Microsoft stopt ondersteuning Authenticator-apps voor Apple Watch

Microsoft ondersteunt vanaf januari 2023 niet meer de Authenticator-applicatie voor Apple Watch, zo blijkt uit een in eind november geüpdatete ondersteuningspagina. Het bedrijf raadt gebruikers aan om de applicatie van hun smartwatch te verwijderen.

Volgens Microsoft is de aankomende versie van de beveiligingsapp voor watchOS 'niet compatibel met Authenticator-beveiligingsfuncties'. Daarom stopt de ondersteuning voor deze versie van de authentiecatieapp. Microsoft blijft de mfa-app wel voor iOS en voor andere andere apparaten ondersteunen.

Op dezelfde pagina raadt Microsoft gebruikers aan om Authenticator van de Apple Watch te verwijderen, aangezien de app het na de aankomende update simpelweg niet meer zou doen. Het bedrijf verwijst naar een ondersteuningspagina van Apple voor instructies.

Microsoft breidde de functionaliteiten van de mfa-app recentelijk uit met onder meer number matching en meer context bij mislukte inlogpogingen. Uit reacties onder de bijbehorende blogpost blijkt dat Apple Watch-compatibiliteit toen al afwezig was.

Update, 21.00 uur: De reden waarom Microsoft de betreffende app niet meer ondersteunt is voor zover mogelijk beter uitgewerkt.

Reacties (106)

balblas 10 december 2022 09:37

Ik vind het altijd verbazingwekkend hoeveel tweakers hier welke actie van MS dan ook wijten aan de strijd tussen MS en Apple, of andere vreemde theorieën.

Het is heel simpel:

MS wil, net zoals Apple dat al doet met 2MFA voor hun AppleID, meer informatie aan de gebruiker tonen m.b.t. de login poging. Dit om te voorkomen dat gebruikers door MFA fatigue simpelweg op 'approve' klikken terwijl zij zelf helemaal niet proberen in te loggen maar een hacker.

Die extra informatie, zoals de locatie waar de inlogpoging vandaan komt, en welke applicatie probeert in te loggen, is simpelweg niet te tonen op het kleine watch scherm. Dat is de enige reden waarom MS er mee stopt.

MFA voor je AppleID gebruikt de watch ook niet. Om precies dezelfde reden. Je kunt Apple ID inlog pogingen alleen goedkeuren op een iPhone/iPad of laptop/desktop met MacOS. En ook dan moet je een nummer invoeren wat op het andere apparaat getoond wordt.

boolean @balblas • 11 december 2022 20:11

Van je verhaal klopt werkelijk helemaal niets, maar toch krijg je een +2 score? Is het niveau op Tweakers zover gedaald dat niemand daar doorheen prikt? Het lijkt wel NU.nl. Het is wel degelijk mogelijk om dat secure te doen. De meest eenvoudige oplossing is nog wel door de huidige Apple MFA implementatie over te nemen. Zelfs al zou je dat niet doen, is het gewoon mogelijk om de gewenste informatie op het scherm van de Apple Watch te tonen.

balblas @boolean • 11 december 2022 21:32

Helemaal niets? Het enige wat niet klopt is dat op de recentere Apple Watches MFA voor AppleIDs wel degelijk goedgekeurd kunnen worden. Dat is verderop in deze thread ook al door mij aangegeven.

Wat klopt er nog meer niet?

mysticyx @balblas • 12 december 2022 16:42

Dat je het niet kan laten zien op het kleine scherm.
Je kan bijvoorbeeld scrollen, of kleinere letters gebruiken.

Luke_msx @balblas • 10 december 2022 10:46

Dat laatste is niet correct. Apple’s MFA werkt precies andersom: je krijgt, na het toestaan van de inlogpoging een code op je device, en die moet je intypen op je computer om in te loggen. En dat werkt wel degelijk ook met een Apple Watch.

Ik gebruikte het voor AAD ook veelvuldig op mijn Watch en vind het dan ook jammer dat Microsoft hier niet beter over nagedacht heeft.

[Reactie gewijzigd door Luke_msx op 22 juli 2024 15:08]

balblas @Luke_msx • 10 december 2022 14:18

Je hebt gelijk. Op recente Apple watch werkt het zo. Wellicht dat MS in een later stadium ook weer watch gaat ondersteunen, met een map en een nummer.

Er zal vast een reden zijn waarom ze dat nu (nog) niet doen.

supersnathan94

Apple

@balblas • 10 december 2022 11:48

Ja leuk, maar I don’t care.

Ik gebruik ms authenticator al jaren voor simpele codes en werkt altijd prima. De interface komt uit het jaar kruik en UX is ver te zoeken. Toevoegen van nieuw accounts is bijvoorbeeld helemaal niet duidelijk en labelen of groeperen van zaken kun je vergeten.

En nu geven ze ineens wel om usability?

MS wil, net zoals Apple dat al doet met 2MFA voor hun AppleID, meer informatie aan de gebruiker tonen m.b.t. de login poging. Dit om te voorkomen dat gebruikers door MFA fatigue simpelweg op 'approve' klikken terwijl zij zelf helemaal niet proberen in te loggen maar een hacker.

Ja leuk, maar mag ik die keuze zelf maken? Ik wordt niet mfa moe. Nooit. Gaat gewoon niet gebeuren, zelfs niet met een werk account.

Dus ik hoef geen locatie te zien op een kaartje (die toch al nooit klopt, want IP vanuit ISP staat in Amsterdam en daar woon ik niet) of een uitgebreide samenvatting van zaken.

Als ik geen mfa request verwacht is het antwoord altijd nee en wijzig ik dat wachtwoord gewoon direct.

MS zou zich niet zo verantwoordelijk moeten voelen voor problemen die gewoon echt simpel user error zijn.

balblas @supersnathan94 • 10 december 2022 14:26

Hack pogingen komen meestal uit obscure locaties, vaak niet uit Amsterdam.
Dus als een gewone gebruiker een request ziet uit Rusland, of een Aziatisch land denkt die hopelijk twee keer na voordat-ie op approve klikt.

Daarnaast gaat het niet om jou alleen. Niet iedereen is zo perfect en zich bewust van hoe MFA werkt en waar je op moet letten. Als je weet hoeveel schade bedrijven lijden aan ransomware en andere attacks is de keuze tussen het kleine ongemak waar jij en anderen zich blijkbaar zo aan storen of het risico lopen om gehackt worden gauw gemaakt.

Bijna zonder uitzondering is er geen sprake van zero trust policy als bedrijven gehackt worden en gebruiken de hackers een deurtje wat nog open stond omdat de beheerder, en net zo vaak het management, het te omslachtig of te ingewikkeld vonden om de boel goed dicht te spijkeren. Totdat het een keer fout gaat, en dan heeft IT het gedaan, of de leverancier.

supersnathan94

Apple

@balblas • 10 december 2022 18:21

Als je weet hoeveel schade bedrijven lijden aan ransomware en andere attacks is de keuze tussen het kleine ongemak waar jij en anderen zich blijkbaar zo aan storen of het risico lopen om gehackt worden gauw gemaakt.

Door de klant ja! Die heeft er immers beheerders voor die ook getraind en certified zijn. Laat die lekker de keuzes maken in samenspraak met de security officers.

balblas @supersnathan94 • 10 december 2022 20:58

Wie zegt dat elke klant zulke medewerkers heeft. Dat is helemaal niet het geval. Er zijn juist zat mkb klanten die geen echte beheerders in dienst hebben en ook geen externe partijen naast MS die hen ondersteunt.

supersnathan94

Apple

@balblas • 11 december 2022 13:49

Als je geen echte beheerders hebt dan neem je het af in de vorm van Azure AD en dan is MS in principe de beheerder, dan soort van fair enough. Maar dan nog kan MS dit gewoon ondersteunen op de Apple Watch. Het zijn drie regeltjes tekst en een pin pad. Zo moeilijk is het niet toch?

En als een hack poging niet uit amsterdam gaat komen kun je ook gewoon een user instelling laten maken of iemand log ins van buiten de EU of NL überhaupt toestaat.

Cergorach @supersnathan94 • 10 december 2022 12:48

Ja leuk, maar mag ik die keuze zelf maken?

Nope. You're not perfect, sport.

nomad_ @supersnathan94 • 10 december 2022 13:19

Joe, al die "user errors" die in compromised organisaties resulteren stralen wel wat lullig af op Microsoft natuurlijk

Verder is het gewoon de verantwoordelijkheid van het bedrijf dat ze doet wat nodig is om haar klanten (tegen zichzelf) te beschermen, en dit is daar onderdeel van net zoals bijv passwordpolicies.
Dat jij nou zo'n ontzettende goeroe denkt te zijn wil niet zeggen dat dat Microsoft daarom het risico kan nemen voor al haar andere klanten.

Wat mij betreft een logische actie, die er wellicht ook mee te maken heeft dat men gemerkt kan hebben dat een smartwatch er voor zorgt dat men minder doordacht op akkoord klikt.

edit: typos

[Reactie gewijzigd door nomad_ op 22 juli 2024 15:08]

supersnathan94

Apple

@nomad_ • 10 december 2022 18:20

Maar laat het bedrijf wat de implementatie doet daar dan wat van vinden.

Nu lever je veel in op usability, maar heeft de directe klant er totaal geen invloed meer op.

Dat jij nou zo'n ontzettende goeroe denkt te zijn wil niet zeggen dat dat Microsoft daarom het risico kan nemen voor al haar andere klanten.

Misschien moet het dan haar klanten inlichten en adviseren bepaalde zaken strenger te zetten?

Nu krijg ik namelijk nog gewoon sms codes opgestuurd (kan geen app gebruiken) voor bepaalde zaken, waar je dan weer juist wel dit soort spul voor wil gebruiken en kan ik weer geen sms gebruiken voor iets simpels.

Cergorach @supersnathan94 • 10 december 2022 20:56

Je doet alsof een 'bedrijf' wel spontaan de juiste keuzes maakt. En al die berichten hier op Tweakers.net over bedrijven die gehacked zijn er natuurlijk eigenlijk ook niet... Fake news?

Bij bedrijven werken ook gewoon ITers van wisselende kwaliteit (een certificaatje zegt eigenlijk vrij weinig). En MS licht hun klanten al prima in, berichten in de admin interface, in de documentatie, soms zelfs nog apart via de email. Is MS perfect? Verre van, maar dit soort ongein geeft MS netjes advies over. En nog steeds wordt dat niet, verkeerd of pas veel te laat opgevolgd. Dat zijn geen uitzonderingen, dat is de regel.

En laat ik mezelf niet vergeten: Ik weet van deze functionaliteit al sinds de introductie in public preview (begin van dit jaar), met de gedachte "Dat is wel handig en belangrijk, zeker aanzetten wanneer het uit public preview komt!" Nu heeft mijn eigen tenant maar 1 gebruiker (me), maar ik heb het net pas aangezet, terwijl het allang uit public preview is...

LNDRS @supersnathan94 • 11 december 2022 21:55

Ik vind het ook bizar dat Microsoft de keuze ontneemt. Je kunt gewoon default dit uitzetten maar als admin de mogelijkheid geven dit weer toe te staan.

Je kunt toch ook die number matching andersom laten gebeuren.. stuur een code naar de apple watch en laat die invullen op je apparaat waarop je inlogt, zoals die time based tokens.

Vorkie @balblas • 10 december 2022 10:43

Betreft het laatste stuk;

Ik kan via mijn Apple Watch 7 gewoon approven en krijg een nummer te zien die ik moet invoeren.

Bij de 3 kreeg ik dit niet.

GekkePrutser 9 december 2022 20:32

Volgens Microsoft is de aankomende versie van Authenticator 'niet compatibel met authenticatorbeveiligingsfuncties'.

Euh wat een rare uitspraak. Een authenticator app is niet compatibel met authenticatorbeveiligingsfuncties?? Wat moet het anders doen dan? Authenticatie en beveiliging zijn de primaire functies ervan.

Dit is of een extreem kromme vertaling uit het Engels, of een expres vage beschrijving om het daadwerkelijke probleem te verbloemen. Edit: In het Engels is het net zo onduidelijk dus het zal het laatste wel zijn.

Wat is er nu echt aan de hand?

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 15:08]

ericje627 @GekkePrutser • 9 december 2022 20:47

Microsoft heeft de keuze gemaakt om multi-factor authenticatie met number matching de standaard te maken. In ieder geval voor de zakelijke omgevingen (waar Azure AD achter zit).

Number matching is a key security upgrade to traditional second factor notifications in Microsoft Authenticator. We will remove the admin controls and enforce the number match experience tenant-wide for all users starting February 27, 2023.

Dit is een vorm waarbij je, naast goedkeuring geven, een getal moet invoeren dat je op je beeldscherm te zien krijgt. Daarnaast worden de authenticatie-verzoeken steeds uitgebreider qua informatie, zoals de applicatie waarop je in probeert te loggen of de locatie vanwaar het verzoek komt. Dit alles met als doel om de kans dat iemand een vals verzoek tot goedkeuring, alsnog toestaat, zo klein mogelijk te maken. Bijvoorbeeld in het geval dat een aanvaller probeert in te loggen met een geldige gebruikersnaam/wachtwoord combinatie.

De 'klassieke' notificatie bevat namelijk te weinig informatie om als gebruiker te kunnen bepalen of je een legitiem aanmeldingsverzoek goedkeurt. Het is alleen een ja/nee vraag waarbij het tijdstip een indicator is.

De notificaties die Microsoft in zijn Authenticator app op een iPhone laat zien, inclusief al die details, worden niet ondersteund op een Apple Watch. De functionaliteit om getallen in te geven zal dus ook niet optimaal werken.

In een eerdere aankondiging heeft Microsoft het volgende gezegd:

Apple Watch will remain unsupported for number matching. We recommend you uninstall the Microsoft Authenticator Apple Watch app because you have to approve notifications on your phone.

Microsoft lijkt dus ook niet van plan om een workaround voor de Apple Watch te maken en verwijst gebruikers naar de app op hun telefoon. Ik vermoed omdat ze daar meer vrijheid hebben in het vormgeven van de notificaties, ook voor toekomstige aanvullende functies.

[Reactie gewijzigd door ericje627 op 22 juli 2024 15:08]

Cergorach @ericje627 • 9 december 2022 22:34

Microsoft heeft de keuze gemaakt om multi-factor authenticatie met number matching de standaard te maken. In ieder geval voor de zakelijke omgevingen (waar Azure AD achter zit).

Het is niet langer alleen 'standaard', maar na de documentatie update van gister gaan ze het dus forceren bij alle AADs. De controls om het aan te passen worden er zelfs uitgesloopt. Zo een drastische aanpassing van de documentatie moet een onderliggende reden hebben... We weten al een tijdje van MFA phishing attacks, maar wellicht dat er nu meer aan de hand is en dat een interactieve userinteractie nodig is (handmatig nummer in toetsen)...

Dutch2007 @Cergorach • 10 december 2022 00:47

Heb je daar een link van/voor toevallig?

Gaan ze ook SMS/Phone er uit slopen? Of is dit alleen voor de app?

pleuris @Dutch2007 • 10 december 2022 12:02

Ik zie dit staan bij Passwordless authenticatie met de Microsoft Authenticator:
https://learn.microsoft.com/en-us/azure/active-directory/authentication/how-to-mfa-number-match
Er was al langer een waarschuwing dat de Microsoft Authenticator gevoelig is voor phishing en dat FIDO2, WHfB en Smartcards een veiligere optie is. Dat zie je ook terug in de nieuwe conditional access mogelijkheden die op dit moment nog in public preview zijn.

Zover ik verder kan lezen in de documentatie veranderd er niets als je de Authenticator gebruikt voor multi-factor authentication en als Passwordless nog in je tenant is uitgeschakeld op je gebruikers.

GertMenkel

Microsoft

@ericje627 • 9 december 2022 20:57

De notificaties die Microsoft in zijn Authenticator app op een iPhone laat zien, inclusief al die details, worden niet ondersteund op een Apple Watch. De functionaliteit om getallen in te geven zal dus ook niet optimaal werken.

Wat is de beperking precies? Als ik op internet zoek naar meldingen die apps kunnen geven op WatchOS zie ik volledige tweets staan. Drie buttons toevoegen waar de gebruiker uit moet kiezen lijkt me ook niet echt onmogelijk.

Zer0 @GertMenkel • 9 december 2022 22:26

Drie buttons toevoegen waar de gebruiker uit moet kiezen lijkt me ook niet echt onmogelijk.

Dat is de oude variant, die nieuwste versie vereist dat de gebruiker het getal intikt.
Why is my user prompted to tap on one out of three numbers instead of entering the number in their Microsoft Authenticator app?
Older versions of Microsoft Authenticator prompt users to tap and select a number instead of entering the number in their Microsoft Authenticator app. These authentications won't fail, but we highly recommend that users update to the latest version of the app to be able to enter the number.
https://learn.microsoft.c...crosoft-authenticator-app

GertMenkel

Microsoft

@Zer0 • 9 december 2022 23:05

Het intypen van tekst kan op WatchOS toch ook wel? Ik kan op mijn Tizen-smartwatch hele alinea's typen dus het lijkt me gek als je dit op iOS niet zou kunnen doen.

JBVisual @GertMenkel • 9 december 2022 23:32

“Account xxx” wilt inloggen met “app yyy” op “locatie zzz” is best veel informatie.
Als je dan ook nog een nummer moet overtikken is het scherm echt aan de kleine kant.

Al vind ik het erg jammer dat de ondersteuning gestopt wordt, graag had ik gezien dat MS een alternatief had bedacht hiervoor.

Mede omdat je misschien wel sommige organisaties naar een andere MFA toe forceert op deze manier.
(Ik zeg organisaties omdat beheerders het toe moeten staan om een alternatieve MFA app te mogen gebruiken)

GertMenkel

Microsoft

@JBVisual • 9 december 2022 23:38

Als dit op WatchOS past, kan zo'n melding ook wel.

Nu ik nog een keer kijk lijkt het er wel op dat in tegenstelling tot Samsung de mogelijkheden tot input erg beperkt zijn bij WatchOS. Voorstellen, dictatie, en typen vanaf een iPhone, dat lijken je opties. Als dat inderdaad de beperking is, snap ik dat MS aangeeft dat je net zo goed je iPhone kan gebruiken, je zit tenslotte de code daar toch op in te tikken. Ik vind het wel een rare beperking.

Yggdrasil

@GertMenkel • 12 december 2022 10:33

Je kan ook schrijven met je vingers. Maar het is allemaal niet zo makkelijk als op een knopje drukken natuurlijk.

GertMenkel

Microsoft

@Yggdrasil • 12 december 2022 15:54

Exact, en op mijn Samsunghorloge verschijnen er gewoon knopjes rond het invoerveld waarmee je eenvoudig een nummer kan intypen.

Ik weet niet precies hoe ze het doen maar ik kan zelfs redelijk betrouwbaar tekst intypen vanaf hun QWERTY-toetsenbord. Toen ik dat voor het eerst zag moest ik even lachen omdat het zo absurd klein was, maar ze hebben iets heel knap gedaan om op zo'n klein scherm toch nog precieze invoer te krijgen. Het verbaast me een beetje dat Apple dit niet voor elkaar heeft gekregen.

logix147 @JBVisual • 10 december 2022 00:01

Best jammer want ik gebruik dit dagelijks. Op mijn MacBook kan ik ook gewoon “in en uitloggen” - DUO werkt gelukkig nog wel via m’n Watch.

MS heeft al enige tijd hit en mis dat je de 2FA correct door kunt melden zonder telefoon.

Is er dus eindelijk de 4G Apple Watch, gooit MS de deur dicht als je dus je telefoon niet bij de hand hebt.
Soms ligt die van mij nog in de auto houder en wandel ik snel naar binnen om iets af te geven. Als ik dan een vraag krijg kan ik op m’n tablet inloggen: daarvoor is een 2FA stap als ik klantgegevens moet hebben. Dan kan ik dus naar de auto voor m’n telefoon te pakken… jammer dat ze hier dit zo laten vallen.

Zer0 @JBVisual • 10 december 2022 01:26

Mede omdat je misschien wel sommige organisaties naar een andere MFA toe forceert op deze manier.
(Ik zeg organisaties omdat beheerders het toe moeten staan om een alternatieve MFA app te mogen gebruiken)

Dat zal wel meevallen, organisaties die MS MFA gebruiken zitten al met andere zaken op Azure/MS365, en krijgen deze functionaliteit er "gratis" bij. Die zullen niet zo gauw extra gaan betalen voor een extra MFA oplossing omdat er een paar gebruikers hun smartwatch niet meer kunnen gebruiken, daar zijn zwaarder wegende argumenten voor nodig.

SunnieNL

@Zer0 • 10 december 2022 09:27

En hoeveel mensen binnen een organisatie gebruiken de authenticator app op hun Apple Watch?
Ik denk dat dat nog geen 1% is van de medewerkers binnen een gemiddeld bedrijf.
99% van de mensen gebruiken hun telefoon.

JBVisual @SunnieNL • 10 december 2022 10:45

Er zijn meerdere grote organisaties waar ik IT dienstverlening doe waarin alle medewerkers een MacBook, IPhone en Apple-Watch hebben.
Maar vervolgens wel al hun e-mail infrastructuur en klantsystemen in azure/Microsoft365 hebben draaien.

logix147 @SunnieNL • 10 december 2022 12:46

Ligt aan je bedrijfs IT beleid, maar er zijn meer Apple Watches dan Microsoft Watches (0) of Android watches… het is niet dat ze met een alternatief komen, terwijl het gewoon een pop-up is die je met ja of nee kan beantwoorden. Zo werkt DUO ook. 2FA codes kan ik ook snel ervan aflezen dus ik zal het wel missen.

whitefox @logix147 • 10 december 2022 13:14

Number matching werkt precies andersom. Je krijgt de code tijdens het inloggen en moet die code invullen in de app.

supersnathan94

Apple

@JBVisual • 10 december 2022 11:55

“Account xxx” wilt inloggen met “app yyy” op “locatie zzz” is best veel informatie.
Als je dan ook nog een nummer moet overtikken is het scherm echt aan de kleine kant.

Veel? Dat is letterlijk drie regeltjes tekst!

Ik kan hele whatsapp epistels lezen op m’n watch series 2 en daar op reageren met een ander epistel of zeshonderd mogelijke smilies die ik aan kan tikken, maar MS kan geen drie regels tekst tonen en 3 knoppen met getallen?

supersnathan94

Apple

@Zer0 • 10 december 2022 11:51

Dat is de oude variant, die nieuwste versie vereist dat de gebruiker het getal intikt.

Ja euh waar hebben we het over? Ik doe dat elke ochtend als ik m ontgrendel. Gewoon met pin keyboard.

Er is geen enkele reden waarom je geen invoer zou kunnen “vragen” als reactie op een notificatie. Kan dan zelfs via speech to text.

Tom Paris @ericje627 • 9 december 2022 20:49

Dit is exact de achterliggende reden idd. Slecht dat dit niet in het artikel genoemd wordt.

Auteur

YannickSpinner Redacteur @Tom Paris • 9 december 2022 20:54

Dit staat in de laatste alinea

Caelorum @YannickSpinner • 9 december 2022 22:23

Ja, nee. Er staat dat MS deze toevoeging heeft gedaan en dat gebruikers erachter zijn gekomen dat de Apple Watch daarin niet wordt ondersteund. Er staat niets over de reden waarom MS deze update heeft gedaan en belangrijker waarom de Apple Watch dus niet ondersteund kan worden (aldus MS). En die combinatie is mogelijk de directe reden waarom de ondersteuning gestopt wordt.

Ik had het in ieder geval niet uit die alinea gehaald.

[Reactie gewijzigd door Caelorum op 22 juli 2024 15:08]

juroz1980 @Caelorum • 10 december 2022 00:05

Is er ook een alternatief beschikbaar waarbij het wel kan. Bijvoorbeeld google authenticator.

Laurens-R @juroz1980 • 10 december 2022 01:25

Dat is geen alternatief voor enterprise omgevingen die op Microsoft 365 draaien.

Werelds

@GekkePrutser • 9 december 2022 20:37

Hoezo is dat onduidelijk in het Engels?

A: In the upcoming Authenticator release in January 2023 for iOS, there will be no companion app for watchOS due to it being incompatible with Authenticator security features.

"It" verwijst hierbij naar watchOS. WatchOS ondersteunt blijkbaar dus iets wat Microsoft nodig heeft, niet. Denk aan hardwarematige encryptie of iets dergelijks.

Cergorach @Werelds • 9 december 2022 20:45

WatchOS is incompatible met (bepaalde beveiligingsfuncties op) de MS Authenticator app. Du ipv. een half bakken MS Authenticator app op WatchOS, dan maar geen app. Dat vind ik vanuit een zakelijk (security) perspectief heel erg goed van MS!

Verwijderd @Cergorach • 9 december 2022 20:48

misschien maar ik zou dit alleen zeggen als duidelijk zou zijn dat WatchOS een dergelijke functie voorlopig niet zal kunnen of gaan ondersteunen.

Anders zou ik als MS zijnde gewoon urgentie vragen richting Apple van 'yo fix het ff'.
Zou dus betekenen dat Apple het niet kan of wil. Voorlopig.

Cergorach @Verwijderd • 9 december 2022 22:08

De verhouding tussen MS en Apple is historisch... Weird! Ze hebben er een handje van om elkaar de schuld te geven van lopende issues op bepaalde OS updates en/of applicatie updates.

Het zou me niets verbazen dat de Apple watches gewoon niet de hardware aan boord hebben om te kunnen wat MS wil. Dus is het nergens voor nodig dat MS het aan Apple vraagt. MS zet zo Apple een kleine veeg door een hint te geven dat WatchOS niet geschikt is voor secure oplossingen. Ik heb zo een vermoede welke veranderingen dat zijn in de MS Authenticator app en het zou zowaar wel eens heel belangrijk kunnen gaan worden de komende tijd... (ik heb geen details, so don't ask!

)

logix147 @Cergorach • 10 december 2022 00:03

Fix it - don’t break it zou beter zijn. Ja Apple moet meewerken, maar ja Microsoft mag dan ook duidelijker uitspreken dat dit dan bij Apple zou liggen.

Ik kan me niet voorstellen dat het onveilig is aangezien DUO bijvoorbeeld wel prima erop werkt.

Cergorach @logix147 • 10 december 2022 12:53

Maar hoe meer je in detail gaat, hoe groter de discussie wordt van waarom wel/niet. Dat zie je nu al op basis van simpele (en vaak verkeerde) speculatie...

Hoe snel is de overheid (DUO) met zaken secure maken en houden? Hoe snel worden er technische wijzigingen doorgevoerd en geïmplementeerd bij de overheid?

logix147 @Cergorach • 10 december 2022 15:45

DUO is een 2FA applicatie… ook de dienst onderwijs..maar ik bedoel de duo als app niet overheid

[Reactie gewijzigd door logix147 op 22 juli 2024 15:08]

Cergorach @logix147 • 10 december 2022 17:14

Ah... Zo te zien hebben zij Verified Duo Push (wat het equivalent is wat MS nu gaat forceren):
https://duo.com/docs/policy#verified-push

En ook daar geven ze geen support voor op een Apple Watch volgens de documentatie. Bepaalde MFA functionaliteit werkt wel op een Apple Watch, maar dit lijkt er niet een van te zijn...

De DUO waar jij het over hebt is van Cisco (die kon ik nog niet).

Note: Ik zag een paar hele mooie screenshots waarbij de inlogpoging heel duidelijk werd omschreven waar, met wat, etc. Dat zou al een heleboel schelen bij MFA misbruik, maar imho slechts een stukje bandage, Verified Duo Push zou imho de standaard moeten zijn!

GekkePrutser @Cergorach • 10 december 2022 03:52

Nouja die app is er toch al? Dus wat er ontbrak was duidelijk eerst geen probleem. Jammer dat er geen openheid van zaken wordt gegeven.

SuperDre @Cergorach • 9 december 2022 21:04

OF je kunt stellen dat WatchOS niet veilig genoeg is en je dus vanuit zakelijk perspectief beter die Apple watch kunt ditchen.

Auteur

YannickSpinner Redacteur @GekkePrutser • 9 december 2022 20:52

Ik heb de Nederlandse supportpagina van Microsoft gebruikt waar de letterlijke quote (minus een verbindingsstreepje) vandaan komt. In de Engelse versie gebruiken ze daarentegen een hoofdletter; dan staat er 'Authenticator-functies'. Dat is een stuk duidelijker. Dit heb ik aangepast. Dank voor de feedback!

Cergorach @YannickSpinner • 9 december 2022 22:12

Meerdere bedrijven hebben een authenticator app, ik kan me nog voorstellen dat er onduidelijkheid is of het een Apple of MS authenticator app betreft. Ik kan me zelfs voorstellen dat sommige denken dat het over een API gaat...

Wellicht duiidelijker zou zijn "Microsoft Authenticator app beveiligingsfuncties"...

grrfield @GekkePrutser • 9 december 2022 21:44

Wat is er nu echt aan de hand?

MS en gebeten Apple zijn geen goede vrienden en vechten elk voor hun markt?

Keypunchie

Apple

@grrfield • 9 december 2022 23:29

Heeft Microsoft een watch, dan?

Zie het niet zo, anders hadden ze de functie in de eerste plaats niet ontwikkeld.

Ik vind het jammer want gebruikte de functionaliteit met plezier.

ASS-Ware 9 december 2022 20:59

Jammer, ik hoef bij het maken van de vpn naar mijn opdrachtgever alleen maar te tappen op mijn Apple Watch.
Vanaf januari niet meer ☹️

pjlgt @ASS-Ware • 9 december 2022 21:20

Dat is toch ook de reden dat MS de manier van authenticeren aanpast? Men geeft zonder te kijken of na te denken akkoord. Dus vind het wel logisch dat dit niet meer op deze manier ondersteund word op een AW.

ASS-Ware @pjlgt • 9 december 2022 21:59

Dat is toch ook de reden dat MS de manier van authenticeren aanpast? Men geeft zonder te kijken of na te denken akkoord. Dus vind het wel logisch dat dit niet meer op deze manier ondersteund word op een AW.

Wat een gekke aanname.
Ik geef alleen akkoord als ik weet dat ik de vpn start.

HakanX @ASS-Ware • 9 december 2022 22:34

Het gaat om -man in the middle- aanvallen. (Niet persoonlijk:) Jij start de vpn verbinding, een reeds op je computer aanwezige mallware doet onzichtbaar iets anders waarvoor akkoord nodig is > jij tikt op je horloge zonder te kijken > mallware kan elders inloggen of akkoord krijgen. Het kan ook zonder mallware, met social engineering en scam calls.

ZwolschBalletje @ASS-Ware • 9 december 2022 22:44

Jij wel, maar de meeste gebruikers van de Authenticator app zijn geen Tweakers. Ze zijn voorgeprogrammeerd in hun verwachtingspatroon: hoe vaak heb jijzelf al op “weigeren” gedrukt?

Veel gebruikers snappen niet 100% van wat zo’n app doet, zeker niet als ze die van hun baas moeten installeren. Dat zijn de mensen die eraan gewend raken: “de authenticator app komt met een melding, en die moet ik goedkeuren want dat is belangrijk voor de veiligheid”.

Dat gat probeert MS nu te dichten door meer details te geven waardoor een gebruiker bij misbruik eerder zal denken: “hè, da’s vreemd?!”

Het toevoegen van het verplicht overtypen van een code (hoe 2010 dat ook is), voegt een beveiliging toe tegen onbedoeld akkoord geven. En als MS dat niet fatsoenlijk geïmplementeerd krijgt op een smartwatch, dan is dat eigenlijk voor de doorsnee niet-Tweaker winst. Goedkeuring geven om in te loggen is geen casual handeling die je even op je horloge swipet, daar moet je even wat voor doen.

Daoka @ASS-Ware • 9 december 2022 22:59

Het is geen gekke aanname. Dit gebeurt gewoon in de praktijk. Het is gewoon een vorm van automatische actie als je iets herkenbaar ziet. Vooral als het toevallig op een moment is waar je even niet goed oplet. Je zit in een gezellige gesprek of op een feestje (met een paar biertjes op) en geeft even snel goedkeuring. Of je bent (druk) op het werk en omdat daar de melding zo gewoon is dat je er niet aan denkt dat je de goedkeuring zelf niet gevraagd hebt. De automatisme is bij genoeg mensen gewoon zo groot dat dit dus wel echt in de praktijk voorkomt.

Simpel voorbeeld bij mijzelf (al is het geen authenticator voorbeeld). Op een dag had ik veel mijn telefoon gebruikt om steeds kleine notities te maken en moest dus steeds mijn telefoon ontlocken met mijn vinger. Een paar een later ging ik weg en wilde ik mijn telefoon pakken om in mijn zak te doen. Het eerste wat ik deed was de telefoon ontlocken met mijn vinger terwijl dit dus geen eens nodig was. Gewoon een automatische piloot moment.

Scriptkid @ASS-Ware • 9 december 2022 23:25

Dat is nu juist het hele ding van een moderne aanval,

Als jij inlogt en auth en ik het comntrole over je systeem doe ik dat ook tegelijk aan mijn kant,

jij denkt dat je het zelf bent dus geeft akkoord , worse case 2 keer achter elkaar en ik ben akls redhead binnen op een admin account en kan spelen wat ik wil,,

Bij de nieuwe methode gaat men mfa fetigue tegen door alle info door te sturen en extra numer verificatie systeem ala OTP ,

Je ziet dus dat er vanuit rusland bijvoorbeeld een inlog poging is op je MFA app dus dan moet je even na gaan denken dat dat niet jouw login is. Daarnaas ook al keur jij hem goed je moet nogsteeds de cijfers door geven en die weet de aanvaller niet. hij krijgt vooor zijn sessie nl andere cijfers

ASS-Ware @Scriptkid • 10 december 2022 13:42

Dat is nu juist het hele ding van een moderne aanval,

Als jij inlogt en auth en ik het comntrole over je systeem doe ik dat ook tegelijk aan mijn kant,

Dat is dan toch niet anders dan wanneer ik het akkoord geef op mijn telefoon?

Scriptkid @ASS-Ware • 10 december 2022 20:06

Jawwl want daar moet je challnge code door geven en kun je zien wat het source ip en welke app het is.

Je moet even kijken naar de 'nieuwe '
authenticater app en functies

Aloys Riswick @pjlgt • 9 december 2022 21:24

Je kan nu ook op je mobiel op "Approve" duwen zonder je telefoon te ontgrendelen. Dus niet echt een verschil.

Cergorach @Aloys Riswick • 9 december 2022 22:17

Een hoop bedrijven en ITers zijn bezig om dat aan te passen naar geforceerde number matching.

Bron:
https://learn.microsoft.c...n/how-to-mfa-number-match

Number matching is a key security upgrade to traditional second factor notifications in Microsoft Authenticator. We will remove the admin controls and enforce the number match experience tenant-wide for all users starting February 27, 2023.
We highly recommend enabling number matching in the near term for improved sign-in security.

Ze gaan het dus per 27 februari 2023 geen keuze meer zijn van de beheerder/organisatie, maar het gaat standaard geforceerd worden. Als je IT organisatie de ruimte kan creëren om het nog voor de kerstvakanties te implementeren/communiceren, zou ik dat zeer adviseren ipv. wachten tot eind februari...

pjlgt @Aloys Riswick • 9 december 2022 21:28

Nog wel. De number matching manier word de standaard.

r2504 @ASS-Ware • 9 december 2022 23:32

Bij mij werkt het al enkele maanden niet meer... eigenlijk sinds ik in de Authenticator app op de telefoon zelf de kaart zie van m'n login locatie (voor zover dat zinvol is aangezien het soms bijna de andere kant van het land aangeeft). Ik krijg die kaart ook nog wel te zien op m'n Apple watch en kan bevestigen... maar daar stopt het dus (krijg dan de melding dat ik m'n scherm moet actief houden of zoiets).

Spijtig want ik vond het enorm handig... nu is het constant de telefoon erbij nemen.

macfreak1306

9 december 2022 20:49

Jammer dit, ik maakte best wel veel gebruik van de Watch app. Wederom een bedrijf die de Watch laat vallen...

OkselFris @macfreak1306 • 9 december 2022 22:04

Dat is nogal dramatisch. ten behoeve van de veiligheid ruilt MS push notifications in voor number matching, wat niet werkt op een watch. Meer niet.

r2504 @OkselFris • 9 december 2022 23:39

Waarom zou number matching niet werken op een watch... de watch app zou ook het nummer kunnen vragen (net zoals het dat doet als je je watch moet unlocken) maar blijkbaar vind men dat bij Microsoft teveel moeite om te implementeren.

Shamalamadindon @r2504 • 10 december 2022 08:24

Omdat het netto over heel veel informatie gaat.

https://learn.microsoft.c...ion-with-number-match.png

- Bedrijfsnaam
- Mail
- App
- Locatie met kaart
- Invoer number match
- Weiger/akkoord knop

aaten @Shamalamadindon • 10 december 2022 09:47

Waarbij bedrijfsnaam, mail en de kaart overbodig zijn.

Ze proberen iets te voorkomen wat eigenlijk niet voorkomt en in dat geval kloppen de gegevens al dus sla je daar niet op aan.
Kaart is onzin omdat ze ook eisen dat je op veel zaken inlogt via een stepping stone, op basis van de kaart zou je elke inlogpogingen moeten weigeren aangezien je daar niet bent. Daarnaast wordt in veel bedrijven gebruik gemaakt van een vpn waarmee je ook op een andere locatie zit dan waar je bent.

Een getalletje afbeelden op een Watch gaat prima, dan vul je die in op het systeem waar je in wil loggen en ben je er ook. Automatisme geloof ik niet in, hoe vaak in de praktijk moet je vaker in een korte periode via de app een inlog goedkeuren? Dat zou alleen in heel specifieke gevallen zo moeten zijn.

r2504 @Shamalamadindon • 11 december 2022 11:04

Locatie met kaart krijg ik trouwens reeds te zien op m'n Apple watch, ook de weiger/akkoord knop... en number match (wat bedrijfsnaam, mail en app wat mij betreft overbodig maakt) kan geen probleem zijn om in te geven.

KeesAlderlieste @macfreak1306 • 9 december 2022 21:45

Hoe dan? 't werkte alleen (bij mij tenminste) als je telefoon unlocked was, en als je die dan toch in je handen hebt kon je 't net zo goed daar doen. De watch app voegde dus gewoon niks toe

macfreak1306

@KeesAlderlieste • 11 december 2022 16:55

Het heeft een tijdje ook niet gewerkt bij mij, maar op een gegeven moment werkte het wel. Volgens mij ging het bij mij vooral nog wel eens mis bij het account van mijn universiteit, maar voor mijn persoonlijke outlook account, dat ik passwordless heb gemaakt, werkte het heerlijk. Eens, zoveel extra tijd en moeite kost het niet om mijn telefoon te pakken, en voor andere diensten moet ik alsnog mijn telefoon pakken, maar ik vond het wel makkelijk

rob3rt 9 december 2022 21:27

ze boden dus wel ondersteuning aan voor de apple watch maar niet voor een android watch (zoals de galaxy4/5/pixel), dat is pas raar.

DigitalExorcist @rob3rt • 9 december 2022 22:13

Aangezien Samsung en Google nog niet eens weten wélk OS ze op smartwatches moeten gaan draaien (Wear? Tizen?) snap ik dat wel.

Loather 9 december 2022 20:59

Nou heeft die functionaliteit van nummer matchen het eigenlijk nooit zo lekker gedaan op de watch. Ik moest dan altijd toch weer de telefoon erbij pakken, dus ja, fijn dat ze het niet werken nu officieel verklaren.

Rumpelstiltskin 9 december 2022 21:19

Heel jammer. Gebruik het vrijwel dagelijks. Had juist het idee dat ms het verbeterd had. Bijna geen verbindingsproblemen meer….

m.z 9 december 2022 23:24

Als me niet vergis, werkt dit al jaren niet meer Android smartwatches? Met name door numbermatching?

DEVegg

@m.z • 9 december 2022 23:32

Ik ben hier aan het testen met numbermatching. Inderdaad werkt dit niet op de Apple watch app. Ik vroeg mij al af of MS dit zou gaan oplossen. Blijkbaar kiezen ze ervoor om het niet meer te ondersteunen. Best jammer, want het gebruik van de watch is best ok.

WhatsappHack

Apple
Apple Watch
Smartwatches

10 december 2022 03:47

Kan je niet BYOA doen dan? Ben niet anders gewend dan in te loggen met een eigen Authenticator app (die wél werkt met de Watch. En offline.); ook voor het inloggen op Microsoft accounts.

Moortn

@WhatsappHack • 10 december 2022 10:18

Het lijkt me dat TOTP apps, waar je die ook op draaien, gewoon blijven werken. Waar number matching nu nog een optie is bij push notificaties in de Microsoft Authenticator app, is dat straks verplicht. Omdat het om welke reden(en) dan ook niet werkt op de watch kan je deze methode straks niet meer gebruiken op de watch. Number matching is een oplossing voor een probleem wat niet speelt bij TOTP.

Als ik de documentatie van Microsoft bekijk gaat het heel specifiek over de Microsoft Authenticator en de optie voor push notificaties. Bij de overige methoden lees ik niks over het beeindigen van support.

Verwijderd 10 december 2022 10:54

Eindelijk gaan ze het standaardiseren. Het feit dat Azure MFA geen enkele relatie had met een actie of zelfs geen info gaf over de aanmeld poging, was de reden waarom wij onze klanten altijd een alternatieve authenticatie provider voorstelden.

Het grootste nadeel van Azure MFA lossen ze nu op, gebruikers die hun werkstation aan laten staan tijdens de lunch en dan tijdens het lunchen een MFA prompt kregen en gewend werden om die te accepteren omdat ze anders niet doorhadden dat hun Outlook niet meer verbonden was. Nu kunnen ze dat niet meer omdat ze de cijfers niet weten.

Ik vind het goed, dat het niet meer kan op de Watch is lastiger, maar uiteindelijk naar Security toe wel beter, er mag/moet een drempel blijven voor de authenticatie.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (106)

Sorteer op:

Weergave: