Microsoft breidt mfa-app Authenticator uit met number matching en meer context

Microsoft heeft de multi-factorauthenticatieapp Authenticator uitgebreid met number matching en meer context over de inlogpoging. De nieuwe functies zijn bedoeld om te voorkomen dat er per ongeluk goedkeuring wordt gegeven aan malafide inlogpogingen.

Met number matching vraagt de Authenticator-app de gebruiker om een tweecijferig getal in te voeren, dat getoond wordt als iemand wil inloggen met zijn of haar Microsoft-account. Voorheen liet Microsoft drie getallen zien waaruit de gebruiker moest klikken, maar vanaf deze week kunnen beheerders ervoor kiezen om gebruikers het getal met cijfertoetsen zelf in te laten vullen.

Het bedrijf kondigde deze functie vorig jaar aan, maar zegt dat deze nu breed beschikbaar is voor administrators. Admins kunnen er dus voor kiezen of gebruikers zelf het cijfer in moeten voeren, of uit drie getallen mogen kiezen zoals voorheen. Microsoft stelt dat het veiliger is als gebruikers zelf het cijfer in moeten voeren, omdat er steeds vaker misbruik wordt gemaakt van mfa en gebruikers mfa-moe zouden worden. Daardoor wordt het risico groter dat criminelen misbruik maken van mfa en zo alsnog in kunnen loggen op een account doordat de gebruiker het abusievelijk goedkeurt.

Administrators kunnen er verder voor kiezen dat Authenticator bij een inlogpoging meer context biedt. Zo kan de app aangeven vanaf welke locatie er geprobeerd wordt om in te loggen en met welke app dit gebeurt. Dit moet ook voorkomen dat gebruikers per ongeluk malafide mfa-inlogpogingen goedkeuren.

De mogelijkheid voor admins om te kiezen of gebruikers zelf cijfers in moeten vullen of uit drie getallen kunnen kiezen, vervalt eind februari volgend jaar. Ditzelfde geldt voor de extra context die de app kan bieden. Dan worden deze functies voor alle gebruikers ingesteld. De Microsoft Authenticator-app wordt niet alleen door bedrijven gebruikt; ook consumenten kunnen deze vorm van mfa gebruiken om zonder wachtwoord in te kunnen loggen op een mailaccount.

Reacties (122)

Pogostokje 26 oktober 2022 10:56

Dit staat al heel erg lang in public preview, ik denk dat vooral grotere bedrijven met een aktief beveiligingsbeleid dit dan ook al lang aan hebben staan.

Het werkt bijzonder goed tegen MFA Fatique, waarbij iemand die al het wachtwoord van een account heeft het slachtoffer subtiel (of juist heel vaak) voorziet van MFA verzoeken in de hoop dat er per ongeluk een keertje een wordt goedgekeurd. Met de verplichting om een nummer in te voeren lukt dat niet, want het slachtoffer kan niet meer per ongeluk goedkeuren als hij niet kan zien wat er bij de scammer op het scherm staat.

In onze omgeving met ongeveer 8000 personen hebben we toch wel eens te maken met gelekte wachtwoorden helaas, maar sinds we dit hebben ingeschakeld tijdens de preview-fase zien we eigenlijk niet meer dat er met een MFA goedkeuring wordt ingelogd.

Verwijderd @Pogostokje • 26 oktober 2022 14:52

Helaas helpt geen van de aanvullingen op de MS Authenticator app tegen phishing via een fake site (of app) die een (MitM/AitM) proxy is tussen de user en de echte site.

Door Pogostokje:

Het werkt bijzonder goed tegen MFA Fatique, [...]

Is dat zo en blijft dat zo?

D.w.z. het zorgt ervoor dat aanvallers (die user-ID en password kennen of gokken) niet zomaar kunnen inloggen doordat de user slechts op "Yes" klikt.

Het voorkomt echter niet dat aanvallers twee-cijferige getallen gaan gokken en invullen, en dat blijven herhalen tot de user het klikken op "No, it's not me" helemaal zat is (MFA-fatigue) en op "Yes" gaat klikken (kennelijk was de keuze uit 3 getallen i.p.v. 100 mogelijke cijfercombinaties te kwetsbaar voor volhoudende aanvallers).

M.a.w. Microsoft gokt erop dat "number matching", door twee cijfers in te moeten vullen, aanvallers zal afschrikken. Aangezien aanvallers dit kunnen automatiseren (en hun aanval gelijktijdig op veel accounts kunnen uitvoeren), moet ik nog zien dat hiermee MFA-fatigue tot het verleden behoort.

Oftewel, ook 2 cijfers zou wel eens te weinig kunnen zijn.

Pogostokje @Verwijderd • 26 oktober 2022 15:19

Het werkt andersom: de 2 cijfers moet je in de authenticator app invullen, niet op het scherm waar de attacker probeert in te loggen.

Verwijderd @Pogostokje • 26 oktober 2022 16:29

Het werkt andersom: de 2 cijfers moet je in de authenticator app invullen, niet op het scherm waar de attacker probeert in te loggen.

Ah tnx, dat heb ik verkeerd begrepen.

Dan neem ik aan dat de keuze voor de 3 getallen ook in de app moest plaatsvinden. En dat users dat mogelijk at random gedaan hebben om van de push-berichten af te zijn (de consequenties niet begrijpend).

De kans dat users at random 2 cijfers gaan invoeren zal kleiner zijn, maar niet nul.

Mijn eerste punt blijft sowieso staan natuurlijk, het aantal phishing-aanvallen met proxy-kits neemt toe (er bestaan zelfs "Phishing as a Service" diensten voor).

laurens0619 @Verwijderd • 26 oktober 2022 23:27

ja helemaal eens
Eigenlijk is MS met deze Fix (te) laat. De mitm phishing techniek bestaat conceptueel al een tijdje maar zie je pas eigenlijk sinds dit jaar ook veel gebruikt worden.
De aanval is briljant want waar je met een phishing pagina een foutmelding krijgt na "inloggen", krijg je bij de MITM aanval gewoon je echte office 365 portal/mailbox te zien. Dat verlaagt het argwaan nadat mensen erin getrapt zijn.

De enige manier hiertegen is FIDO keys of BYOD dichtzetten. Bij het laatste dwing je af dat alleen intune compliant (iedere werkplek of smartphone met mdm) mag inloggen.
Voor heel veel mensen afdoende want 99% logt alleen in vanaf hun eigen werkplek of smartphone/tablet.

Verwijderd @laurens0619 • 27 oktober 2022 09:23

ja helemaal eens

Dank, in elk geval één persoon die zich ook bewust is van dit risico, dat toeneemt naarmate andere soorten aanvallen worden bemoeilijkt of onmogelijk gemaakt.

De enige manier hiertegen is FIDO keys of BYOD dichtzetten.

Op z'n minst zal techniek (zoals ook passkeys) of de gebruiker zelf de domeinnaam moeten checken.

Voor gebruikers is dat extra lastig als cloudproviders domeinnamen zoals microsoftonline.com gebruiken (hoezo "online", wie verzint zoiets).

laurens0619 @Verwijderd • 27 oktober 2022 09:39

Ik vermoed dat Defender for Endpoint ook wel wat extra functionaliteit aan boord krijgt om te detecteren of er ergens het username password (hash) richting een url gaat die niet bekend is voor de organisatie.
Dat is namelijk technisch gezien, misschien met browser plugins, prima te realiseren

Er is een bepaalde firewall solution die dit kan, die trekt uit AD geloof ik de password hash en ziet als je dat wachtwoord op phishing website invult. Hij gaat ook af als mensen het wachtwoord hergebruiken en invoeren op thuisbezorgd.nl

edit: https://docs.paloaltonetw...89-4ac7-bedc-a47e62bde6ee

[Reactie gewijzigd door laurens0619 op 23 juli 2024 20:37]

Despen @Pogostokje • 26 oktober 2022 13:16

Wanneer (je denkt dat) je wachtwoord gelekt is en je meermaals een MFA verzoek op je telefoon te zien krijgt, is dan niet de eerste stap, je wachtwoord wijzigen, just in case?

Waarschijnlijk ben ik niet een doorsnee gebruiker, maar als ik al eenmalig een MFA melding te zien krijg op mijn toestel zonder dat ik zelf bezig ben om ergens in te loggen, gaan meteen alle alarmbellen af en ben ik direct bezig om dit probleem op te lossen.

Om zomaar op accept te duwen zodat die melding maar wegblijft en niet steeds terug komt zou ik niet zomaar doen, ook niet om 3 uur in de nacht bijvoorbeeld.

Pogostokje @Despen • 26 oktober 2022 13:49

Wat je zegt zou best kunnen kloppen, ware het niet dat er iets is wat dit vertroebelt.
Als je een laptop of, vaker, een telefoon gebruikt waarop je bent ingelogd op bijvoorbeeld email of teams krijg je te maken met simpel uitgelegd de maximale duur van de geldigheid van je MFA goedkeuring. Zelfs als je stil thuis zit kun je om de zoveel tijd toch een nieuw MFA verzoek krijgen. Mensen zijn om deze reden gewend geraakt om zo nu en dan een MFA verzoek te krijgen waar ze niet zelf interactief mee bezig zijn op dat moment. Dat is natuurlijk heel verwarrend.
Dan kun je zeggen, dat moeten ze er uit halen: geen MFA verzoeken als je niet zelf op bijvoorbeeld je mobiel bezig bent. Dan krijg je alleen de situatie dat een collega je een berichtje stuurt via Teams terwijl je daar inmiddels niet meer bent ingelogd en je telefoon dus geen notificatie geeft. Altijd ingelogd laten heeft weer veiligheids implicaties.

Het is een mooi voorbeeld waar gebruikersvriendelijkheid en veiligheid tegenover elkaar staan en er geen perfect antwoord bestaat.

Mellow Jack @Pogostokje • 26 oktober 2022 21:42

Dat is puur een keuze van je werkgever. Voor de meeste apps vinden wij een compliant device prima. Voor de iets spannendere applicaties vinden wij 8 uur prima (ong 1 x per dag inloggen). Zijn nu aan het werk om mensen de mogelijkheid te geven om na een goedkeuring van een verantwoordelijk persoon extra rechten te vragen.

Het is altijd een afweging tussen gebruiksvriendelijkheid en beveiliging. En beveiliging moet je altijd naar het grotere plaatje kijken.

laurens0619 @Mellow Jack • 26 oktober 2022 23:40

Helemaal eens
een slechte usability kan ook je security verlagen.

Avids rule of usability

"Security at the expense of usability, comes at the expense of security."

When security has made things too hard and so people have just found workarounds that nullify all the security controls.

Pogostokje @Mellow Jack • 27 oktober 2022 08:46

Ook dat is een keuze, en wij hebben die keuze anders genomen.
Een compliant device zegt iets over het device, niet over degene die er achter zit. Iemand die toegang heeft tot de laptop heeft in jouw geval daarna dus onbeperkt toegang ot, ik noem maar wat, email. Dat is allemaal een afweging.
In mijn ervaring zijn mobiele devices de grotere bron van MFA verzoeken. Die krijgen wel eens een ander (extern) IP adres en zijn ook vaak wekenlang achter elkaar ingelogd. De karakteristieken zijn wezenlijk anders dan van een laptop gebruiker.

Zsub

@Pogostokje • 26 oktober 2022 15:45

Bij onze MS omgeving staat er dan letterlijk bij dat je opnieuw in moet loggen eens in de zoveel tijd (hoeveel tijd staat er niet en het moet ook echt veel en veel te vaak, maar goed).

William_H @Pogostokje • 26 oktober 2022 21:09

Dat zou men vanuit Microsoft beter kunnen inrichten, door dan ook daadwerkelijk de inlog in Teams opnieuw af te dwingen. Dat doet mijn mailaccount ook als ik na een bepaalde tijd het certificaat verloopt. En die blijft je daarop wijzen. Dan weet je waarom je die MFA melding krijgt, en voorkom je blind accepteren.

Pogostokje @William_H • 27 oktober 2022 08:48

Dat is niet handig als je telefoon op het nachtkastje ligt en jij wacht op die ene belangrijke notificatie die niet komt omdat je uitgelogd bent. En notificaties wel door laten gaan betekent omgekeerd dus weer dat je eigenlijk blijvend toegang hebt tot de inkomende berichten.

Het zijn allemaal afwegingen, er is geen "beste oplossing".

William_H @Pogostokje • 27 oktober 2022 12:19

Als je al wacht op een belangrijke notificatie, dan zie / hoor je toch ook de notificatie dat je opnieuw moet inloggen? Dat is namelijk wat mijn mailcliënt doet als ik opnieuw moet inloggen. Dat is precies wat ik bedoelde met mijn uitleg. Niks moeilijks aan.

Sissors @Despen • 26 oktober 2022 15:59

Ik zou het absoluut niet doen om 3 uur 's nachts, sowieso slaap ik dan, maar ook als ik 's avonds thuis zit en krijg van mijn werk een 2FA popup, dan negeer ik die uiteraard.

Het is meer dat als ik inlog op mijn werk laptop, en dan een minuut later een 2FA popup krijg. Welke website / Teams / VPN / whatever is nu proberen in te loggen? Dan is het een stuk aantrekkelijker om maar op "Accept" te klikken.

Verwijderd @Pogostokje • 26 oktober 2022 13:49

Maar het wordt er weer eens niet gebruiksvriendelijker op. En dit zou juist een van de meest laagdrempelige acties moeten zijn.

Microsoft begon zo goed en nu is het weer best afgetakeld. Ze hebben een periode van pushbericht problemen gehad (kwamen niet binnen zonder de app te openen) en de app werkt nog steeds niet innovatief. Ik help wel eens gebruikers met een iPhone, Mail doet het niet meer en geen melding te bekennen. Mail opnieuw starten, Push triggeren, omschakelen naar Authenticator, terug naar Mail (wat was het nummer nu weer?), terug naar Authenticator, nummer invoeren, accorderen, terug naar mail en dan doet hij het nog steeds niet. Dan naar instellingen, mail, accounts, Office 365, knop re-enter passwords en plots doet hij het weer (geen extra inlog nodig). Eindgebruikers komen hier vaak niet meer uit. Ze snappen niet wat er allemaal gebeurd.

En dan stel ik mij de vraag: Wat deze complexe opzet nu nog toe in tegenstelling tot normale TOTP (6 cijferige time based code)? Een TOTP is veel duidelijker en eenvoudiger te begrijpen.

Google heeft in mijn mening nog het beste pad gekozen met FIDO (Yubikeys). Gewoon even je sleutel aanraken op de key en klaar is klara...

En ja, FIDO is ook in 'beta' bij Microsoft... Maar dan moet je weer een extra pincode instellen en krijg je minimaal 3 extra stappen...

PolarBear @Verwijderd • 26 oktober 2022 15:38

En ja, FIDO is ook in 'beta' bij Microsoft... Maar dan moet je weer een extra pincode instellen en krijg je minimaal 3 extra stappen...

Is helemaal geen beta? En werkt als password less inloggen bij mij?

Verwijderd @PolarBear • 26 oktober 2022 16:39

Yep, mijn fout. Ik zie dat het nu uit 'preview' is.
Maar goed, ik heb het net getest. Office.com -> email adres -> other ways to sign in -> security key -> Pop-up welke key -> druk op key -> PIN required, type pin -> pincode -> touch your security key -> raakt security key aan -> Stay signed in? -> Nee...

Ik kan dit niet echt een simpel of laagdrempelig noemen...

Vergeleken met Google:
Google.com -> email address -> password -> touch key -> ingelogd

Andreplusplus @Verwijderd • 28 oktober 2022 09:08

even de default authenticatiemethode voor je account instellen via aka.ms/setupmfa.
Niet MS bashen als je instellingen niet kloppen!

Verwijderd @Andreplusplus • 29 oktober 2022 12:57

Ik implementeer beide zaken regelmatig, ik bash niet maar voer kritiek. Er is verschil tussen die twee.
Verder is er geen 'default auth methode' instelling voor de security key.

Dus geen verkeerde informatie verspreiden, graag. See what i did there

sprankel @Verwijderd • 26 oktober 2022 15:40

Moet je bij Apple voor zijn, de standaard mail app op iOS wilt rechtstreeks toegang tot de mailbox en wilt dus niet via de MS credentials inloggen.

Default werkt dat niet, krijgt de user een melding "iOS accounts needs permission to access resources in your organization that only an admin can grant"

Als je dat terug werkend wilt krijgen moet je toelaten dat third party apps rechstreeks data kunnen opvragen van je cloud omgeving, zie hiervoor

https://learn.microsoft.c...ser-consent?pivots=portal

Bij de meeste bedrijven is dat toegelaten want anders komen al die Apple gebruikers klagen dat ze hun mailbox niet kunnen toevoegen. Dat het dan in de soep draait kan ik mij inbeelden, dat een gebruiker er niet meer aan uitgeraakt ook.

Echter stel ik mij de vraag, wil je wel dat third party apps rechstreeks bedrijfsdata kunnen opvragen? Mijn antwoord is nee, ik wil helemaal niet dat third party apps rechstreeks aan die data kunnen. Dat Apple dat probeert af te dwingen, niet mijn probleem, installeer de outlook app.

Pogostokje @Verwijderd • 26 oktober 2022 13:55

En dan stel ik mij de vraag: Wat deze complexe opzet nu nog toe in tegenstelling tot normale TOTP (6 cijferige time based code)? Een TOTP is veel duidelijker en eenvoudiger te begrijpen.

Een OneTimePassword heeft een hele zwakke plek: hij werkt los van je device en je kunt hem aan iemand anders doorgeven.
Waarom dacht je dat Sim Swapping zo'n groot probleem is dat SMS niet meer als afdoende veilige methode gezien wordt in de markt? Omdat men daarmee een OTP kan bemachtigen die ergens anders ook werkt.

Het notificatie mechanisme kun je niet omleiden: die zit gekoppeld aan jouw authenticator app waarbij je ooit een QR code hebt moeten scannen.

edit: je had het over TOTP, niet OTP. Mijn fout.

[Reactie gewijzigd door Pogostokje op 23 juli 2024 20:37]

Verwijderd @Pogostokje • 26 oktober 2022 14:00

Een OneTimePassword heeft een hele zwakke plek: hij werkt los van je device en je kunt hem aan iemand anders doorgeven.
Ik denk dat je mij verkeerd begrijpt: TOTP = Time-based one-time password

Zoals die ouderwetse RSA SecurID dingen of Google Authenticator.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 20:37]

Pogostokje @Verwijderd • 26 oktober 2022 14:03

Ik heb totaal over die eerste T heen gelezen. Sorry. Ik laat het bericht toch maar staan voor als iemand dezelfde fout maakt.

Sissors @Pogostokje • 26 oktober 2022 11:04

Probleem is wel dat hoewel ik zie waarom zelf nummer intikken malafide inlogs kan voorkomen, is het wel een lapmiddel op het grotere probleem van mensen genoeg krijgen van steeds weer die 2FA checks.

Wat dat betreft ben ik blijer met de optie om meer context te krijgen. Op mijn werk loopt alles via Microsoft 2FA, en het gebeurd weleens dat ik een melding krijg op mijn telefoon en het echt de vraag is: "Oké, en wie wil er nu toegang hebben dan?". En dan blijkt het gewoon dat een webpagina zichzelf ververst had die het nodig heeft bijvoorbeeld, maar dan weet ik iig waar ik moet kijken of het klopt, ipv dat het een kwestie is van: zoek maar uit.

hackerhater @Sissors • 26 oktober 2022 15:14

Het zou ook helpen als het altijd mogelijk is om "trust this device" aan te geven.
Om de een of andere reden had mijn vorige klant dat uitgezet, geen idee of alleen voor externen, waardoor teams & Thunderbird elke werkdag om de 2FA deden prompten.

HouseL @Pogostokje • 26 oktober 2022 10:58

Klopt inderdaad. Ik werk bij een 'groot' bedrijf en wij maken hier al ongeveer een jaar gebruik van.

Pimorez @Pogostokje • 26 oktober 2022 11:02

Ik was inderdaad verbaasd toen ik dit artikel las, want wij hebben dit al denk ik ruim een half jaar in gebruik.
Buiten dat het veiliger is, vind ik het zelf ook een stuk gebruiksvriendelijker! Het enige jammere is dat ik niet meer mijn sporthorloge (Garmin Fenix serie) kan gebruiken om een inlogpoging goed te keuren, omdat ik wel de 'yes' of 'no' kon kiezen voorheen, maar zelf een getal typen niet kan.

Goede update van Microsoft

[Reactie gewijzigd door Pimorez op 23 juli 2024 20:37]

wica @Pogostokje • 26 oktober 2022 11:25

Op deze manier wordt de term multi factor authentication, wel heel breed.
Je hebt je account + wachtwoord + MFA en dan moet je nog eens een andere code overnemen?

Waar gaat dit eindigen?

Blokker_1999

Microsoft
Beveiliging en antivirus

@wica • 26 oktober 2022 11:39

account+wachtwoord+nummer is nog altijd 1 enkele factor, de app is de tweede factor:
- Something you know
- Something you have
- Someone you are.

Dat zijn de 3 factoren in MFA, en meerdere van 1 en dezelfde factor is nog altijd maar 1 factor en verhoogt de beveiliging amper.

En lees je even in waarom men dit doet. Dan besef je veel sneller dat MFA met gewoon een app nog altijd geen zeer veilige oplossing is wanneer je credentials zijn uitgelekt. Aanvallers gaan je credential gewoon spammen totdat je eens per ongeluk een MFA prompt accepteert. En blijkbaar doet 1% van gebruikers dat al vanaf de eerste poging van aanvallers. Dat vind ik dan weer zeer verontrustend.

MenN @Blokker_1999 • 26 oktober 2022 21:58

Ik snap heel goed dat mensen in een MFA fatigue aanval trappen. Hoe mooi deze zaken ook kunnen zijn, heel vaak zijn corporate IT departments zo ontzettend lomp in het invoeren van dit soort dingen, dat je je eindgebruikers echt in de weg zit. Nul aandacht voor gebruiksgemak en alleen kijkend naar de eigen voordelen. Voorbeeldje met MS Authenticater, je moet inloggen, dan moet je eerst de app openen STOP... vinger afdruk aub... dan krijg je een popup met de vraag om een inlog goed te keuren, dat doe je netjes en dan direct nog eens vragen om je vinger afdruk

Tis helemaal niet vreemd dat je bijv, meerdere keren per dag op meerder apps al dit soort ongein moet doen. .En tis echt zo omslachtig dat veel mensen echt een hekel aan krijgen. (looking at you IT beheerder die elke 90 dagen een windows wachtwoord wil wijzigen

)

En op een moment gaan gebruikers gewoon om je maatregelen heen werken. Ken verhalen van collega's die maar overal het zelfde wachtwoord zijn gaan gebruiken of dat ze allerlei systeempjes ontwikkelen om wachtwoorden te onthouden (briefjes, post-its, simpele regeltjes om wachtwoorden te itereren, het half toevoegen aan bookmark namen etc etc).

Gr4mpyC3t

@MenN • 26 oktober 2022 23:34

Maar daar heb je meer voor dan alleen die melding in de Microsoft Authenticator app.

Conditional Access is meer dan alleen een pop-up en dat lijkt iedereen te vergeten. Om er maar eens drie te noemen:

- Whitelisting van IP-adressen (Vertrouwde locatie)
- Vereisen van een compliant device in Microsoft Intune
- Überhaupt bepaalde landen toestaan/uitsluiten van inloggen via Azure AD

Als je daar als IT-afdeling een goede mix in maakt is echt niet nodig om gebruikers steeds lastig te vallen met meerdere pop-ups per dag.

[Reactie gewijzigd door Gr4mpyC3t op 23 juli 2024 20:37]

Verwijderd @wica • 26 oktober 2022 11:38

Het is nog steeds e-mailadres + wachtwoord + code. Je hoeft niet 2x een code in te voeren.

Nu is het verschil dat je niet meer direct op 'accepteren' kunt klikken. Wat zogeheten MFA fatigue aanvallen in de hand werkt.

DeFeCt @Pogostokje • 26 oktober 2022 15:30

Ik gebruik het (moet het gebruiken) inderdaad ook al geruime tijd bij meerdere (grote) klanten.

laurens0619 @Pogostokje • 26 oktober 2022 23:22

Helemaal eens maar een onderdeel van het probleem is ook omdat er soms onnodig vaak om MFA wordt gevraagd. Dan krijg je vanzelf dat mensen overal op JA rammen.
Windows 10 met Azure AD heeft dit wel netjes opgelost. De eerste keer op je laptop log je in met MFA en hierna wordt je device als een trusted second factor gezien. Je zal vanaf dat device dus niet dagelijks een MFA prompt meer krijgen (tenzij expliciet afgedwongen bij bepaalde use cases).

Je lost MFA fatigue. er niet mee op maar als een user vrijwel nooit een MFA prompt krijgt of hij krijgt hem dagelijks dan is de kans op fouten wel kleiner.

Zackito @Pogostokje • 27 oktober 2022 07:19

Werd het gebruik van een public preview goedgekeurd of was het meer nood breekt wet? Normaal gesproken gebruik je geen preview op je productie omgeving wordt ook sterk afgeraden door MS.

mhnl1979 26 oktober 2022 11:12

Wat ik wel mis in de Authenticator, is dat ik verzoeken uit continenten niet kan weigeren op voorhand. Ik hoef geen verzoek tot authenticatie uit Kenia. De kans dat ik vanaf daaruit inlog is namelijk best te verwaarlozen.

Verwijderd @mhnl1979 • 26 oktober 2022 11:15

Dan moet je administrator die regio blokkeren in Conditional Access als jullie geen kantoor in Kenia hebben. Je kunt dan preventief landen waar scammers ongecheckt mogen doen wat ze willen (Rusland, Afrika, China, India) al wegstrepen.

bifi_G60 @Verwijderd • 26 oktober 2022 11:25

Conditional access werkt pas NA een succesvolle aanmeldpoging. Dus als de bad-guy met het goede wachtwoord inlogged krijgt hij daarna een melding in de trend van "je inlog poging was succesvol maar je mag door een policy niet inloggen"

De gebruiker krijgt dan geen prompt maar er is dus ook op dat moment niemand die weet dat zijn credentials op straat liggen.

Nu is het geluk natuurlijk dat iedereen unieke wachtwoorden op zijn verschillende accounts heeft anders hadden ze de combinatie mailadres / wachtwoord zomaar op andere diensten dan microsoft 365 kunnen gebruiken waar geen conditional access of MFA op van toepassing is.

Verwijderd @bifi_G60 • 26 oktober 2022 11:32

Conditional access werkt pas NA een succesvolle aanmeldpoging. Dus als de bad-guy met het goede wachtwoord inlogged krijgt hij daarna een melding in de trend van "je inlog poging was succesvol maar je mag door een policy niet inloggen"

Dit is natuurlijk je reinste onzin, dus ik snap je +2 ook niet helemaal. Je hebt gewoon logging en alerting van Conditional Access, dus de gebruiker merkt niets en de administrator krijgt een seintje dat er een zooi Chinese of Afrikaanse IPs een account aan het hameren. Die kan vervolgens het account blokkeren of het wachtwoord resetten. Waarom moet de gebruiker hiermee gemoeid zijn? Daar heb je ITers voor.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 20:37]

bifi_G60 @Verwijderd • 26 oktober 2022 11:39

En hoeveel IT admins zitten dagelijks in de console te kijken voor gebruikers waarbij dit gebeurd?

Zelfs met actieve monitoring zijn er admins die zeggen "nou en CAP heeft het toch geblokkeerd dus ze zijn niet binnengekomen dus ik vind het wel goed, en we gaan niet verifieren of die gebruiker toevallig op vakantie is in zuid afrika"

Ik het dit zelf aan de hand gehad namelijk dat dat antwoord komt bij admins vandaan, het komt toch wel vaak voor dat als dergelijke maatregelen getroffen worden er daarna blind op vertrouwd wordt dat dit afdoende bescherming is.

Verwijderd @bifi_G60 • 26 oktober 2022 11:50

En hoeveel IT admins zitten dagelijks in de console te kijken voor gebruikers waarbij dit gebeurd?

Hopelijk geen, anders moet je die mensen beter opleiden of eruit gooien voor capabel personeel. Daar heb je gewoon standaardtools voor. Je streamt je logs naar Log Analytics:
https://learn.microsoft.c...access-insights-reporting

Vervolgens knal je daar een Azure Alert op:
https://learn.microsoft.c...alerts/tutorial-log-alert

Zelfs met actieve monitoring zijn er admins die zeggen

Dan moet je betere mensen inhuren of de alerts delegeren naar je security-mensen.

Ik het dit zelf aan de hand gehad namelijk dat dat antwoord komt bij admins vandaan, het komt toch wel vaak voor dat als dergelijke maatregelen getroffen worden er daarna blind op vertrouwd wordt dat dit afdoende bescherming is.

Dat is niet de schuld van Conditional Access en ook geen valide reden om het uit te zetten. Als je personeel lui is of geen vaardigheden heeft, heb je een groter probleem.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 20:37]

William_H @Verwijderd • 26 oktober 2022 21:16

Tsja, je hebt volkomen gelijk! Alleen gebeurt het dus wel. En dan vlieg ik eruit, en m'n incompetente collega die iets langer bij het bedrijf werkte, mocht blijven...

Verwijderd @William_H • 26 oktober 2022 22:43

Tja… meestal gaat dat om wie er de beste maatjes is met middle management…

Andreplusplus @Verwijderd • 28 oktober 2022 09:32

en dat zelfs geautomatiseerd. AAD Identity Protection

Verwijderd @bifi_G60 • 26 oktober 2022 13:54

Plus dat 'Conditional Access' achter een paywall zit. Sorry small business klanten, je mag upgraden naar ons duurste pakket voor beveiliging... Ik snap Microsoft echt niet.... Ze maken het meest vatbare besturingssysteem, de crypto malware blaast al jaren door de kantooromgevingen en zij stoppen de software om je goed hiertegen te beschermen achter een paywall.

Als je het hebt over een eigen markt creëren...

Verwijderd @Verwijderd • 26 oktober 2022 15:07

Plus dat 'Conditional Access' achter een paywall zit. Sorry small business klanten

5 euro per maand, per gebruiker. Dat is helemaal niks, vooral als je Small bent. In Nederland classificeren wij klein bedrijf als < 50 werknemers. Dat is dus max 250 euro voor alle security-features. Ik mag aannemen dat als je 50 man in dienst hebt, je best wel 250 euro kan uitgeven aan veiligheidsdiensten.

Zo niet, tja, je kunt het ook zelf gaan bouwen voor je diensten. Ben je denk ik wel een paar honderdduizend euro aan manuren verder, maar dan heb je ook wat.

https://www.microsoft.com...y-pricing?rtc=1&market=nl

[Reactie gewijzigd door Verwijderd op 23 juli 2024 20:37]

Verwijderd @Verwijderd • 26 oktober 2022 16:15

5 euro per maand, per gebruiker. Dat is helemaal niks, vooral als je Small bent.
Ik heb maar 1 reactie op zo'n gebrek aan empathie:

In Nederland classificeren wij klein bedrijf als < 50 werknemers.
We praten niet over 'wij in Nederland' maar over een Megacorporatie met een winst van 16.74 miljard dollar die 'small business' classificeerd als <300 accounts. Dus niet werknemers maar kantoormedewerkers.
https://www.microsoft.com...oft-365-business-products
is ontworpen om bedrijven met maximaal 300 medewerkers te helpen.

Ik mag aannemen dat als je 50 man in dienst hebt, je best wel 250 euro kan uitgeven aan veiligheidsdiensten.
Ik mag aannemen dat je wel eens het nieuws kijkt en je weet dat meerdere sectoren in zeer zwaar weer verkeren waar iedere euro omgedraaid moet worden. Ik noem maar even een gehele onderwijssector en zorgsector. Allemaal belastinggeld trouwens waar jij geen cent van terug ziet omdat het allemaal belastingvrij het continent uit gesmokkeld wordt.

Verwijderd @Verwijderd • 26 oktober 2022 19:27

Nee hoor, daar zijn gewoon afspraken over, al jaren.
Zie ook: https://nl.wikipedia.org/wiki/Midden-_en_kleinbedrijf

Dus doe eerst je research voordat je met slap gewauwel aan komt zetten.

Ik mag aannemen dat je wel eens het nieuws kijkt en je weet dat meerdere sectoren in zeer zwaar weer verkeren waar iedere euro omgedraaid moet worden. Ik noem maar even een gehele onderwijssector en zorgsector. Allemaal belastinggeld trouwens waar jij geen cent van terug ziet omdat het allemaal belastingvrij het continent uit gesmokkeld wordt.

Goed, dat heeft verder niks te maken met waar we het over hebben. Bedrijven vragen geld voor een dienst. Lijkt me hartstikke normaal, want ook Microsoft gaat ten onder als ze alles gratis weggeven. Jij wil met een bloedend hart +1tjes scoren en tegen grote bedrijven aanschoppen, prima, maar het blijft off-topic. Hoeveel geld doneer jij precies aan de zorg? Kom op man, duizendje of twee per maand kan er dan wel af toch? Waar is je empathie?

En die sectoren hebben overigens andere problemen. Er is wel geld, het gaat alleen naar de verkeerde mensen toe:
- https://www.rtvnoord.nl/n...rmaakte-legt-functie-neer
- https://www.rtlnieuws.nl/...-miljoenen-euros-zorggeld
- https://www.zorgvisie.nl/...nen-het-meest-zvs007055w/
- https://www.zorgwijzer.nl...-van-jouw-zorgverzekeraar
- https://www.skipr.nl/nieu...nde-miljoenen-aan-fraude/

Zo kun je er nog gerust 100 vinden in je favo zoekmachine.

Die 5 euro p.p. voor beveiliging maakt daar nog geen deuk in, dus schei toch eens uit. Als je je echt om dat soort dingen bekommerd, ga je niet lopen mekkeren op een klein techforum over een abonnement van een dienst, maar tegen de politici en zorgverzekeraars die stelselmatig die takken aan het kapotmaken zijn. Dat doen zij geheel zonder de hulp van Amerikaanse techreuzen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 20:37]

Verwijderd @Verwijderd • 27 oktober 2022 11:02

Dus doe eerst je research voordat je met slap gewauwel aan komt zetten.
Zo, jij zal leuk zijn op feestjes... Je kunt je gebruikersnaam beter aanpassen naar It'sRude

Ik wist niet dat Microsoft zo enorm hield van Nederland dat ze hun termen aanpassen aan onze begrippen. Microsoft zal vast wel zijn product informatie aanpassen, als jij het zegt. Het is niet zo dat hun productinformatie hetzelfde is over heel europa

Hoeveel geld doneer jij precies aan de zorg? Kom op man, duizendje of twee per maand kan er dan wel af toch? Waar is je empathie?
Eeeumm... Ik werk in de zorg.... Ik doneer momenteel het grootste gedeelte van mijn week en leven daaraan en ik zie hoe het totaal in elkaar stort..

En die sectoren hebben overigens andere problemen. Er is wel geld, het gaat alleen naar de verkeerde mensen toe:
Ik heb geen idee waarom je denkt dat ik dit niet weet. Maar ik heb ook geen idee waarom jij denkt dat dit het enige probleem is. Iedereen in Nederland weet dat het zorgbeleid niet houdbaar is.

Je weet dus blijkbaar dat het niet goed gaat in de zorg maar je doet alsnog uitspraken als '5 euro per maand, per gebruiker. Dat is helemaal niks'

Die 5 euro p.p. voor beveiliging maakt daar nog geen deuk in, dus schei toch eens uit.
Gemiddelde zorgorganisatie heeft zo 5000 man (en vrouw) in dienst. 5000*5*12= 25.000 euro. Jij mag dat peanuts vinden maar een normaal persoon niet. En dit alles niet om iets toe te voegen maar gewoon om te voorkomen dat iemand in nigeria inlogt als een zorgmedewerker die jou in de toekomst ook moet verzorgen...

Ik heb nog nooit iemand tegengekomen die het een goed vind dat zorggeld (belastinggeld) naar megacorp Microsoft gaat in plaats van naar een zorgmedewerker. Dat terwijl Microsoft het geld wegsluist uit Europa zonder er maar een cent belasting over te betalen.

Super bijzonder dat er mensen zijn die zo denken. Die hun eigen graf graven (ja, jij wordt ook oud en moet verzorgt worden) en niet het inzicht hebben om te zien wat ze aanmoedigen.
Ja, ik doe wat voor de zorg en dat voelt goed... Als je voor het raam zit met een volle luier maar er is geen geld om je te verschonen denk dan nog maar een keer daar aan

Verwijderd @Verwijderd • 27 oktober 2022 12:39

Ik heb maar 1 reactie op zo'n gebrek aan empathie:

Zo, jij zal leuk zijn op feestjes...

Wie de bal kaatst.

Ja, ik doe wat voor de zorg

Ik werk in de zorg.... Ik doneer momenteel het grootste gedeelte van mijn week

Je wordt er gewoon voor betaald, dus schei uit met de superheld uithangen op het internet. Je doneert niets.

Ik heb nog nooit iemand tegengekomen die het een goed vind dat zorggeld (belastinggeld) naar megacorp Microsoft gaat in plaats van naar een zorgmedewerker.

Daar kiest de zorginstantie zelf voor. En die 5 euro stelt inderdaad geen fuck voor en zal zelfs lager uitvallen als een organisatie van 5000 mensen een contract opstelt met Microsoft. Bij m'n vorige, veel kleiner bedrijf ging er volgens mij 30-50% van de kosten af als we x medewerkers en resources gingen afnemen. Dit telde voor Azure, Github Enterprise en O365.

Verwijderd @Verwijderd • 27 oktober 2022 13:21

Je wordt er gewoon voor betaald, dus schei uit met de superheld uithangen op het internet. Je doneert niets.
Haha, een internet troll, die heb ik lang niet meer gezien. Ik ben inderdaad geen superheld maar ik help wel direct mensen (ja, wordt daar ook voor betaald) en dat voelt goed, dank je.

Aannames maken met scheldwoorden en er maar vanuit gaan de zorg kortingen af moet dwingen door meer af te nemen geeft wel iets over je weer...

Weet je, misschien is de zorg ook wel iets voor jou.. Kom je een beetje onder de mensen en zie je wat je gedrag teweeg brengt. Uiteindelijk is namelijk de niet de zorg zelf die het probleem veroorzaakt maar maar mensen zoals jij die deze problemen bagatelliseren.

Andreplusplus @Verwijderd • 28 oktober 2022 09:42

En laat nu juist het onderwijs massaal naar M365 zijn overgestapt, al dan niet pre-, tijdens of postcorona.
Waarom zou dat zijn? Omdat het wellicht toch handiger is om dat doen ipv de bovenmeester die na 16.00 nog wat aan de ICT knutselt?

Verwijderd @Andreplusplus • 29 oktober 2022 13:16

En laat nu juist het onderwijs massaal naar M365 zijn overgestapt, al dan niet pre-, tijdens of postcorona.
Het is niets voor niets dat ik die noem. En dat was heel ver voor corona. De onderwijssector was een van de eerste sectoren zwaar onder druk werd gezet en het moeilijk had. ICT is een van de bedrijfsonderdelen waar altijd belooft wordt dat 'kosten bestaard kunnen worden'. Dus het onderwijs moest naar de Azure cloud. Niet omdat ze dat wilden maar omdat dat hun enige keuze was. Microsoft maakt enkel nog cloud producten. Daarbij biedt Microsoft grote kortingen via SURF zodat leerlingen als eerste in contact komt met hun producten zodat markt dominantie behouden kan worden.

Waarom zou dat zijn? Omdat het wellicht toch handiger is om dat doen ipv de bovenmeester die na 16.00 nog wat aan de ICT knutselt?
Je zit duidelijk niet in het onderwijs. De hele onderwijssector was (en is nog grotendeels) bedient door partijen als Heutink en zij doen (volgens mij) nog 70% van het basisonderwijs, volgens mij. Het enige wat die 'bovenmeester' nog doet is accounts aanmaken op een webportaal.

Drardollan @Verwijderd • 26 oktober 2022 14:03

Dat duurste pakket valt nochtans mee, een Azure P1 licentie kost rond de 5,10 per maand (ligt aan je contract, leverancier, etc.) en voorziet in deze functionaliteit.

Ik ben het overigens wel met je eens dat dergelijke functionaliteit juist beschikbaar zou moeten zijn voor iedereen, vanaf de allerlaagste licentie. Zowel de klant als Microsoft zijn gebaat bij een veilige omgeving in mijn ogen. Nu is het al een hele stap voorwaarts dat ze de "security default" geïntroduceerd hebben, maar mijn inziens zou Conditional Access daar dus naast voor iedereen beschikbaar moeten zijn. Goed om bij iedereen de defaults aan te zetten en voor wie wil de stap extra.

Verwijderd @Drardollan • 26 oktober 2022 15:59

De meeste bedrijven zullen Microsoft 365 business standaard of premium hebben gezien de kosten. En 50% verhoging t.o.v. de business standaard prijs vind ik dan weer niet 'meevallen'.

Security defaults is een goede oplossing maar je kan helemaal niets meer daarna. MS neemt je alle opties weg en je ziet nog steeds password spray attacks uit de hele wereld komen. Je kan niet eens security defaults en conditional access gebruiken...

Simpelweg een blokkade dat je enkel vanuit Nederland of de EU kan inloggen levert al zoveel op. Maar dat mag dus niet...

Drardollan @Verwijderd • 26 oktober 2022 16:29

Ik weet dat het gelijk is aan de kosten van een Business Standard, maar dat is bij lange na niet het duurste pakket. Dan praat je over 50+ euro per maand. Daar doelde ik op.

Pogostokje @Verwijderd • 26 oktober 2022 14:07

Conditional Access werkt vanaf een AAD P1 licentie. Misschien heeft jouw reseller of licentiemanager je iets anders proberen te verkopen? Deze licentie is namelijk verre van het duurste beveiligingspakket. Je hebt ook nog een P2 en natuurlijk alle Defender licenties waar je op los kunt als je echt geld wilt besteden.

Met deze P1 licentie krijg je nog een hele bak andere handige features, niet alleen CA.

Verwijderd @Pogostokje • 26 oktober 2022 16:02

Als je de MKB pakketten pakt dan zit AAD P1 hier niet in. Security Defaults is dan je enige optie. Maar mijn punt is dat het absurd is dat je extra moet betalen voor beveiliging. Man, ze moeten MKB juist gratis een P2 erbij doen...

Om maar even aan te geven dat Microsoft zelf geen vertrouwen heeft in zijn beveiliging: Als partner krijg je AAD P2 gratis om je omgeving goed te beveiligen.

Pogostokje @Verwijderd • 26 oktober 2022 16:13

Ik snap echt wat je zegt met mijn security bril op, maar ik denk dan ook: waarom zouden ze als men toch al gewend is commerciele alternatieven te moeten kopen buiten dit Azure/M365 ecosysteem.

Vroeger had je een lokale exchange server. Reken maar dat er dan ook een commercieel product bij werd gekocht dat anti-spam deed. Nu kun je een licentie los bijkopen.
Lokaal datacenter? Reken maar dat er een firewall appliance in het rack bij gekocht werd. Nu kun je dat los bijkopen.
Windows server in je landschap? Dan had je een hele omgeving die alles in de gaten hield, software patches checkte etc. Defender for Cloud is niet gratis.

En nu stopt men dat in de cloud, met 10x meer mogelijkheden dan wat je ooit zelf kon aanschaffen ... dan gaat er bij de marketing afdeling van Microsoft natuurlijk meteen een dollar tekentje branden.

Verwijderd @Pogostokje • 26 oktober 2022 16:31

Haha, ik ben een cloud 'man' dus begrijp me niet verkeerd: Office Microsoft 365 biedt veel meer dan je ooit voor hetzelfde geld zelf kan/kon neerzetten.

Maar tijden veranderen ook, criminaliteit (malware) wordt steeds professioneler en extremer (crypto). Microsoft doet niets om deze nieuwe bedreiging te stoppen voor het MKB. Ook niet voor E3 trouwens. Wil je dat je e-mails gescand worden op gevaarlijke links? E5 is je man. Wil je dat een onbekende bijlage eerst uitvoerig gecontroleerd wordt? E5 is je man. Goede Antivirus, E5 is je man.. Ga zo maar door.

Bekijk het ook vanuit de ogen van de normale mens: Vanuit hun oogpunt is er in 20 jaar vrijwel niets op vooruitgegaan bij Microsoft. Het is zelfs erger geworden door de crypto malware. Plus dat ze nu maandelijks moeten betalen. En ja, je kunt er wat aan doen.. Door meer te betalen... Ik werd vaak aan tafel aangekeken alsof ik dan de geldwolf ben... En daar voelde ik mij soms best schuldig over.

Dit soort 'amerikaanse kapitalistische mentaliteit' zie je gewoon overal terug bij MS. Ik moest laatst nog iemand uitleggen dat ze Windows Enterprise nodig hadden om de achtergrond te kunnen wijzigingen via Intune. Ik werd gewoon uitgelachen aan tafel en men kon het niet geloven... En weet je, ze hebben gelijk, dit soort zaken zijn ook belachelijk en zouden tegenwoordig gewoon inbegrepen moeten zijn. Maar goed, ik heb er ook geen invloed op.

Andreplusplus @Verwijderd • 28 oktober 2022 09:38

"Vanuit hun oogpunt is er in 20 jaar vrijwel niets op vooruitgegaan bij Microsoft." is natuurlijk klinkklare onzin.
En ja voor zaken en diensten moet je betalen. Voor niets gaat de zon op.
En je moet het niet afnemen, je kan kiezen.

Verwijderd @Andreplusplus • 29 oktober 2022 13:04

"Vanuit hun oogpunt is er in 20 jaar vrijwel niets op vooruitgegaan bij Microsoft." is natuurlijk klinkklare onzin.
Zeg jij, maar ik ondersteun mensen die hun weekend weer door moeten werken omdat er weer een zeroday gevonden is. Of op Exchange weer 'mitigerende maatregelen', geen patch in zicht en iedereen die mij maar vraagt of ik al 'iets heb gehoord' of het een out-of-bound patch wordt. Als in, moeten we weer buiten werktijd aan het werk... Je argument is verder ook goed onderbouwd.

En ja voor zaken en diensten moet je betalen. Voor niets gaat de zon op.
Mijn punt is dat je nog extra moet betalen bovenop die zaken en diensten. Voor niets gaat de zon op en als je zonnebrand wilt dan verkopen we dat ook. PS, het is zonnefactor 'hoog'.

En je moet het niet afnemen, je kan kiezen.
Ja, mijn punt is je niet zou moeten kunnen kiezen om veilig te zijn.
Hier is een auto zonder gordels, ruitenwissers of airbags, maar als je echt wat wilt dan staat daar hetzelfde model met die features voor het dubbele.

wica @Verwijderd • 26 oktober 2022 11:37

Het is echt niet moeilijk om uit te rekenen, wat de kans is, dat iemand die nu in Amsterdam is, over 1 a 2 uur in Kenia is. Waarom word ik lastig gevallen met een inlog poging, vanaf een locatie, waar ik simpel weg niet kan zijn, binnen een bepaalde tijd.

Verwijderd @wica • 26 oktober 2022 11:54

VPNs zijn een ding 🙂 ik kan binnen 5 minuten in Amerika zijn als ik nu de VPN van mijn klant aanslinger.

wica @Verwijderd • 26 oktober 2022 12:55

Dus jouw internet verkeer, gaat ook over die klant VPN?
Over mijn VPN servers, gaat alleen het verkeer, waar de VPN voor bedoelt is. Ik wil niet eens, het andere verkeer van de gebruikers kunnen zien.

Naar mijn mening, als dit het probleem is. Is de betreffende VPN server verkeerd geconfigureerd.

OuweDorper @wica • 26 oktober 2022 14:06

Of je hebt twee verschillende VPN's.
Zo hebben wij een VPN waar alleen data van onze servers overheen gaat, en een andere instelbare VPN voor als je al je verkeer over de VPN wilt laten lopen. Dit kan handig zijn wanneer een werknemer op een publieke wifi zit bij de Mac, een hotel of wat voor Wifi dan ook.

Verwijderd @wica • 26 oktober 2022 15:03

Wel verkeer naar relevante Microsoft-diensten, waar die login plaatsvindt. Overigens bieden genoeg tech-werkgevers een volledige VPN aan. Zo kunnen werknemers van Booking.com bijvoorbeeld voorbij de grote muur van China komen vanuit het Shanghai-kantoor.

Andreplusplus @wica • 28 oktober 2022 09:50

Dit gaat natuurlijk over publieke VPN services zoals Nord VPN ed.
Werknemers die op hun mobiel een VPN opzetten in Australië omdat ze alleen dan hun favoriete receptenwebsite kunnen benaderen. Vervolgens vergeten uit te zetten, en hun mail checken.
Risky sign-in in de log "impossible travel" of "unfamiliar sign-in properties". Kun je weer (automatisch) op reageren: block, force passwd reset, require mfa.

Ander scenario, deploy een VM in een willekeurige locatie in de wereld.

Drardollan @Verwijderd • 26 oktober 2022 14:10

Dat is natuurlijk prima te ondervangen met een goede configuratie. Een VPN naar Amerika is ook geen heel vreemd iets, daarvan zullen er velen zijn vanuit Nederland.

Maar laten we eerlijk zijn, hoeveel mensen in NL maken er een VPN naar Kenia (om maar wat te noemen, je kan hier ook een vergelijkbaar land invullen) om vanaf daar in te gaan loggen op hun eigen tenant? Dat doe jij ook niet lijkt mij, de VPN bevat hoogstwaarschijnlijk alleen het verkeer naar apparatuur van de klant en niet je verbindingen met Microsoft 365 diensten.

Ik vermoed dat 99,9% van de mensen (wellicht nog wat meer) zonder problemen zouden kunnen werken met een dergelijke bescherming / blokkade. Voor dat beetje wat overblijft, bijvoorbeeld jij, zou je dit gewoon kunnen opnemen in een configuratie.

Pogostokje @Drardollan • 26 oktober 2022 14:16

de VPN bevat hoogstwaarschijnlijk alleen het verkeer naar apparatuur van de klant en niet je verbindingen met Microsoft 365 diensten.

Dan maak je een zogenaamde split tunnel, waarbij data vanaf het internet via jouw laptop naar het netwerk van de klant zou kunnen komen. Ik ken bedrijven waar dit niet meer mag.
Dat levert meteen problemen op met Conditional Access op basis van locatie, omdat je O365 verkeer dan dus wel over die tunnel wil gaan als de engineer in kwestie niet op let en de klant hun internet niet afschermt.

Drardollan @Pogostokje • 26 oktober 2022 14:28

In die uitzonderlijke gevallen kan je de Conditional Access toch anders configureren? In het merendeel van de gevallen die CA gebruiken zal deze situatie niet voorkomen en dus nooit een probleem zijn.

SunnieNL

@wica • 26 oktober 2022 13:08

de MFA gaat pas in na conditional access. De CA bepaald of er uberhaupt MFA nodig is.
Na authenticatie slag 1 weet de CA als wie je je probeert te identificeren. Kloppen condities, dan volgt MFA.
Als die identiteit normaal in NL zit en nu vanuit Kenia komt en dat wordt niet verwacht, zou de CA al het verkeer moeten stoppen, inclusief MFA.
Als de 1ste factor ook nog klopt maar de condities niet, zou er een flow moeten gaan lopen om het account op disabled te plaatsen of een wachtwoord reset af te dwingen (of andere vorm van self-healing af te dwingen, zoals het patchen van het device op het moment dat die niet aan de condities voldoet)

Drardollan @wica • 26 oktober 2022 14:07

Dat is wel deels hoe banken / creditcard maatschappijen werken. Die kijken simpelweg naar patronen en waar ze je voor het laatst gezien hebben met een betaling. Ik zou het een prima idee vinden om zoiets ook voor inlogpogingen in te voeren zodat je dat indien gewenst kunt aanzetten.

Nog mooier zou een systeem zijn, zoals je al bij diverse banken hebt, waarbij de gebruiker kan aangeven welke landen er op dat moment geaccepteerd moeten worden. Als je dan naar Kenia op vakantie gaat, dan zet je gewoon Kenia even aan in de lijst voor een X tijd.

Pogostokje @wica • 26 oktober 2022 14:12

Dit wordt al gedetecteerd, dit noemen ze in Azure "Impossible Travel". En ... dit zet volgens mij iedereen uit omdat zowel good guys als de bad guys VPN kunnen gebruiken. Dat eerste heb je als gebruiker zelf in de hand, dat laatste niet. Netto waarde onder de streep is dat je eigenlijk niks zeker weet als je dit inzet.

laurens0619 @wica • 27 oktober 2022 10:40

Ja en daar gaat alerting op af.
Preventief blokkeren is lasetig want er zijn genoeg legitieme use cases

Je kan namelijk prima in italie zitten met je laptop (IP uit italie) terwijl je mobiel een nederlands ip heeft dankzij home routering 4g.
Dan krijg je een impossible travel...

Echter tegenwoordig kun je zien of een login vanaf een browser komt of vanaf een managed device. Dat helpt enorm om onderscheid te maken tussen aanvaller of medewerker

Verwijderd @Verwijderd • 26 oktober 2022 14:02

Conditional Access is niet voor iedere klant beschikbaar. Enkel als je veel geld betaald krijg je de privilege om daar gebruik van maken.

RADRIGUZ @mhnl1979 • 26 oktober 2022 11:16

Ik denk dat als jij verzoeken uit Kenia krijgt je grotere problemen hebt dan je denkt, een wachtwoord reset is dan minstens op z'n plaats..

lilmonkey

@RADRIGUZ • 26 oktober 2022 11:24

Je kunt bij MS al een jaartje ofzo passwordless: https://www.microsoft.com...r-your-microsoft-account/

mhnl1979 @lilmonkey • 26 oktober 2022 11:39

Precies, en dan probeert men dan in te loggen en krijg ik een melding. Overigens is dit gewoon particulier mensen, geen kantoor.

HKLM_

Microsoft

@lilmonkey • 26 oktober 2022 14:12

passwordless is wel echt de toekomst inderdaad ook voor zakelijk. Met deze functie is dat weer een stap dichter bij een gemakkelijke implementatie

Verwijderd @mhnl1979 • 26 oktober 2022 11:15

Dat kan je alleen in de portal zelf regelen. Conditional Access policy configureren.

Martinspire

Microsoft

@mhnl1979 • 26 oktober 2022 12:20

Maar dan gaan ze toch gewoon met VPN's werken?

Drardollan @Martinspire • 26 oktober 2022 14:14

Klopt. Dat is ook mijn belangrijkste argument om geen Azure P1 aan te schaffen met Conditional Access. De Hafnium hack van maart 2021 heeft laten zien dat uitsluiten op land geen enkele zin heeft. De scans die toen gedaan werden naar kwetsbare servers kwamen simpelweg uit landen die nagenoeg iedereen als veilig bestempelt (Duitsland onder andere).

Blokkeren op land is, in mijn ogen, een marginale beveiliging. IP reeksen worden aan de lopende band doorverkocht en dankzij diensten als VPN's, TOR endpoints, AWS en Azure is het goedkoop en eenvoudig om uit elk willekeurig land te komen. Als straks de context aanstaat in MFA van Microsoft zal je zien dat de aanvallers meer en meer gebruik zullen gaan maken van dat soort diensten. Het number matching deel is overigens wel een mooie en krachtige oplossing om het veiliger te maken.

Martinspire

Microsoft

@Drardollan • 26 oktober 2022 18:23

Het zal vast iets helpen, de script kiddies bv, maar serieus mag je het niet noemen nee

mhnl1979 @Martinspire • 26 oktober 2022 14:19

Alleen als ze weten uit welk land een account komt. Ik weet niet of dat standaard bekent is.

RoccoS 26 oktober 2022 10:58

Goede verbeteringen wat mij betreft. Ik merk ook dat gebruikers een soort automatisme ontwikkelen om direct op "Goedkeuren" te tikken, zonder zich af te vragen of zij wel daadwerkelijk degene zijn die op dat moment aan het inloggen zijn.

FooLsKi @RoccoS • 26 oktober 2022 11:25

Ik snap dat echt niet, hè. Waarom zou je iets goedkeuren wat je niet zelf hebt geïnitieerd?

Verwijderd @FooLsKi • 26 oktober 2022 11:36

Wat leesvoer.

FooLsKi @Verwijderd • 26 oktober 2022 11:40

Ik snap de methode, ik snap alleen niet waarom je zo stom zou zijn om "maar goed te keuren om van die meldingen af te zijn." Sowieso zou ik eerst eens mijn wachtwoorden wijzigen wanneer ik een stortvloed aan verzoeken binnen zou krijgen.

Verwijderd @FooLsKi • 26 oktober 2022 12:12

Omdat technologie ingewikkeld is en de meldingen als storend gezien worden. Ze hebben misschien geen binding met de ICT afdeling en klikken maar op 'ok' om van de vervelende meldingen af te zijn.

Ik zie bijvoorbeeld een situatie voor me waar iemand net druk bezig is op een belangrijke deal te sluiten. Dan heb je wel wat anders aan je hoofd dan vervelende popups op je telefoon.

mjtdevries @Verwijderd • 26 oktober 2022 15:09

Ik zie die situatie juist helemaal niet voor me. Als je een belangrijke deal aan het sluiten bent dan weet je zeker dat jij niet degene bent die de MFA popups veroorzaakt. Dus dan weet je al zeker dat het foute boel is.
En dan leg je die telefoon aan de kant totdat je die deal afgerond hebt. Je gaat zeker niet die meldingen goedkeuren.

Wellicht zie jij een situatie voor je, waarbij niemand ooit aan gebruikers heeft uitgelegd wat MFA is en waartegen het beschermt?

Als je gebruikers niet het intelligentie nivo hebben om te snappen dat een berg MFA meldingen foute boel zijn, dan moet je ze niet met vertrouwelijke informatie om laten gaan en zeker geen belangrijke deals laten sluiten.

Verwijderd @mjtdevries • 26 oktober 2022 15:25

Ik denk eerlijk gezegd dat veel mensen hier vooral vanuit hun IT bril kijken. Voor veel mensen is IT vervelend en willen ze zich daar helemaal niet mee bezig houden.

En ja, sure, MFA is misschien niet goed uitgelegd. Het feit dat MFA fatigue vaak genoeg werkt en er nu een oplossing is bedacht, laat zien dat er actie nodig was voor dat probleem.

mjtdevries @Verwijderd • 26 oktober 2022 17:15

Ik ben wel benieuwd naar mensen die in de praktijk hebben ervaren dat MFA fatigue werkt, of die kunnen vertellen over wat voor soort personen we het dan hebben.

Nu zit ik bij een bedrijf dat heel veel vertrouwelijke informatie verwerkt. En we doen heel veel aan awareness richting onze mensen. Dus mijn ervaring is dat mensen meteen de helpdesk bellen als ze ineens een boel MFA verzoeken ontvangen. Dat heeft niks met IT kennis of IT affiniteit te maken.
En je hebt dan flink wat uit te leggen als je je daar niet mee bezig wilt houden en daardoor een incident veroorzaakt.

Verwijderd @mjtdevries • 27 oktober 2022 09:24

Hoogstwaarschijnlijk gebeurt er ook wel eens een security incident bij jouw bedrijf. Zo niet: gefeliciteerd, je hebt een uniek concept in handen waar veel bedrijven jaloers op zijn.

Of dat nou MFA fatigue is maakt imo niet zoveel uit. Het gebeurt nou eenmaal, en er zijn talloze redenen te bedenken waardoor. Als security team de taak er voor te zorgen dat er zo min mogelijk schade ontstaat en het liefst voorkomen dat er uberhaupt iets gebeurt.

mjtdevries @Verwijderd • 27 oktober 2022 11:34

Tuurlijk gebeuren er bij ons ook security incidenten, maar dat is voornamelijk door menselijke vergissingen. En niet omdat mensen geen zin hebben zich verantwoordelijk te gedragen.

En dat is het punt waar het wat mij betreft om gaat. Iedereen maakt vergissingen, dat is heel moeilijk te voorkomen. Maar MFA fatigue is een kwestie van gedrag. En daar kun je wel wat aan doen.

Verwijderd @mjtdevries • 27 oktober 2022 11:36

Een keer je MFA push message goedkeuren is net zo goed een vergissing. Onderscheid maken in wat voor vergissingen je wel en niet mag maken, daar vind ik wat van.

Ik zie alleen maar voordelen aan deze technologie van Microsoft en hoop dat andere aanbieders een equivalent gaan aanbieden.

mjtdevries @Verwijderd • 27 oktober 2022 11:41

"Ik weet dat er iets mis is, maar ik heb geen zin om er naar te kijken en ik probeer gewoon of de melding weg gaat als ik de authorisatie goed keur" valt bij mij niet onder de categorie vergissingen.

Per ongeluk een mail naar de verkeerde ontvanger sturen omdat ze allebei dezelfde naam hebben en de outlook auto-complete de verkeerde bovenaan zette noem ik wel een vergissing.

Tuurlijk kun je in het tweede geval ook zeggen dat iemand beter had moeten opletten, maar er is duidelijk sprake van een totale andere intentie van handelen.

Verwijderd @mjtdevries • 27 oktober 2022 11:44

Je kijkt imo nog steeds vanuit je IT bril. Voor jou is dit heel logisch, maar voor iemand met minder affiniteit (en vooral als diegene misschien geen IT afdeling heeft of er weinig contact mee heeft) met IT, is dat nou eenmaal niet zo. De reden waarom MFA fatigue aanvallen effectief zijn. Dan kun je wel hard blijven hameren op 'het is je eigen schuld!' of er gewoon iets aan doen zodat de aanvallen minder effectief worden.

Dorank @Verwijderd • 26 oktober 2022 23:22

En daarom heeft vrijwel geen enkele applicatie de rechten om popups/notificaties te tonen. Dat levert dus naast rust, in jou scenario ook nog eens een security voordeel op.

thefal @FooLsKi • 26 oktober 2022 15:21

Security is voor de meeste mensen een te vraag concept, net als privacy. Het is gewoon onzichtbaar voor deze mensen.

Als voorbeeld was er een vriendin van mij die voor het eerst een creditcard had gekocht en de foto's ervan op Facebook plaatste. Ik adviseerde haar de foto's offline te halen omdat het levensgevaarlijk is al je gegevens zo online te zetten. Als reactie werd ze boos op mij omdat ik al de 5e "nerd" was die haar hiervoor waarschuwde, terwijl het haar niks boeide. Toen ik zei dat anderen nu letterlijk aankopen konden doen op haar creditcard, antwoordde ze "Het is mijn creditcard, daar kunnen anderen toch niks mee". Na het 5x opnieuw uit te leggen heb ik het opgegeven en heeft was ze zo boos geworden dat ze me per direct als friend van Facebook verwijderd. Ik heb haar daarna nooit meer gesproken, maar kreeg van een adere vriend wel te horen dat ze een boze post had gemaakt met als content "Iemand heeft 1000 euro van mij creditcard gestolen". Tsja...

Als sommige mensen dat niet eens snappen, gaat 2FA echt veel te moeilijk voor ze zijn...

mjtdevries @thefal • 26 oktober 2022 17:20

Ik mag toch hopen dat ze niet beide kanten van de credit card in die fotos heeft getoond?
En dan is het eigenlijk wel raar dat er geld gestolen is, want credit card maatschappijen weten ook dat het creditcard nummer zelf niet geheim is en dat niet afdoende is om een aankoop te doen.

Of was dit al heel erg lang geleden?

Blokker_1999

Microsoft
Beveiliging en antivirus

@FooLsKi • 26 oktober 2022 11:42

Per ongeluk? Ik log ergens in en grijp direct naar mijn telefoon. Zie daardoor niet op mijn scherm dat mijn inlogpoging mislukt omdat er al een MFA prompt staat te wachten maar ik accepteer gewoon de prompt op mijn telefoon.

En sommige mensen denken gewoon niet na, die zien een prompt staan en keuren die gewoon goed.

FooLsKi @Blokker_1999 • 26 oktober 2022 11:47

Zou kunnen, idd. Misschien ben ik een beetje para/te wantrouwend maar ik check altijd of die verzoeken overeenkomen met wat ik doe.

SunnieNL

@FooLsKi • 26 oktober 2022 13:10

Je kunt de verzoeken ook krijgen bij herautenticatie van de mailapp op je telefoon. Dan krijg ik ook alleen de MFA popup.

Mr Game 26 oktober 2022 10:59

Fijne toevoeging! Ik vind de Authenticator sowieso een fijne app vanwege de optie om hem ook als password manager te gebruiken.

FurionStormrage @Mr Game • 26 oktober 2022 11:09

De password manager werkt ook fijn inderdaad, met de sync tussen apparaten ook. Enige waar ik maar niet achter kom is of en wanneer dit ook voor work/school accounts beschikbaar wordt. Hier (vrij ver onderaan) wordt gerefereerd naar een formulier om het te laten inschakelen voor je tenant, maar dat formulier is niet meer beschikbaar.
Zou echt fantastisch zijn als ik dit beschikbaar kon maken voor onze medewerkers.

[Reactie gewijzigd door FurionStormrage op 23 juli 2024 20:37]

SMGGM 26 oktober 2022 11:42

Ik gebruik de app al lange tijd voor het beheren van mijn 2FA sleutels. Waar ik me wel aan stoor is het ontbreken van een sync tussen Android (smartphone) en iOS (iPad).
Daarnaast heb ik al ruim 30+ 2FA random sleutels en het feit dat je die niet in groepen kan opdelen begint me enorm te storen. Een lange lijst waar je enkel door kan scrollen of enkel zoeken is zeer inefficient. Helaas bijna verplicht deze te gebruiken omdat ik op het werk veel gebruik maak van de Microsoft diensten (en daar krijg je notificaties van als je moet aanmelden).

decide1000 @SMGGM • 26 oktober 2022 11:52

Ik gebruik daar Authy voor. Werkt goed en synced tussen apparaten (ook desktop) en heeft encrypted backups.

Andreplusplus @SMGGM • 28 oktober 2022 09:58

Naar welk device moet dan het verzoek gaan? Allemaal? Moet je op je scherm eerst een device kiezen? Wat je wil met sync kan dus niet, en is ook niet logisch.

walteij 26 oktober 2022 10:58

Mooie toevoeging inderdaad. Wat meer uitleg is hier te vinden

laurens0619 26 oktober 2022 11:13

Goede ontwikkeling maar eigen gaan we dus gewoon terug naar OTP. met het enige verschil dat de code nu op de authenticator moet ingevoerd worden ipv het device waar de primiaire authenticatie wordt gedaan.

Sta ik helemaal achter want push mfa was TE gebruiksvriendelijk en kon daardoor snel mis gaan.
Het artikel klopt niet helemaal want er staat: "Voorheen liet Microsoft drie getallen zien waaruit de gebruiker moest klikken, maar vanaf deze week kunnen beheerders ervoor kiezen om gebruikers het getal met cijfertoetsen zelf in te laten vullen."

Dat klopt niet. De enterprise versie heeft nooit de "3 getallen optie" gehad, dat had alleen de particuliere versie.De enterprise versie was wat dat betreft, ironisch gezien, minder veilig.
Aangezien er gesproken wordt over "beheerders" gaat het artikel over de enterprise versie?

XephireUK @laurens0619 • 26 oktober 2022 11:45

Dat klopt niet. De enterprise versie heeft nooit de "3 getallen optie" gehad, dat had alleen de particuliere versie

Vroeg me al af waarom mijn bedrijf die optie niet had geactiveerd. Dit beantwoord die vraag...

Verwijderd @laurens0619 • 26 oktober 2022 13:58

Goede ontwikkeling maar eigen gaan we dus gewoon terug naar OTP.
Ik dacht dat ik de enige was die de ironie zag....
Google Authenticator heeft veel minder ontwikkeling gehad maar is al die tijd nog altijd een veel veiligere oplossing geweest, blijkt dus nu...