dat je daar geen backup van kan maken

Dat is geen bug, dat is een feature

Het maakt het token werkelijk uniek.

of je moet een andere yubikey registreren als fallback.

Ja dat is precies wat ik doe. Ik heb er meerdere. Wel een dure hobby maar het is me wat waard.

En Yubikeys zijn voor mij vrij ideaal. Ik gebruik zowat elke mogelijkheid ervan.

Fido2 (met PIN): Inloggen op MS Office 365 en andere dingen
PIV Smartcard: Inloggen op werk laptop (en remote desktops)
OpenPGP Smartcard: Inloggen op SSH, wachtwoordmanager, file encryptie
Challenge-Response HMAC-SHA1: Voor Keepass van werk

Echt alles wat ik nodig heb zit er op en bijna alles wat er op zit gebruik ik ook. Daarom zijn ze me de 50 euro wel waard ondanks dat het best duur is voor een security token. Ik gebruik de meeste functies ook vanaf mijn telefoon over de NFC.

[Reactie gewijzigd door GekkePrutser op 25 juli 2024 20:37]

Skywalker27 @GekkePrutser • 16 september 2021 07:20

Klopt ik heb er ook gewoon 2

Yinchie @Bor • 16 september 2021 12:27

Bij inschakelen 2fa ontvang je altijd recovery codes. Dus als je telefoon of key kwijt raakt heb je nog altijd je recovery codes.

Justin0017 @Skywalker27 • 16 september 2021 18:47

Nog beter

crazyboy01 @Justin0017 • 15 september 2021 23:00

Volgens mij geven ze je toch ook altijd zo'n lange sleutel bij Microsoft, die je dan offline zou moeten opschrijven en waarmee je een herstel zou kunnen uitvoeren. Andere diensten geven je dat ook, of een herscanbare QR-code die officieel eveneens geprint zou moeten worden.

[Reactie gewijzigd door crazyboy01 op 25 juli 2024 20:37]

jcbvm

@Justin0017 • 15 september 2021 23:08

En dat vind ik nu juist het kromme, door sms als backup in te stellen kun je net zo goed geen TOTP gebruiken omdat dat dus te omzeilen is met een sms…

beerse @mr_evil08 • 15 september 2021 18:36

Voor sms moet je bij de provider een nieuwe sim regelen zodat de sms daar binnen komt.
Voor de authenticatie app had je 'authy' moeten gebruiken, daarmee kan je op al je tablets en telefoons de zelfde code genereren voor al je mfa-authenticaties. Zelf gebruik ik 'autyy' voor google, microsoft, gitlab, bitwarden en freedom.nl.
Voor de authenticatie via 'hello' kan je nog altijd gewoon je laptop/desktop/.... gebruiken, met vingeren, kijken of pinnen.

Oftewel:

Bor Coördinator Frontpage Admins / FP Powermod

Wachtwoord

@beerse • 15 september 2021 19:30

Voor sms moet je bij de provider een nieuwe sim regelen zodat de sms daar binnen komt.

Klopt maar daar zit ook een van de zwaktes van het systeem; het is gevoelig voor social engineering en sim swapping. Het vreemde is dat Microsoft oproept om geen MFA / 2FA via SMS te gebruiken maar het zelf wel aanbiedt. Men is af en toe nogal selectief met wat men als veilig adviseert.

nieuws: Microsoft roept op om geen tweestapsverificatie via sms meer te gebru...

Een ander voorbeeld is de eeuwige discussie of het nu wel of niet een goed idee is om wachtwoorden te laten verlopen (de security wereld is hierover verdeeld). In het ene artikel zegt Microsoft van niet om het vooral wel default en als best practice in een ander artikel aan te duiden.

beerse @Bor • 16 september 2021 12:16

Alle authenticatie systemen hebben zwaktes:
- Wachtwoorden: te simpel.
- pincodes: Nog simpeler.
- Gezicht-herkenning: foto's (3d prints?).
- vinger-afdruk: zie de vele films waarin dat wordt 'misbruikt' met een siliconen-velletje.
- oog/iris herkenning: grof geweld...
en wees creatief in het verzinnen van de zwaktes van de andere methodes.

Daarom is er eerst 2fa (2-factor-authenticatie) en daarna mfa (Multi factor authenticatie) gekomen. Waarbij ik wil aantekenen dat 2 een invulling van multi is, maar multi kan ook elk ander nummer (meer dan 1) zijn.

Nu is het dus bij microsoft mogelijk om zonder wachtwoord in te loggen. Als je dan MFA wilt gebruiken dan kan je dus kiezen uit sms, authenticatie-app, security-chip, hello en nog een aantal anderen.

Bedenk dat als je richting microsoft gebruik maakt van hello (gezicht, iris, vingerafdruk, pincode) dat het dan ook mfa is bij de gratie van de security-chip van het apparaat.

Twam @beerse • 15 september 2021 19:56

[... ]
Voor de authenticatie via 'hello' kan je nog altijd gewoon je laptop/desktop/.... gebruiken, met vingeren, kijken of pinnen.

Well, Hello! Is that a phone in your pocket or are you just really happy to log in?

amx @mr_evil08 • 15 september 2021 21:00

Nee geen nadeel. Als je je wachtwoord ben vergeten heb je toch ook geen toegang meer? Net alsof voor beide problemen geen herstel opties bestaan

TheVMaster Moderator WOS

Microsoft Windows

@mr_evil08 • 16 september 2021 00:09

Dan zorg je dat je in je kluis een FIDO2 key hebt liggen, waarmee je OOK kunt inloggen op je account naast je Authenticator app.

vinkjb @mr_evil08 • 16 september 2021 04:38

Waarom zou je je telefoon meenemen naar het toilet....selfie...iedereen maar liken?

LocoDenishr92 @vinkjb • 16 september 2021 07:38

Waarom zou je je telefoon meenemen naar het toilet....selfie...iedereen maar liken?

Eindeloos scrollen door alle boeiende Feeds op Feestboek. En de bacteriën van je handen uitsmeren op je telefoon.

Rudie_V @mr_evil08 • 16 september 2021 11:27

Ja leuk alleen 1 nadeel je telefoon(Microsoft Authenticator App) valt in de toiletpot en dan kan je niet meer inloggen, en nu?

Juist je moet ergens inloggen in een systeem met wachtwoord om het te herstellen...

Je kan bij je Microsoft account een recovery code aanvragen. Daarbij kan je bij de sign-in and verification options extra mogelijkheden toevoegen, zoals een extra e-mailadres of telefoonnummer.
De Microsoft Authenticator app maakt standaard back-ups naar het eerst ingestelde Microsoft account, tenzij je dit hebt uitgezet, dus al je koppelingen ben je niet zomaar kwijt.

Ik denk wel dat we kunnen stellen dat de gemiddelde gebruiker hier geen enkele kennis van heeft om dit zo goed in te stellen, dus ik vraag mij af hoe dit verloopt voor de gemiddelde gebruiker als die de telefoon of tablet verliest waar de Microsoft Authenticator app op staat.

vlijmenfileer @mhnl1979 • 15 september 2021 18:38

Het is helemaal niet veiliger dan "die eeuwige wachtwoorden".
Je haalt één factor uit de set "iets weten, iets 'zijn', en iets hebben" weg. En juist één van de veiligste; wat je hebt kan worden gestolen, en wat "je bent" is verdacht veel makkelijker kopieerbaar en daarmee waardeloos dan veel mensen zich realiseren.

Blokker_1999

Besturingssystemen
Microsoft Windows
Microsoft
Wachtwoord

@vlijmenfileer • 15 september 2021 19:18

Neen, je haalt niet noodzakelijk 1 factor weg. Je kan die factor nog altijd perfect gebruiken. Zo vraagt MS dat je de authenticator app gebruikt. Die staat op je telefoon. Niets belet je om die telefoon te beveiligen op een manier dat je alsnog een geheim moet ingeven dat enkel jij kent, en niemand anders.

Het belangrijkste verschil is dat op dat moment dat geheim, zij het een PIN code of een patroon, opgeslagen wordt in een beveiligd geheugen, op het toestel. En nergens anders. Het wordt nooit over het internet verstuurd. Er is geen hash die gestolen kan worden bij een inbraak bij de dienstverlener. Enkel jij kent het en enkel jouw apparaat verwerkt het.

Ik ga ook niet akkoord met dat dit het veiligste is. Mensen houden niet van complexe, lange wachtwoorden. Te moeilijk om te onthouden. Dus gaan ze kiezen voor eenvoudigere wachtwoorden. En dan gaan we overal hetzelfde wachtwoord gebruiken, ah ja, want overal een ander, dat kunnen we ook niet onthouden.

Wat je hebt kan gestolen worden, maar ook vervangen worden. Wie je bent is verdomd moeilijk na te maken en te stelen.

kodak @Blokker_1999 • 15 september 2021 20:17

Wie je bent is verdomd moeilijk na te maken en te stelen.

En zelfs daarvan kan je je afvragen of dat wat uitmaakt, aangezien de controle waarschijnlijk geen exacte overeenkomst verwacht maar iets wat goed genoeg is.

crazyboy01 @Blokker_1999 • 15 september 2021 22:57

Je hebt in zekere zin gelijk, maar ik vind het toch een verschil. Er wordt op de dienst zelf wel een factor verwijderd - de beveiliging op het eigen apparaat vind ik daar niet onder vallen, hooguit indirect. In dat geval was de 'oude' twee-staps voor veel mensen ook al iets wat we drie-staps hadden kunnen noemen.

[Reactie gewijzigd door crazyboy01 op 25 juli 2024 20:37]

Bor Coördinator Frontpage Admins / FP Powermod

Wachtwoord

@Blokker_1999 • 15 september 2021 23:08

Wie je bent is verdomd moeilijk na te maken en te stelen.

Nee hoor. Dit kan je echt niet zo eenvoudig stellen. Vingerafdrukken laat je bijvoorbeeld de hele dag door achter. Van een gezicht zijn maskers en bv 3d foto's te maken en ga maar door. Hoe moeilijk iets na te maken of te stelen is hangt van meerdere factoren af. Aan de ene kant gaat het er om hoe makkelijk je de informatie kunt kopiëren maar aan de andere kant ook hoe goed de sensoren zijn die men gebruikt voor de controle. Een bekend voorbeeld is de Gummy Bear attack waarmee sommige vinger afdruk scanners om de tuin te leiden zijn. Het lastige aan biometrische authenticatie is dat je altijd op de sweet spot moet zitten tussen false acceptance rate (FAR) and false rejection rate (FRR). Het systeem behoudt altijd ruimte voor fouten. Ter vergelijking; een wachtwoord is hit or mis.

Jerie

@Blokker_1999 • 16 september 2021 15:47

Het belangrijkste verschil is dat op dat moment dat geheim, zij het een PIN code of een patroon, opgeslagen wordt in een beveiligd geheugen, op het toestel. En nergens anders. Het wordt nooit over het internet verstuurd. Er is geen hash die gestolen kan worden bij een inbraak bij de dienstverlener. Enkel jij kent het en enkel jouw apparaat verwerkt het.

Enkel jij kent het? Toch gek dat ik zo vaak PIN codes kan zien als ik me in het OV begeef. En niet alleen daar. Zelfs bij lezingen. Die over IT beveiliging gaan, bijvoorbeeld.

johnny2000 @vlijmenfileer • 15 september 2021 18:54

Snap de hetze tegen wachtwoorden (dus met MFa) ook niet om eerlijk te zijn. Je haalt gewoon een factor weg ... Punt.

e.dewaal

@vlijmenfileer • 15 september 2021 18:56

Dat valt tegen. In mijn ervaring (kan aan mijn instellingen liggen) wordt maar één van de verschillende methoden gevraagd. Na het invullen van mijn e-mailadres krijg ik een nummer te zien wat ik moet bevestigen in de MS. Authenticator app. De laatste keer dat ik een wachtwoord heb in moeten voeren voor mijn MS-account durf ik niet te zeggen.

Wat je zegt over 'wat je bent' en 'kopieerbaar' ben ik het niet mee eens. Overigens zijn de mensen die dat kunnen en toegang hebben tot de apparaten/stoffen/kennis vaak niet de mensen die ook toegang tot je account willen. Troy Hunt heeft hier recent nog een artikel over geschreven.

[edit]
Ik heb even verder gekeken, en de tweefactor verificatie die MS biedt via de app is logisch, ik moet mij verifiëren op een ander apparaat dan waarmee ik inlog (iets wat ik heb) en met een vingerafdruk (iets wat ik ben) of als de vingerafdruk niet werk met de toegangscode van mijn telefoon (iets wat ik weet). Ik heb dan dus geen wachtwoord meer nodig. Dit kan ik trouwens wel als alternatieve methode gebruiken als mijn telefoon niet bij de hand is, of als ik geen internet heb. Ik kan dan een andere tweede factor gebruiken (e-mailverificatie met een ander e-mailadres waar ik wel toegang toe heb, sms-verificatie of in het uiterste geval een uitgeprinte herstelcode)

[Reactie gewijzigd door e.dewaal op 25 juli 2024 20:37]

Bor Coördinator Frontpage Admins / FP Powermod

Wachtwoord

@e.dewaal • 15 september 2021 23:15

Wat je zegt over 'wat je bent' en 'kopieerbaar' ben ik het niet mee eens. Overigens zijn de mensen die dat kunnen en toegang hebben tot de apparaten/stoffen/kennis vaak niet de mensen die ook toegang tot je account willen.

Ik zie dit als een missopvatting en generalisatie. Er zijn in het verleden diverse low cost, low effort aanvallen op biometrische systemen geweest waaronder de bekende Gummy Bear attack en de techniek op basis waarvan aanvallen worden gebouwd staat ook niet stil. Over wie er toegang tot jouw account zou willen zou ik niet speculeren. Dat zal bij vrijwel iedereen anders kunnen zijn.

okkies @vlijmenfileer • 15 september 2021 19:59

Jij hebt nooit met zorgmedewerkers gewerkt

oef! @okkies • 15 september 2021 21:20

Gebruikers

Maar van de andere kant, zat luie en slordige professionals.

GekkePrutser

Wachtwoord

@vlijmenfileer • 15 september 2021 22:45

Die tweede factor is dus de beveiliging van de smartphone zelf (pin, biometrie...). Of de pin op je security token.

Ik gebruik ook liever die laatste omdat die echt bedoeld zijn voor beveiliging.

[Reactie gewijzigd door GekkePrutser op 25 juli 2024 20:37]

Robin4 @mhnl1979 • 15 september 2021 23:51

Het is alleen maar om de drempel te verlagen zodat een grotere groep sneller de beslissing neemt om dan als nog een account aan te maken.. Omdat geen wachtwoord instellen gewoon weinig meer moeite kost dan een account met een ww..

De drempel bedoel ik dat van geen account (wat misschien veel al hadden)
Naar een account zonder ww (dus een tussen stap op een account met een ww)

Volgende keer vraagt microsoft om alsnog een ww aan te maken wegens betere beveiliging.

[Reactie gewijzigd door Robin4 op 25 juli 2024 20:37]

Anoniem: 470811 16 september 2021 00:29

Als je van authenticatie met wachtwoord en OTP naar authenticatie met alleen OTP gaat, dan ga je dus van 2FA naar 1FA.

Veiligheid wordt met het weghalen van het wachtwoord niet beter, wanneer je sowieso al OTP gebruikt. Feitelijk wordt het minder veilig, want er valt een factor weg.

Dit is vooral marketing prietpraat.

[Reactie gewijzigd door Anoniem: 470811 op 25 juli 2024 20:37]

Anoniem: 1322 @Anoniem: 470811 • 16 september 2021 09:13

Als je van authenticatie met wachtwoord en OTP naar authenticatie met alleen OTP gaat, dan ga je dus van 2FA naar 1FA.
Altijd grappig als er iemand reageert met blijkbaar geen ervaring heeft met het onderwerp en dan iets stelt als feit alsof hij het beter weet dan een mega organisatie als Microsoft.

Microsoft is al jaren bezig om inloggen veilig te maken. Nee, ze snappen echt wel hoe authenticatie werkt:
https://www.microsoft.com...sswordless-authentication
Zoals ze hier grafisch illustreren is wachtwoordloos inloggen eenvoudig en veel veiliger.

Dit is dan ook hun einddoel. Daarbij kan je enkel wachtwoordloos instellen als je bijvoorbeeld de Microsoft Authenticator-app gebruikt. Die stuurt je niet enkel een pushbericht als je wilt inloggen, daar moet je dan ook een vraag beantwoorden (3 keuzes). Daarnaast wordt je biometrisch geautoriseerd.
Om in te loggen moet je dus je inlognaam weten, biometrisch authenticeren en een vraag beantwoorden waarvan de oplossing op jouw fysieke scherm staat. Veilig genoeg? Of alleen marketing praat?

Daarnaast heb je natuurlijk nog Windows Hello wat ook biometrische authenticatie is en al jaren als veilig beschouwt wordt. Een beveiligingssleutel zoals een Yubikey is ook een optie. Dat is een fysieke sleutel met een pincode. Als laatste heb je nog TOTP en OTP waar jij op wijst.

Denk je echt dat MS dit gaat toestaan en zijn beveiliging om zeep helpt terwijl ze meerdere alternatieven zelf hebben ontwikkeld? Ik weet het, het is Microsoft. Maar denken dat je het beter weet, is best grappig.

Reacties hieronder vragen om meer (technische) uitleg:
Voordelen van passwordless volgens Microsoft:
https://query.prod.cms.rt...cms/api/am/binary/RE2KEup
En hier is de uitleg van Google:
https://blog.google/techn...future-without-passwords/

[Reactie gewijzigd door Anoniem: 1322 op 25 juli 2024 20:37]

Anoniem: 470811 @Anoniem: 1322 • 16 september 2021 11:13

Ik ga serieus op je post in, maar het feit dat je gelijk zo persoonlijk aanvallend wordt getuigt wat mij betreft van gebrek aan karakter, fatsoen en opvoeding.

Situatie: wachtwoord + TOTP/SMS/app-confirmation = 2FA
Inbreker heeft nodig: wachtwoord + device

Situatie alleen TOTP/SMS/app-confirmation = 1FA
Inbreker heeft nodig: device

Conceptueel klopt het dus niet met het marketing bericht, hoeveel nietszeggende plaatjes er ook gemaakt worden. Wat wel klopt is dat accounts met een 2FA een 99% reductie laten zien in account takeovers. En misschien vindt Microsoft het risico waard om daarom het wachtwoord te droppen. En wellicht trekt het mensen over de streep die wachtwoorden minder leuk vinden dan 2FA, en daar zou dan een stukje winst kunnen zitten.

Google heeft laten zien dat een vrijwillige adoptie van 2FA ongeveer 10% betreft. En wellicht kan Microsoft op deze manier stimuleren om meer mensen een "iets wat je hebt" in te zetten voor authenticatie, ten koste van "iets wat je weet" weliswaar. Tijd zal het leren. Maar mensen die niet met dit onderwerp bezig zijn zie ik niet massaal hierop overstappen. En zij die hier wel mee bezig zijn hadden waarschijnlijk al 2FA. En ik zelf stap er niet op over.

Ze zouden overigens meer winst halen met het verplichten van TOTP/SMS/app-confirmation, dan een optionele security optie aan te bieden waar in de regel alleen mensen voor gaan kiezen die in de eerste plaats al 2FA aan hadden.

Wat mijn punt dus is, is dat als je een factor dropt in authenticatie, je de algehele sterkte 'verzwakt'. Waarom tussen quotes? Omdat een account met alleen TOTP e.d. lastiger op in te breken is, dan een account met alleen een wachtwoord. Maar een combinatie is altijd sterker dan een enkele.

En security vragen zijn al sinds 2000 niet meer veilig

... Een yubikey daarin tegen is inderdaad een hele veilige optie, maar daar hangt dan ook weer een prijskaartje aan.

[Reactie gewijzigd door Anoniem: 470811 op 25 juli 2024 20:37]

oltk @Anoniem: 470811 • 16 september 2021 19:00

Het punt is niet dat inloggen op een specifiek Microsoft account veiliger / onveiliger gaat worden. Want je hebt gelijk: username / wachtwoord / tokenkey = 2 factoren en dus altijd lastiger te kraken dan alleen een tokenkey.

tot zover heb je dus gelijk

Maar wat doet de gebruiker? die moet om de 2 of 3 maanden een nieuw wachtwoord aanvoeren. Afhankelijk van de policy zal dit eenzelfde soort zijn (joepie12 ipv joepie11) of roulerend (ik had bij google hoera12 en dat pas ik toe bij Microsoft). Als het maar te onthouden is. En het hele internet-ecosysteem hoef je maar 1x een breach te hebben waarbij jouw naam + wachtwoord bekend is, en overal kunnen ze het vervolgens proberen met dat wachtwoord. De gebruiker zal alleen 2FA aanzetten als hij daartoe gedwongen wordt. Dus -generiek over het gehele internetecosysteem- is het gebruik van wachtwoorden als concept risicovol. Door sloppy gebruik

Microsoft / Google en andere spelers willen dit dus veranderen door het wachtwoord uit de loop te halen. Door de gebruiker te dwingen altijd een token te gebruiken zal de veiligheid over de gehele linie omhoog gaan

DIt is geen rocketscience. Gewoon logica en verder denken dan 1 aanbieder.

Waarom doet Microsoft dit dan? Altruïsme? Ik hoor je schamper lachen. Nee. Een onveilig internet schrikt uiteindelijk mensen af die (weer) offline services zullen eisen. En dat gaat volkomen in tegen het verdienmodel van Microsoft.

Anoniem: 1322 @Anoniem: 470811 • 16 september 2021 11:37

Ten eerste: Random comments op het internet moet je nooit persoonlijk opvatten. Niemand weet wie je bent, men kijkt alleen naar de tekst die je geplaatst hebt.. Denk dus na voor je post. Dit heeft niets met karakter, fatsoen en opvoeding te maken. Je verspreid desinformatie dus daar wordt simpelweg direct op gereageerd.

Ik ga er verder ook niet op in, er is enkel 1 ding wat je moet weten: wachtwoorden gaan er volledig uit. Ik heb geen idee waarom je denkt dat Microsoft hier bezig is met een verzwakken van beveiliging.. Ik zou zeggen, lees je er eerst over in of probeer het simpelweg uit.
Alle grote 'jongens' zijn ermee bezig. Google doet dit met security keys:
https://security.googlebl...security-key-options.html

Microsoft doet dit met apps:
https://www.microsoft.com...sswordless-authentication

SMS wordt helemaal niet als veilig beschouwt en moet je vandaag de dag al uitschakelen. TOTP is niet gebruiksvriendelijk dus daar krijg je alleen maar klachten over van eindgebruikers.

Situatie: wachtwoord + TOTP/SMS/app-confirmation = MFA
Inbreker heeft nodig: wachtwoord + device

Situatie: app-confirmation + biometrische validatie = MFA
Inbreker heeft nodig: device + je gezicht, vingerafdruk of wanneer je al die dingen niet wilt, een pincode (als systeembeheer dit toestaat. We praten hier ook over MFA niet 2FA.

Anoniem: 470811 @Anoniem: 1322 • 16 september 2021 12:26

Ik verspreid geen desinformatie, want ik heb het over het concept. Dus dat wanneer je wachtwoord dropt, er een authenticatie factor wegvalt. En over biometrische authenticatie is het land der security experts het ook nog lang niet eens of het een goed idee is: https://www.csoonline.com...and-1-acceptable-use.html (even een google search).

Terug naar je persoonlijke aanvallen.

Altijd grappig als er iemand reageert met blijkbaar geen ervaring heeft met het onderwerp en dan iets stelt als feit alsof hij het beter weet dan een mega organisatie als Microsoft.

Hiermee val je mij als persoon aan en daarbij concludeer je zonder verificatie of ik wel of niet wat van het vak cybersecurity zou kunnen afweten.

Maar denken dat je het beter weet, is best grappig.

En hier ook. Hier ben je bezig met kleineren van een ander. Wellicht om jezelf groter te voelen?

Dat dit een online forum is, ontslaat je nog niet aan de verantwoordelijkheid om dezelfde etiquette er op na te houden als in de fysieke wereld. Dus ja, mensen mogen zich wel degelijk verdedigen tegen persoonlijke en karakter aanvallen.

[Reactie gewijzigd door Anoniem: 470811 op 25 juli 2024 20:37]

Tintel @Anoniem: 470811 • 16 september 2021 13:07

Mee eens. Stellen dat je het niet persoonlijk moet opvatten is niet hetzelfde als bijzonder hard aantrekken.

Zelfs "denk na voor je post" is al best confronterend. Ook als iemand zich (in jouw ogen of zeker weten) vergist is het prettiger om niet aanvallend te reageren - juist omdat je elkaar niet persoonlijk kent.

Anoniem: 1322 @Anoniem: 470811 • 16 september 2021 14:42

\Ik verspreid geen desinformatie, want ik heb het over het concept.
Desinformatie is te kwader trouw gecommuniceerde misleidende of onjuiste informatie; dan wel valse, onjuiste informatie die wordt verspreid in de veronderstelling dat het correcte informatie is

En dan jouw reactie (waarin je helemaal niet praat over concept):
Dit is vooral marketing prietpraat.

Dus ja, mensen mogen zich wel degelijk verdedigen tegen persoonlijke en karakter aanvallen.
Ow, leef je uit hoor, ik heb er niets tegen. Het is allemaal vrij nutteloos naar mijn mening maar iedereen zijn ding!

Patriot @Anoniem: 1322 • 16 september 2021 14:28

Je bent het echt enorm scheef aan het representeren. Als je nu al gebruik maakt van de Microsoft Authenticator app met de instelling dat je de telefoon moet unlocken (afaik is het niet mogelijk om biometrisch unlocken werkelijk af te dwingen) dan verlies je nog steeds een factor als je passwordless gaat.

Het is helemaal niet ingewikkeld, en zoals teusink het zei is precies goed: Het is feitelijk minder veilig. Je kunt gerust een discussie voeren over hoeveel minder, maar doen alsof het niet zo is slaat nergens op en doen alsof het zelfs (gegeven dat de situatie verder hetzelfde is) veiliger is is gewoon hallucinant.

Anoniem: 1322 @Patriot • 16 september 2021 14:53

Je bent het echt enorm scheef aan het representeren
Ik herhaal gewoon wat Microsoft verteld. Daarbij vermeld ik ook bronnen die dit onderbouwen.

doen alsof het zelfs (gegeven dat de situatie verder hetzelfde is) veiliger is is gewoon hallucinant.
Dat vindt jij... En daarmee beweer je dus dat Microsoft en Google deze hele trajecten uitzetten terwijl het dus helemaal niet veiliger is. Microsoft beweert daarentegen totaal het tegenovergestelde:

https://www.microsoft.com...-passwordless-technology/
https://techcommunity.mic...oft-accounts/ba-p/2747280
https://www.microsoft.com...r-your-microsoft-account/

Microsoft heeft zelfs een F.A.Q. voor je uitgeschreven:
https://support.microsoft...04-4402-9aac-4436a063d004
Passwordless solutions such as Windows Hello, the Microsoft Authenticator app, SMS or Email codes, and physical security keys provide a more secure and convenient sign-in method.
While passwords can be guessed, stolen, or phished, only you can provide fingerprint authentication, or provide the right response on your mobile at the right time.

Maar genoeg blabla. Jij geeft aan dat het hallucinant is om dit te beweren.. Geef anders een bron waaruit dat blijkt?

Patriot @Anoniem: 1322 • 16 september 2021 19:13

Haha, de bronnen die je aandraagt geven aan dat passwordless veiliger is dan alleen een wachtwoord en dat is ook wel waar, maar als het veilig is om de authenticatie te gebruiken zonder wachtwoord dan is het natuurlijk veiliger als je óók een wachtwoord hebt. In ieder geval niet onveiliger, en daar ging het in feite om. Maar goed, daar zijn natuurlijk geen wij-van-wc-eend-bronnen voor, als je het dan niet kan bevatten, ok. Niet mijn probleem 😂

[Reactie gewijzigd door Patriot op 25 juli 2024 20:37]

Anoniem: 1322 @Patriot • 17 september 2021 09:46

Ook Google gaat hierheen:
HOW about a life without passwords? To mark World Password Day, Google announced a very bold move for account security. “Soon,” the company says, it will start “automatically enrolling” users in 2FA or two-factor authentication.

Director of user security at Google Mark Risher has pledged to work towards solutions that remove passwords entirely. “You may not realise it, but passwords are the single-biggest threat to your online security – they're easy to steal, they're hard to remember, and managing them is tedious,” he writes.

Ik snap echt niet waarom iemand ook wachtwoorden zou verdedigen. Ik weet niet hoe het met jou zit maar (sommige van) mijn wachtwoorden zijn al diverse keren gelekt (Bitly, Dropbox, Adobe). Passwordless is waar iedereen heen gaat en mijn stem hebben ze.

Jaro Nesvadba @Anoniem: 470811 • 16 september 2021 11:46

Ik vind dit een in se zichzelf tegensprekende opmerking: "Ik ga serieus op je post in, maar het feit dat je gelijk zo persoonlijk aanvallend wordt getuigt wat mij betreft van gebrek aan karakter, fatsoen en opvoeding." Mijns inziens doet u dit beter niet.

Tintel @Jaro Nesvadba • 16 september 2021 13:05

Serieus ergens op ingaan en kritiek hebben op een ander kan toch prima samen?

Jaro Nesvadba @Tintel • 17 september 2021 09:03

Op zich: ja.

Maar met uw "...getuigt wat mij betreft van gebrek aan karakter, fatsoen en opvoeding." lijkt het mij dat u figuurlijk exact hetzelfde pad opgaat als degene waar u uw kritiek op richt (maar die dat mijns inziens niet zo sterk doet als u). Ah, het kan natuurlijk zijn dat u ironisch bent, dat had ik me nog niet bedacht.

Maar sowieso: ik snap niet dat tweakers zich zo zouden willen uiten op fora om hun eigen punt kracht bij te zetten of dat van de ander neer te halen. Het dient geen enkel doel om zo persoonlijk te worden. Denk ik.

Tintel @Jaro Nesvadba • 17 september 2021 15:19

Of ik begrijp het reactie systeem niet goed maar zo te zien reageert u op mijn opmerking - ik was echter niet degene die "gebrek aan enz." commentarieerde.

Maar buiten dat: ja - een persoonlijke 'aanval' worden zonder context is niet constructief.

Jaro Nesvadba @Tintel • 18 september 2021 11:44

Ah. Klopt! Mijn fout. Teusink en Tintel.... Dank! Dus waar ik 'uw' zei/schreef, bedoel ik 'Teusink's'. Stop de tijd!
Inhoudelijk sta ik nog achter mijn opmerkingen.

jimshatt @Anoniem: 1322 • 16 september 2021 12:55

Heel eerlijk gezegd beantwoord je @teusink's "Dit is marketing prietpraat" met links naar voornamelijk marketing prietpraat. Een plaatje dat zegt "kijk dit is beter!" maakt het nog niet zo dat het daadwerkelijk beter is. Ik zeg niet dat het niet zo is want ik ben niet heel erg thuis in deze materie, maar je argument is voornamelijk een gebaseerd op autoriteit (Microsoft zegt dat het zo is dus dan zal het wel zo zijn).

Als je kunt beargumenteren waarom het beter is dan hoor ik het graag.

Anoniem: 1322 @jimshatt • 16 september 2021 15:05

Genoeg dingen te bedenken als je er even stil bij staat
Het is veiliger.
We weten allemaal dat wachtwoorden onveilig zijn. Ze lekken links en rechts.
Voorbeeld: Google verplicht Yubikeys voor medewerkers om wachtwoordloos te loggen. Dit was in 2018 al een enorm succes:
https://krebsonsecurity.c...alized-employee-phishing/

Het is eenvoudiger en sneller
Als je met Windows Hello achter je laptop gaat zitten, dan wordt je direct ingelogd. Snel en simpel.

Het is minder foutgevoelig
Ieder component is een single point of failure. Zeker wachtwoorden die regelmatig vergeten worden. Wij mensen zijn niet gemaakt om 300 verschillende wachtwoorden te onthouden.

Als je kunt beargumenteren waarom het beter is dan hoor ik het graag.
Ik verbaas mij altijd over deze vraag gezien mensen 'wachtwoordloos' al dagelijks gebruiken door middel van Windows Hello of FaceID... Veel mensen weten hun wachtwoord niet eens meer... Alleen het feit dat mensen niet afstappen daarvan is toch al bewijs genoeg dat het beter is?

Verder ben ik wel met je eens, een verwijzing naar 1 leverancier is niet voldoende maar daarom verwijs ik ook naar Google.

[Reactie gewijzigd door Anoniem: 1322 op 25 juli 2024 20:37]

jimshatt @Anoniem: 1322 • 17 september 2021 17:51

Bedankt voor de uitleg, misschien snapte ik gewoon niet wat er met elkaar vergeleken wordt. Naar mijn idee was het (wachtwoord + iets) vs (iets), waarbij ik het volledig met je eens ben dat wachtwoorden zo goed als waardeloos zijn. Maar 0.00 + 1 is op z'n minst gelijk aan 1, toch?

Blijkbaar is de echte vergelijking (wachtwoord + iets) vs (iets anders). Dat (iets anders) beter is dan wachtwoorden is niet relevant zolang het maar beter is dan het gehele alternatief. Dus alle argumenten over dat wachtwoorden zo slecht zijn kunnen de prullenbak in. Je kunt ook (wachtwoord + iets anders) aanbieden, daar wordt het toch niet minder veilig van? Toch?

In ieder geval fijn dat voor zover dat zo blijft Windows Hello en FaceID veilig zijn. Ik ben bang dat ook daar op een gegeven moment een tweede factor nodig is en we eindigen met (iets + iets anders), helaas.

PS: Ik snap niet waarom je off-topic gemodereerd bent. Lijkt me prima on-topic dit.

Bor Coördinator Frontpage Admins / FP Powermod

Wachtwoord

@Anoniem: 1322 • 16 september 2021 13:27

Zoals ze hier grafisch illustreren is wachtwoordloos inloggen eenvoudig en veel veiliger.

Met deze grafiek en jouw interpratatie hiervan zijn verschillende zaken mis. Ten eerste is niet onderbouwd hoe de stippen in de grafiek tot stand zijn gekomen. Deze lijken min of meer willekeurig geplaatst. Er is geen schaalverdeling

Ten tweede staat password + two factor authentication vrijwel net zo hoog op de y-as (high security) als passwordless authentication. Het is dus niet "veel veiliger". Deze grafiek moet je op waarde schatten; een indicatie maar ook een marketingplaatje.

Anoniem: 1322 @Bor • 16 september 2021 15:11

Met deze grafiek en jouw interpratatie hiervan zijn verschillende zaken mis. Ten eerste is niet onderbouwd hoe de stippen in de grafiek tot stand zijn gekomen. Deze lijken min of meer willekeurig geplaatst. Er is geen schaalverdeling

Ja, ik had de afbeelding niet moeten vermelden. Ik dacht doordat ik daarboven het bron artikel al vermelde dat mensen dan snappen dat daar ook verdere uitleg staat. Ik heb hierboven een aantal willekeurige voordelen van passwordless benoemd maar hier is de gehele uitleg van MS:
https://query.prod.cms.rt...cms/api/am/binary/RE2KEup
En hier is de uitleg van Google:
https://blog.google/techn...future-without-passwords/

Het is dus niet "veel veiliger". Deze grafiek moet je op waarde schatten; een indicatie maar ook een marketingplaatje.
Vergeet de grafiek even en stel dit even voor: Wat is veiliger voor een normale gebruiker? Wachtwoorden worden gedeeld, verloren, gehacked, gelekt, etc. Vaak worden dezelfde wachtwoorden ook op meerdere sites gebruikt. Zijn wachtwoorden + MFA dan even veilig als enkel MFA? (Let op dat ik zeg MFA, niet 1FA). Wachtwoorden zijn het zwakste onderdeel van de inlogprocedure vandaar dat Microsoft en Google hier vanaf willen dus we kunnen gerust zeggen (imho) dat de wereld veiliger is zonder wachtwoorden. En dan hebben we het niet niet eens over de eindgebruiker ervaring. Die logt in met Windows Hello en merkt niet eens dat hij wachtwoordloos werkt... Als hij een wachtwoord venster voor zijn neus krijgt, denkt hij ook wat langer na.

[Reactie gewijzigd door Anoniem: 1322 op 25 juli 2024 20:37]

Bor Coördinator Frontpage Admins / FP Powermod

Wachtwoord

@Anoniem: 1322 • 16 september 2021 15:15

In het MS artikel is niet uitgelegd of onderbouwd hoe de grafiek tot stand komt.
Je Google link gaat uit van MFA incl password

Anoniem: 1322 @Bor • 17 september 2021 09:42

Ik ben geen Microsoft medewerker maar dat is een illustratie van hoe hun het zien. Er is maar 1 ding dat je kunt aannemen van die grafiek en dat is dat MS passwordless als veiligste en handigste manier om in te loggen is. Dat bewijzen ze verder al jaren met Windows Hello.

Wat betreft de Google link, die is inderdaad niet duidelijk. De titel van het artikel is 'A simpler and safer future — without passwords. Dat is de belofte die gemaakt wordt door Google. Zie ook:
https://twitter.com/mrisher/status/1390303279276433410
Hoe ze dit gaan doen is nog niet duidelijk. In dit interview geven ze aan:
HOW about a life without passwords? To mark World Password Day, Google announced a very bold move for account security. “Soon,” the company says, it will start “automatically enrolling” users in 2FA or two-factor authentication.

Director of user security at Google Mark Risher has pledged to work towards solutions that remove passwords entirely. “You may not realise it, but passwords are the single-biggest threat to your online security – they're easy to steal, they're hard to remember, and managing them is tedious,” he writes.

Het punt is dat dit er gewoon gaat komen...

desp @Anoniem: 470811 • 16 september 2021 09:13

Want? Wie zegt dat er niet nog steeds 2FA mogelijk is? Enige is dat een wachtwoord geen standaardeis meer is. En dat is goed.

Anoniem: 470811 @desp • 16 september 2021 11:14

Situatie: wachtwoord + TOTP/SMS/app-confirmation = 2FA
Inbreker heeft nodig: wachtwoord + device

Situatie alleen TOTP/SMS/app-confirmation = 1FA
Inbreker heeft nodig: device

treative @Anoniem: 470811 • 16 september 2021 11:36

Inbreker heeft nodig: uitzoeken wat het gekoppelde device is, zoeken naar dit device en dan nog inbreken op het device

Anoniem: 470811 @treative • 16 september 2021 12:23

Klopt, daarom is TOTP beter dan een wachtwoord, maar dat is niet mijn punt. TOTP zonder wachtwoord is 1 factor authenticatie.

desp @Anoniem: 470811 • 16 september 2021 12:42

Tja, dan kan je ook stellen "code nodig om device te unlocken" .. alsnog indirect 2fa

jimshatt @desp • 16 september 2021 12:57

Ja maar dan was wachtwoord + device met wachtwoord eigenlijk 3fa. Ik geloof best dat het veilig genoeg is, maar het gaat er bij mij niet in dat het wegnemen van een veiligheidslaag (die, toegegeven, vaak crap is) veiliger is.

Waswat @treative • 16 september 2021 14:10

Ok, maar dat moeten ze in het eerste geval toch ook gewoon doen?

Teusinks punt is dat het inherent veiliger is met ww + device tov alleen device. In beide gevallen moet je het gekoppelde device hebben...

[Reactie gewijzigd door Waswat op 25 juli 2024 20:37]

logix147 @treative • 16 september 2021 14:33

Dat is bij Google niet zo moeilijk: open de Gmail app op je iPhone X of XI …

Als je dan ook nog push acceptatie aan hebt staan dan ben je nat.

Zo heb ik een keer een Google wachtwoord kunnen wijzigen door alleen te weten wat het patroon was. Men was dat vergeten het wachtwoord maar Google stuurde vanaf de pc gewoon een push naar dat device en daar hoefde ik alleen maar te vegen en was goed.

Ook moet je gebruikers uitleggen:

Netflix en chill op de bank + pop-up “wilt u inloggen in App X?” - gebruiker klinkt maar ergens op en presto men is ook binnen - en ja die mensen heb je.

AEIOU @Anoniem: 470811 • 16 september 2021 14:25

wat nou als ik sms op een ander apperaat doe dan app confirmation? heb ik dan niet ook 2fa?

Rudie_V @Anoniem: 470811 • 16 september 2021 11:47

Een gebruikersnaam en wachtwoord kan overal ter wereld ingevuld worden, als je het wachtwoord weghaalt en passwordless inlogt via de Microsoft Authenticator app dan kan het inloggen eigenlijk opeens nog maar via de authenticatie van één apparaat, natuurlijk legt dit extra druk op het apparaat(diefstal, defecten). Bovendien moet je altijd eerst nog een inlogpoging approven in de Microsoft Authenticator app waarna de site een korte code geeft die je ook weer moet kiezen, uit drie codes, in de Microsoft Authenticator app.

Als toevoeging op toch het gebruik van 2FA, met de gratis Microsoft Outlook mailbox kan je 10 e-mailadressen (aliasses) toevoegen en instellen met welke e-mailadressen je wel of niet kan inloggen. Dus als je een geheim e-mailadres aanmaakt wat alleen jij weet, dit aan niemand doorgeeft (natuurlijk) en jij alleen gebruikt om in je mailbox in te loggen en dit beveiligt met 2FA dan is het gebruik van inlognaam en password met 2FA nog een stukje veiliger.

Wil je passwordless liever toch niet gebruiken met de Microsoft Authenticator app dan moet je bij je Microsoft account als je 2FA instelt niet kiezen om de Microsoft Authenticator app te gebruiken maar klikken op de link om een andere app te gebruiken. Je krijg dan gewoon een QR-code die je in je elke 2FA app kan inscannen, ook gewoon in de Microsoft Authenticator app.

Ereaser @Anoniem: 470811 • 16 september 2021 11:47

Om een app te gebruiken moet je toch je telefoon unlocken (wachtwoord of biometrisch). Dus dan is dat toch je 2e factor?

Waswat @Ereaser • 16 september 2021 14:15

Dat moet je vaak ook doen als je je device hebt gekoppeld met 2FA via een authenticator op je telefoon. Als ik jou logica zou volgen dan is ww + een authenticator op telefoon (gelocked met wachtwoord/biometrie) eigenlijk 3FA. Nog meer als dan weer die authenticator app een pincode nodig heeft...

Zo blijven we bezig, en ook erg leuk als je je telefoon kwijtraakt of als hij defect is.

[Reactie gewijzigd door Waswat op 25 juli 2024 20:37]

amx @Anoniem: 470811 • 16 september 2021 14:17

Echter staat nergens in het bericht van Microsoft dat MFA is wat ze proberen te behalen.

Ik vind het persoonlijk nogal kortzichtig om MFA maar als heilige graal te blijven beschouwen. De tekortkoming van ICT beveiliging is namelijk dat goede beveiliging vrijwel altijd ten kosten gaat van gebruiksgemak. De aanvalsvector neemt met het verwijderen van een wachtwoord als factor exponentieel af door een login niet meer afhankelijk te maken van iets wat vanaf overal ter wereld te misbruiken is. Met een sms of OTP systeem kun je niet gehackt worden als je niet op je telefoon kijkt (zeer gerichte hacks terzijde)

Als wachtwoorden in 2021 steeds makkelijker te hacken zijn, en social engineering een van de grootste bedreigingen is, hoe groot is dan nog het risico van een phishing mail voor een Office 365 gebruiker als het wachtwoord niet meer bestaat? Daarbij krijg je bij microsoft 3 getallen te zien, wat de kans op een per ongeluk laten inloggen van een derde met twee derde afneemt.

Het mind is blown besef komt pas als gaat blijken dat MFA het gevolg is van de tekortkomingen van het gebruik van wachtwoorden. Als die factor niet zoveel kosten, moeite en ergernis met zich meebracht, had nooit iemand gevraagd om een sms te ontvangen om daardoor veiliger te zijn. Wie zit daar nou op te wachten? Tenzij je daadwerkelijk genot beleeft aan het proces van invullen van gegevens die niemand anders weet, maar de lol daarvan is er snel af als je dagelijks dat soort handelingen moet doen.

De mate van randomness neemt vind ik dermate toe door aanmelden niet afhankelijk te maken van iets dat je moet onthouden dat ik het echt een prestatie vindt dat mensen dit zien als een slechte ontwikkeling.

Bose321 15 september 2021 18:15

Mooi, gelijk uitgezet. Het inloggen met de authenticator app werkt perfect, al eerder met enkel dat of Hello ingelogd.

cavanta @Bose321 • 15 september 2021 18:18

Uit interesse, hoe koppel je je account dan nu wanneer je bijvoorbeeld je telefoon verliest/kapot gaat? Kan je dan alles met je telefoonnummer herstellen?

Bose321 @cavanta • 15 september 2021 18:51

Ik geloof via 06 en back-up e-mailadres, en ik heb herstelcodes in mijn KeePass database zitten. En ik heb ook nog een tweede backup telefoon die ik aan zou kunnen zetten met de Authenticator app erop.

Bor Coördinator Frontpage Admins / FP Powermod

Wachtwoord

@Bose321 • 15 september 2021 19:34

Een backup mail adres is veelal niet een heel erg goede en veilige oplossing, zeker niet wanneer je daar afhankelijk bent van een onveilig medium als e-mail wat je bovendien veelal beschermd met het nu opeens zo door Microsoft gehekelde wachtwoord.. Als je kan resetten / een backup hebt die minder veilig is dan het origineel dan blijft het laagste niveau van veiligheid over.

Vyo @cavanta • 15 september 2021 18:55

Er zijn een aantal herstelopties, zoals een sms of robot-call ontvangen op het bekende nummer.

sfranken @Vyo • 16 september 2021 00:34

Ja, en als je telefoon kapot gaat of in het water valt gaat dat écht werken ook...

Vyo @sfranken • 16 september 2021 04:30

Ik had in mijn geval zowel m’n privè als zakelijke nummer in m’n account gekoppeld staan. Hielp mij inderdaad alsnog niet direct , want dualsim - maar de SIM overzetten naar een werkend toestel is een vrij voor de hand liggende workaround voor het scenario dat je schetst.

davefox @cavanta • 15 september 2021 19:46

Waarschijnelijk krijg je een aantal backup codes die je kunt uitprinten.

Yinchie @cavanta • 16 september 2021 12:28

Uit interesse, hoe koppel je je account dan nu wanneer je bijvoorbeeld je telefoon verliest/kapot gaat? Kan je dan alles met je telefoonnummer herstellen?

Recovery codes.

gerwim 15 september 2021 18:43

Dit is toch al een hele tijd zo? Als ik wil inloggen met mijn Microsoft account, vul ik mijn email adres in, krijg ik een getal te zien (bijvoorbeeld 34) en moet ik in de Microsoft Authenticator app het getal "34" aanklikken.

Bose321 @gerwim • 15 september 2021 18:52

Ja, maar dan heb je nog steeds om ook met een wachtwoord in te loggen. Als je je wachtwoord verwijderd kan het alleen nog maar op de manier zoals jij beschrijft.

sdsnatcher73 @gerwim • 15 september 2021 18:58

Het wachtwoord was er nog wel altijd (je hoefde hem niet te gebruiken).

Seth_Chaos 15 september 2021 18:09

Dit klinkt als een goed idee tot iemand root acces tot je smartphone heeft/krijgt.

En dit vraagt natuurlijk om problemen met privé accounts die aan de smartphone van de zaak worden gehangen.

[Reactie gewijzigd door Seth_Chaos op 25 juli 2024 20:37]

Blokker_1999

Besturingssystemen
Microsoft Windows
Microsoft
Wachtwoord

@Seth_Chaos • 15 september 2021 18:18

Mag jij mij eens uitleggen hoe een wachtwoord veiliger zou zijn als iemand toegang heeft weten te verkrijgen tot je apparaat. Je wachtwoord kunnen ze gewoon afluisteren. De sleutels uit je authenticator app halen is een heel stuk moeilijker.

Het is dus net omgekeerd. Zonder wachtwoord ben je veiliger dan met.

En als het problemen zou geven met een policy op het werk, dan behoud je voorlopig toch gewoon je wachtwoord? MS biedt het aan als optie, niet als verplichting.

Seth_Chaos @Blokker_1999 • 15 september 2021 18:57

Het idee achter MFA is dat je meerdere elementen nodig hebt om toegang te krijgen. Je moet over beide apparaten beschikken om toegang te kunnen krijgen, in plaats van één. Nu wordt dit weer terug gebracht naar één apparaat. En dat vraagt natuurlijk om problemen. Dat je hetzelfde wachtwoord al zou kunnen gebruiken op je smartphone is natuurlijk ook geen hele slimme ontwerp keuze. Is een koortje uit de brievenbus hangen waarmee de deur geopend kan worden, veiliger dan een deur zonder slot? Nee je moet beide gewoon niet willen.

En je moet geen privé accounts verweven met je zakelijke accounts en apparaten omdat je nog wel eens vrijwillig of onvrijwillig van werkgever kunt veranderen. Het moment dat men daarbij stil gaat staan, is doorgaans net een maandje te laat.

Helaas wordt beveiliging in het bedrijfsleven gebouwd op een ronduit slechte en onveilige fundering. Vrijwel elk ICT bedrijf gebruikt bijvoorbeeld remote acces software die men in staat stelt om zonder toestemming en of kennisgeving systemen over te nemen. Met twee muisklikken is de toestemming en of kennisgeving uit te schakelen. Dat is een enorm veiligheid risico en de perfecte voedingsbodem voor het schenden van een ieders privacy.

Blokker_1999

Besturingssystemen
Microsoft Windows
Microsoft
Wachtwoord

@Seth_Chaos • 15 september 2021 19:12

Nee, dan snap je niet wat MFA wil zeggen. MFA, oftewel multifactor authenticatie, wil zeggen dat je meerdere factoren moet gebruiken. Meerdere keren dezelfde factor nodig hebben verhoogd de veiligheid niet. Er zijn in de basis 3 factoren:
- Iets dat je weet
- Iets dat je hebt
- Iemand die je bent

Iets dat je hebt, bij het gebruik van de MS Authenticator App zal dat dus sowieso een mobiele telefoon zijn Die telefoon heb je. Daarmee is aan die factor voldaan. Heb je nog 1 andere factor nodig voor we van MFA kunnen spreken.

Iets dat je weet kan een wachtwoord zijn, maar hoeft dat niet te zijn. De login is in de basis ook iets dat je weet. Een PIN code is ook iets dat je weet. Meestal hebben we het over een geheim dat je moet kennen, maar dat moet dus niet een wachtwoord zijn dat gesynchroniseerd wordt tussen apparaten. Het wachtwoord van je MS account zelf gaat men niet meer gebruiken omdat dat dus niet veilig is. Het is 1, semi statisch wachtwoord (mensen veranderen het zelden) dat een enorme hoeveelheid aan data en systemen beschermd. Niet vergeten dat ook die authenticator app weer bescherm is met ... datzelfde wachtwoord. Een pincode of patroon om je telefoon te ontgrendellen daarentegen is veiliger. Die zijn enkel op die telefoon opgeslagen en daarbuiten horen die waardeloos te zijn.

Maar vaak ontgrendel je je telefoon met biometrische data. Je vinger of gezicht. Dus gebruik je die laatste factor. Iemand die je bent.

We moeten gewoon af van wachtwoorden waarbij we 1 wachtwoord gebruiken dat we van buiten moeten leren en altijd en overal maar weer gebruiken en opnieuw moeten invoeren waarna we weer kunstgrepen moeten gaan invoeren om het nog iets of wat veilig te houden. Het wachtwoord is al 10 jaar niet veilig meer en heel wat mensen in de security industrie weten dat de toekomst een toekomst is zonder wachtwoorden. Maar te veel bedrijven zijn te conservatief met het durven beslissen om die archaische methode af te schaffen.

Seth_Chaos @Blokker_1999 • 15 september 2021 19:49

Wanneer iemand root acces tot je smartphone verkrijgt gaat die biometrie niet helpen.

Nu heb je iemands smartphone nodig.
De smartphone pincode.
De laptop.
De laptop pincode.
En het wachtwoord van het account(die je buiten het instellen nooit meer gebruikt).

Dat is verdomde lastig te hacken. Zelfs wanneer je over iemands wachtwoord beschikt kun je als hacker niets.

Als alles via de authenticator app verloopt is root acces tot de smartphone voldoende, en kun je overal bij.

Dus leuk dat je me probeert uit te leggen wat MFA is, en waar het voor staat. Ik noem het elementen, jij noemt het factoren. Als je het hele proces op één apparaat samen brengt ben je enorm dom, en onveilig bezig.

[Reactie gewijzigd door Seth_Chaos op 25 juli 2024 20:37]

majetta @Seth_Chaos • 15 september 2021 21:04

Wat stel je dan voor? Wachtwoord gewoon als optie laten en dat maakt het veiliger?

Volgens mij weet jij ook dat het niet een "ff snel' actie is om op een smartphone root toegang te verkrijgen, het vergt eerst dat de 'victim' tijdelijk zijn smartphone kwijt is, in dat geval als die slim is meld die het aan beheer die het direct blokkeert, als het zo goed geregeld is.

De meeste mensen hebben ook meerdere toegangsopties op hun telefoons, biometrie dan met vingerafdruk of gezichtsherkenning, pincode voor sim en voor de telefoon.

davefox 15 september 2021 18:02

Mijn complimenten dat microsoft van de wachtwoorden af gaat.

Ik vind dan ook zelf dat wachtwoorden verleden tijd zijn, aangezien ze vaak gelekt worden

wica @davefox • 15 september 2021 18:29

In de backend, zal het nog steeds een string blijven die gelekt kan worden.

Icekiller2k6 @wica • 15 september 2021 18:36

Sure, maar elke site heeft een eigen implementatie ervan, dus de string van site 1 heeft 0 waarde voor site 2

Bor Coördinator Frontpage Admins / FP Powermod

Wachtwoord

@Icekiller2k6 • 15 september 2021 21:21

Sure, maar elke site heeft een eigen implementatie ervan, dus de string van site 1 heeft 0 waarde voor site 2

Eh nee, doorgaans worden er standaard methoden en algoritmen gebruikt (juist om het veilig te houden) en verschilt bijvoorbeeld alleen de salt.

Icekiller2k6 @Bor • 16 september 2021 10:20

Dus de Salt verschilt dus opgeslagen resultaat is anders..

hash(bio+uniekesitesalt) = different string.

Bor Coördinator Frontpage Admins / FP Powermod

Wachtwoord

@Icekiller2k6 • 16 september 2021 10:24

Dat maakt het geen eigen implementatie natuurlijk

Icekiller2k6 @Bor • 16 september 2021 11:04

hash kan uiteraard wel 'unieke' dingen doen

amx 15 september 2021 21:07

Ik denk dat veel mensen het wachtwoordloos inloggen verwarren met MFA of het verliezen daarvan.

Om te stoppen met een wachtwoordlogin vervang je het inloggen met een wachtwoord door iets anders. That's it. Heeft op zich niks meer multifactor authenticatie te maken.

Dit is iets wat Bill Gates in 2009 al gezegd heeft: we moeten afstappen van inloggen met een wachtwoord. Voor de opkomst van de digitale samenleving had het concept gebruikersnaam en wachtwoord lang niet zo'n prominente rol in onze samenleving als het nu heeft. Bijna letterlijk geen enkel beroep is op dit moment mogelijk zonder een vorm van gebruikersnaam en wachtwoord invullen, al is het maar om je loonstrookje te kunnen openen.

Gebruik van een wachtwoord is een concessie in gebruiksgemak. Dat is iets wat intrinsiek verbonden lijkt te zijn met beveiliging. Ik zie dit als een stap voorwaarts. Mits de technologie voldoende zekerheid biedt om minstens dezelfde veiligheid te bieden als een wachtwoord (spoiler alert: dat is ook zo)

m_snel @amx • 15 september 2021 23:04

Volgens mij was dat al veel eerder, Microsoft passport, iedereen was tegen. Nu na honderd accounts kan je bv met Google of Facebook inloggen.
In 2001:
Passport is an online authentication service that makes it easier and safer for people to go to and use secure Web sites. It lets people move easily among participating sites that they choose to visit without the need to maintain separate passwords for each site and re-enter their login and password each time they return to those sites.

Pascal 15 september 2021 22:02

Wacht even, ik hoef nu alleen nog maar mijn mailadres in te vullen en dan krijg ik op mijn mobiel een notificatie of ik wil goedkeuren? En dan zit ik meteen in outlook etc..?

Of gaat dit met getallen? (druk op 42 om goed te keuren)

[Reactie gewijzigd door Pascal op 25 juli 2024 20:37]

crazyboy01 @Pascal • 15 september 2021 22:48

Volgens mij niet enkel een 'ok' zoals bij Google, maar krijg je in die app van die 6 cijferige TOTP codes die een X aantal seconden geldig zijn. Zakelijk kreeg ik in die app inderdaad wel eens zo'n cijfer dat ik moest indrukken met keuze uit drie getallen, als ik het niet mis heb en apps door elkaar haal. Overigens had ik jaren geleden al de mogelijkheid om volledig zonder wachtwoord in te loggen, dan ontving je een SMS met een code op je telefoon (aantal keer gedaan na het vergeten van wachtwoorden). Mogelijk is iets soortgelijks inmiddels ook al langer beschikbaar met die app. Maar, op dat moment kon je de mogelijkheid voor inloggen met wachtwoord nog niet verwijderen en dat is dus iets nieuws.

Eigenlijk gaan we nu dus weer terug van twee-stapsverificatie naar één-staps, maar dit keer is het wachtwoord de stap die mist.

[Reactie gewijzigd door crazyboy01 op 25 juli 2024 20:37]

m_snel @crazyboy01 • 15 september 2021 23:05

Je kan ook gewoon ok klikken, dat ligt een beetje aan de implementatie.

crazyboy01 @m_snel • 15 september 2021 23:12

Ah thanks, dat zou dan wel een hele fijne optie zijn. Al moet ik zeggen dat ik er nog niet uit ben of ik ook daadwerkelijk mijn wachtwoord helemaal wil gaan uitschakelen, enkel een 'ok' zou een hoop acties besparen vergeleken met hoe ik nu inlog.

m_snel @crazyboy01 • 15 september 2021 23:23

Ik gebruik de app op meerdere sites, soms moet je de code kopiëren, soms allen ok. Maar bij die gevallen heb je nog steeds een account en ww nodig.
Hoe MS dit voor zijn sites gaat doen heb ik geen idee.
Maak wel een backup bij MS , als je van telefoon verandert kan je anders nergens meer in. Als hij stuk is ben je waarschijnlijk de pineut. Zou niet weten hoe ik ooit nog bij al mijn gevens kom als die niet makkelijk te repareren is.
Iedere site en app heeft weer een andere policy.

CAP-Team

15 september 2021 21:34

En toch zie je vaak in corporate omgevingen dat ze alle vormen van HelloID uitschakelen omwille van de veiligheid. Wachtwoorden worden vergeten en moeten elk half jaar gewijzigd worden.

divvid @CAP-Team • 15 september 2021 22:06

dat wijzigen is echt vragen om post-its op monitoren. Nooit gesnapt

CAP-Team

@divvid • 15 september 2021 23:08

En het leidt tot problemen als bijv. precies in je vakantie je wachtwoord verloopt. Of je hebt dermate goed vakantie gevierd dat het uit je geheugen gewist is (ook wel vakantie dementie genoemd

)

m_snel @CAP-Team • 15 september 2021 23:00

In een beetje enterprise gaat dat toch meer om maanden.

Bor Coördinator Frontpage Admins / FP Powermod

Wachtwoord

@CAP-Team • 16 september 2021 08:42

In corporate omgevingen met een on premise AD is een password expiration ook gewoon de best practice en default waarde volgens Microsoft. Men is niet heel rechtlijnig op dit punt blijkbaar.

tdlaccount @CAP-Team • 16 september 2021 05:35

Denk dat je bedoeld elke 2-3 maanden, en voor de admin accounts elke maand. Mag hopen dat je dat bedoeld.

Bor Coördinator Frontpage Admins / FP Powermod

Wachtwoord

15 september 2021 19:23

Daarnaast zijn wachtwoorden vaak onderdeel van datalekken, wat met bijvoorbeeld een pincode niet snel zou gebeuren.

Ja dat klopt feitelijk wel maar waar men aan voorbij gaat is dat de meeste mensen korte en slechte pincodes kiezen als geboortedata, opvolgende nummers, dezelfde pincode als bij een andere dienst etc. Daarbij zijn pincodes behoorlijk gevoelig voor shoulder surfing. Ik krijg een beetje het idee dat men dit vooral wil pushen.

Op dit item kan niet meer gereageerd worden.

Microsoft-accounts hoeven geen gekoppeld wachtwoord meer te hebben

Lees meer

Reacties (187)

Sorteer op:

Weergave: