Microsoft wil tweestapsverificatietool Authenticator integreren in Outlook-app

Microsoft wil de Outlook-app op iOS en Android gaan gebruiken als tweestapsverificatiemethode. Hierdoor moet het mogelijk worden om in te loggen op accounts die 2fa vereisen, zonder daarvoor een aparte app te downloaden.

Microsoft noemt de functie op zijn Microsoft 365-roadmap 'Authenticator Lite'. Hoewel Microsoft zelf een losstaande 2fa-app heeft, zegt deze de functionaliteit nu ook in te willen bouwen in diens Outlook-app. Dit zou hiermee de eerste functie van die app zijn die niet betrekking heeft op e-mails. Volgens de techgigant moet de functie in maart al voor het algemene publiek beschikbaar komen.

Microsoft lijkt het hiermee toegankelijker te willen maken voor gebruikers om tweefactorauthenticatie via een app in te schakelen. Microsofts Authenticator-app heeft in de Google Play Store zo'n 50 miljoen downloads, terwijl de Outlook-app 500 miljoen keer gedownload is. Microsoft heeft in het verleden gebruikers al opgeroepen om geen 2fa via sms meer te gebruiken, omdat deze methode minder veilig zou zijn dan authenticatieapps.

Reacties (137)

readefries

12 maart 2023 10:43

Waarom maken ze toch overal een zwitsers zakmes van? Laat ze alsjeblieft tools maken die goed en af zijn i.p.v. volgepropt worden met functionaliteit.

lenwar

Beveiliging en antivirus
Microsoft

@readefries • 12 maart 2023 10:48

Die redenatie gaat altijd twee kanten op.
Waarom voor ieder wissewasje een aparte app? En waarom alles in één gepropt waardoor het in niks goed is of dat bepaalde zaken onaf voelen.

Outlook heeft op dit moment ook een ingebouwde agenda. Gevoelsmatig is dat goed, maar misschien ook omdat we dat gewend zijn.

Ik denk zelf dat als dit optioneel is voor de push-bevestigingen dat ik dat nog wel zie zitten.

Blokker_1999

Microsoft Outlook
Microsoft
Beveiliging en antivirus

@lenwar • 12 maart 2023 10:53

Outlook is dan ook niet zomaar een email client, het is van in den beginne een PIM tool, een term die al meer dan 30 jaar oud is en zoveel betekend als een tool waarin je persoonlijke informatie verzameld, waaronder agenda, adresboek, email, verjaardagskalender, fax, instant messaging, ... .

Maar het is geen authenticatietool. En dat wil Microsoft er nu ineens wel van maken. Ik kan niet eens inloggen in mijn mail accounts zonder MFA, maar MS wil dan ineens van de mailapp mijn MFA tool maken?

En maak je daarmee ook niet ineens de aanvalsvector voor je authenticatieapp een heel stuk groter? Een bug in Outlook kan er ineens voor zorgen dat je MFA tokens op straat liggen. Ook weer leuk. 1 malafide email kan ineens genoeg zijn om 1 van de grootste security lekken van het afgelopen decennium te hebben.

Als MS dit echt van plan is, zou mijn eerste aanbeveling aan mijn werkgever zijn om dit te verbieden.

telenut @Blokker_1999 • 12 maart 2023 23:01

Je hebt hier wel een punt... wij vragen 2FA voor aanmelden op de mailclient. Als die 2FA in die mailclient zelf zit, is het niet echt meer een second factor lijkt me.

trisje @telenut • 13 maart 2023 09:46

Onzin, het wordt een apparte functie in the app. Dat de functie in de app zit betekend nog niet dat die automatisch uitgelezen kan worden als iemand een mailtje stuurd, als dat al mogelijk zou zijn dan kan men ook een mailtje maken die de authenticater app uitleest. Als iemand je telefoon heeft kan die ook de authenticater app gebruiken. Als de telefoon gehacked is, heb je het zelfde probleem. Om outlook te gaan verbieden omdat dat onveilig zou zijn is echt te idioot voor woorden en gebaseerd op niets. Welke e-mail client mogen ze dan wel gebruiken en wat geeft jouw de garantie dat die app dan wel veilig is ? Een belangrijke optie is dat men een recente telefoon gebruikt die geregeld updates binnen krijgt.

mjtdevries @trisje • 13 maart 2023 15:52

Verbieden als authenticator app natuurlijk.

Tuurlijk kan het een aparte functie in de app zijn. Maar die moet dan specifiek afgeschermd worden en daar kan een bug in zitten.
Een aparte app heeft per definitie een betere afscherming tov andere apps, dan twee functies binnen één app.

Hoe meer functionaliteiten een oplossing heeft, hoe meer aanvals vectoren voor hackers.
Daarom wil je een authenticatie app heel simpel houden.

pumpidumpi @telenut • 13 maart 2023 08:53

Sowieso als je 2FA app op dezelfde telefoon draait als de app die je wilt beschermen is het niet echt 2FA. Natuurlijk kun je de 2FA app met bio-auth beschermen, maar dat kan binnen de Outlook app ook verwacht ik.

Yongshi @pumpidumpi • 13 maart 2023 12:51

Natuurlijk wel, immers de eerste factor is je telefoon (bezit) en de tweede factor is je pin (kennis). Daarvoor maakt het niet uit of de app op dezelfde telefoon staat of op een ander device, het bewijst nog steeds dat je in bezit bent / toegang hebt tot 'een' telefoon

HKLM_

Microsoft

@Blokker_1999 • 12 maart 2023 10:57

Outlook is dan ook niet zomaar een email client, het is van in den beginne een PIM tool, een term die al meer dan 30 jaar oud is en zoveel betekend als een tool waarin je persoonlijke informatie verzameld, waaronder agenda, adresboek, email, verjaardagskalender, fax, instant messaging, ... .

Maar het is geen authenticatietool. En dat wil Microsoft er nu ineens wel van maken. Ik kan niet eens inloggen in mijn mail accounts zonder MFA, maar MS wil dan ineens van de mailapp mijn MFA tool maken?

En maak je daarmee ook niet ineens de aanvalsvector voor je authenticatieapp een heel stuk groter? Een bug in Outlook kan er ineens voor zorgen dat je MFA tokens op straat liggen. Ook weer leuk. 1 malafide email kan ineens genoeg zijn om 1 van de grootste security lekken van het afgelopen decennium te hebben.

Als MS dit echt van plan is, zou mijn eerste aanbeveling aan mijn werkgever zijn om dit te verbieden.

Microsoft kan dan weer extra security tools verkopen binnen je M365 Abonnement

HooksForFeet @HKLM_ • 12 maart 2023 20:35

...het punt van het M365 abonnement is juist dat je de software niet hoeft te kopen.

HKLM_

Microsoft

@HooksForFeet • 12 maart 2023 20:39

Klopt maar wel een duurder abonnement als je bepaalde features wilt hebben.

trisje @HooksForFeet • 17 maart 2023 10:05

Ze mogen alles niet gratis includeren in windows, maar ze mogen het ook niet apart verkopen.

De vraag is of een mfa functie in een e-mail app werkelijk een groot beveiligings kan zijn.

Arjan1997 @Blokker_1999 • 13 maart 2023 16:33

En maak je daarmee ook niet ineens de aanvalsvector voor je authenticatieapp een heel stuk groter? Een bug in Outlook kan er ineens voor zorgen dat je MFA tokens op straat liggen. Ook weer leuk. 1 malafide email kan ineens genoeg zijn om 1 van de grootste security lekken van het afgelopen decennium te hebben.

ten eerste ik weet ook niet of ik hier wel blij mee ben of ik er tegen ben maar zou microsoft dan niet een beetje hetzelfde maken als de vault in onedrive? dat je nog een extra auth (lees fingerprint, faceID oid) nodig hebben om te kunnen unlocken en alles binnen die vault encrypted is?

iAR @lenwar • 12 maart 2023 12:43

Ik zou het dan logischer vinden als het in Windows ingebouwd wordt. Nadeel: Windows is geen mobiel OS meer, maar ja...daar kun je dan nog gewoon de app houden.
Het voordeel is dat als je het in het OS stopt, dan je er amper omkijken naar hebt. Neem iCloud Keychain: die geeft automatisch de code als optie om in te voeren. Nooit meer een app opstarten. Behalve bij websites die dit weer slecht implementeren, zoals T-Mobile.

jimzz @iAR • 12 maart 2023 15:20

Geen mobiel os meer? Of gewoon nooit geweest?

Qws @jimzz • 12 maart 2023 16:29

Windows Mobile 6, Windows Phone 7, Windows Phone 8, Windows 8 RT, Windows 10 Mobile?

Windows was wel degelijk ooit een mobiele OS. Met Windows 11 zijn ze weer afgehaakt, merk je ook nu dat performance/energie besparing/snappy user experience niet meer zo belangrijk is.

[Reactie gewijzigd door Qws op 22 juli 2024 20:46]

Question Mark Moderator SWS WOS @iAR • 12 maart 2023 15:40

Dat lijkt mij niet handig. Aangezien zakelijk gezien via SSO bijna alle diensten zonder extra authenticatie bereikbaar zijn na succesvolle authenticatie op het OS, is aanloggen op dat OS nu nét één van de zaken die met MFA extra afgeschermd dienen te worden.

Je kunt niet eerst aanloggen op een OS, om dan binnen dat OS nog eens goedkeuring te geven voor de aanmelding die al gebeurd is.

Patrick22221 @Question Mark • 12 maart 2023 17:37

Eenmaal aangemeld is aangemeld.
Tenzij je een nieuw account aanmaakt en anders is dat eens in de zoveel tijd dat je je moet authentificeren.

Als het je niet lukt dan;
Dan kan je altijd nog op je werk mobiel gebeld worden

[Reactie gewijzigd door Patrick22221 op 22 juli 2024 20:46]

Question Mark Moderator SWS WOS @Patrick22221 • 13 maart 2023 11:22

Je mist het punt denk ik. Een gecompromiteerd OS, zorgt er op deze manier voor dat al mijn MFA acties gecompromiteerd zijn. Daarom is het wenselijk dat zeker mijn OS via MFA beveiligd wordt. Als ik daarvoor een alternatieve MFA methode moet aanhouden (zoals gebeld worden op een mobiele telefoon), dan wordt het nut van de eerste methode een stuk minder. Het is dan nl. geen vervanging...

trisje @Question Mark • 13 maart 2023 09:50

Het aanloggen op het OS is iets anders dan aanloggen naar bv clouddiensten als office 365, Die kunnen wel degelijk om the MFA vragen. Zeker als dat gebeurd van een computer waar je nog niet eerder op heb aangemeld en SSO wordt gebruikt.

Yalopa @iAR • 13 maart 2023 06:41

Windows Hello zou je als MFA kunnen beschouwen...

readefries

@lenwar • 12 maart 2023 11:01

Losse apps zorgen ervoor dat je sneller ergens bij kan ipv extra taps te hoeven doen.
Bovendien hebben beide mobiele platformen goed geïntegreerde agenda apps waardoor je een goed overzicht kan hebben van je week. In Outlook kun niet alle bronnen toevoegen (ze gebruiken niet de ingebouwde manier van agenda's op de platforms), hierdoor mis je overzicht. Nog los van het halfbakken UI van de agende in Outlook vergeleken met b.v. Google Calendar. (Al is dat deels smaak)

Geef geef mij maar een losse agenda app die af is.

GekkePrutser @lenwar • 12 maart 2023 17:02

Aan de andere kant hoor ik geluiden dat ze juist alles in teams willen stoppen inclusief e-mail.

De zin en onzin daarvan even daargelaten, het zou dan logischer zijn om dit in teams te integreren lijkt me.

rvt1 @GekkePrutser • 12 maart 2023 20:32

Ik mag hopen van niet, nu zit ik al te klooien dat ik maar 1 scherm open kan hebben... als je tussen team chats en chats moet wisselen is dat erg lastig, als daar nu ook email bij komt dan ga ik een andere baan zoeken waar ze geen teams gebruiken..

GekkePrutser @rvt1 • 12 maart 2023 23:25

Je kan nu toch ook chats in een nieuw window openen? Ik vind het ook een draak van een app voor, daar niet van. Met name door de niet uitgedachte UI en rare beperkingen zoals het niet kunnen verlaten van channels in een team.

supersnathan94 @lenwar • 12 maart 2023 22:33

Waarom voor ieder wissewasje een aparte app?

Omdat niet iedereen deze app uitsluitend gebruikt icm microsoft producten. Ik heb welgeteld 1 aan microsoft gelieerd account in de auth app staan en dat is mijn hotmail. De rest is allemaal voor andere zaken.

Ik wil dus absoluut niet dat ik outlook moet gebruiken om bij die accounts in te loggen, want verder gebruik ik het niet.

Dit is dezelfde discussie die we iedere keer voeren als teams weer een “handige” feature krijgt.

Wat is er mis met gewoon dedicated apps die heel goed zijn in wat ze kunnen? Microsoft maakt nu alleen maar een groep kleine draakjes die nergens echt in uitblinken en veelal met nutteloze troep komen (zoals de focus inbox waardoor je alleen maar mail mist).

lenwar

Beveiliging en antivirus
Microsoft

@supersnathan94 • 12 maart 2023 23:50

Ik bedoelde het meer in z’n algemeen en niet zo zeer voor Microsoft.
Ik wil niet voor iedere webwinkel een aparte app (ik heb de voorkeur voor mobiele sites)

Waarom een aparte app voor m’n TOTP-zaken. (( allicht een verkeerd voorbeeld

)) Waarom verschillende apps voor streaming- diensten (( ik snap het vanuit de bedrijven )), waarom een aparte app om foto’s mee te maken en een aparte app om ze te bekijken, enzovoorts.

Het hele idee van ‘there’s an app for that!’ vind ik erg vervelend. Er zijn zo veel apps die we maar voor één klein dingetje kunnen gebruiken.

supersnathan94 @lenwar • 13 maart 2023 08:17

Dan heb je toch ook voor iedere winkel een aparte site?

Ik kies een paar winkels waar ik m’n spul gewoon bestel en that’s it. Paar apps en verder geen gedoe.

Ik heb liever hele goede specialistische apps dan een berg apps die alles maar matig doen. De meeste microsoft producten vallen helaas in die laatste categorie behalve hun authenticator app. Gebruik ik denk ik al 8+ jaar en nooit problemen mee dat het niet werkt of dat een update de boel stuk heeft gemaakt. Stabiliteit is bij een app als dit superbelangrijk. Bij outlook veel minder.

kozue @supersnathan94 • 13 maart 2023 09:34

Een site staat niet continu op je mobiel en heeft geen toegang tot je hele systeem. Die staat alleen op je scherm als je m gebruikt, in een browser sandbox, en is daarna weer weg. Prima zo.

En waarom zou ik me willen beperken tot slechts een paar webwinkels? Dan heb je bij voorbaat al van die alles-winkels nodig, zoals Amazon en bol. Dat zijn nou juist de winkels waar ik niks wil bestellen omdat je ze daarmee alleen maar helpt de online shop wereld te monopoliseren.

lenwar

Beveiliging en antivirus
Microsoft

@supersnathan94 • 13 maart 2023 12:20

Iedereen heeft andere voorkeuren natuurlijk. Volkomen logisch. Effectief koop ik ook de meeste dingen bij slechts een paar webwinkels, maar de app voegt meestal niet zo veel toe. (Verschilt per winkel)

Het is voor mij primair nog een app die een beetje ruimte inneemt, aan datalimieten kan doen, die potentieel beveiligingsfouten kan hebben, enzovoorts. (( want ook zonder de rechten die je open en dicht kan zetten, kan een app nog altijd een stuk meer tracken dan een mobiele site ))

Ik heb in m’n browser gewoon een paar snelkoppelingen, en de webwinkels die ik echt heel veel gebruik heb ik zo’n snelkoppeling op m’n ‘thuisscherm’

Net wat ik zeg. Iedereen z’n voorkeur

supersnathan94 @lenwar • 13 maart 2023 15:56

Ja best, maar dat is toch totaal niet relevant voor dit onderwerp, waar we het hebben over hele verschillende functionaliteiten?

Bij een webwinkel kun je ook gewoon de website gebruiken, prima, doe je dat.

Met authenticeren werkt dat echter totaal niet. Dat is precies waarvoor we dit soort authenticatie apps hebben. Om online authenticatie te kunnen versterken.

haam @supersnathan94 • 13 maart 2023 09:00

Nog los van het feit dat je ook een andere authenticator app wilt kunnen gebruiken. Heb die van microsoft niet geinstalleerd, maar vraag me altijd af of ze nog meer doen dan alleen een code geven (tracking?)

Ik vraag me dan ook altijd bij dit soort bewegingen af wie hier profijt van heeft en waarom.

mjtdevries @haam • 13 maart 2023 15:57

Microsoft hoopt hiermee uiteraard het aantal mensen dat hun authenticator gebruikt te verhogen.

Ipv: je moet even een authenticator app installeren (Microsoft, of google of nog een andere)
is het dan: Je hoeft niks te installeren, het zit al in outlook. (en dus niet google of wat anders gebruiken)

haam @mjtdevries • 13 maart 2023 16:25

Die had ik nog niet bedacht.

Maar dat komt dus in het straatje 'hoe makkelijker big tech het je maakt, hoe makkelijker je je data laat verzamelen".

Heb af en toe het idee dat ik een van de weinigen ben die niet voor het hoogste gemak gaan als daar data verzamelen tegenover staat

mjl @readefries • 12 maart 2023 11:09

Ik hoop dat ze de Authenticator app wel behouden, ik gebruik de Authenticator app maar geen Outlook…

beerse @mjl • 12 maart 2023 12:27

Toevallig gisteren bezig geweest met een spik splinter nieuw microsoft account. Daarbij wilde ik authy gebruiken voor de mfa-toegang. Mijn android toestel met authy accepteerde de gepresenteerde qr-code niet zoals ze dat in het verleden wel heeft gedaan. Daar is dus zeker wel wat anders dan voorheen.

Wel kon ik de codes handmatig opvoeren en daarmee blijft authy (voorlopig?) wel bruikbaar voor mfa.

Aan de andere kant, dat ze tools als outlook inrichten als extra tool voor mfa-toegang vind ik niet erg. Liefst zie ik dat ze daar alle msOffice applicaties voor open stellen voor toegang tot het voor de licentie gebruikte account. Mits ze daar onder water wel de beschikbare hardware voor gebruiken.

Verwijderd @beerse • 12 maart 2023 13:21

Door beerse:

Daarbij wilde ik authy gebruiken voor de mfa-toegang.

Naast dat TOTP niet helpt tegen "evil proxy" attacks, betaal je bij Authy met jouw privacy (PDF).

Bron en meer info.

Aanvulling 20:38: de problemen met Authy heb ik ondertussen hier samengevat.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 20:46]

Cergorach

Beveiliging en antivirus

@Verwijderd • 12 maart 2023 16:36

Het gaat nog een stap verder MFA is niet (langer?) veilig genoeg (als enige oplossing). Met AiTM MFA Phishing aanvallen ramt een aanvaller geheel door je MFA beveiliging heen.

Bron
https://jeffreyappel.nl/p...ing-microsoft-technology/

Verwijderd @Cergorach • 12 maart 2023 18:26

Dank voor de link (ik ken er zo zeer vele, maar deze nog niet).

Nu nog anderen zoals @kodak bijvoorbeeld in deze post ervan overtuigen dat we meters (i.p.v. millimeters) moeten maken als we cybercrime serieus willen aanpakken.

Cergorach

Beveiliging en antivirus

@Verwijderd • 12 maart 2023 18:57

Ik ving al verschillende hints hier over op een maand 9 geleden, maar de details waren naar mijn mening zeer vaag en onduidelijk. En als dat niet je primaire focus is op dat moment, dan komt dat ergens op een stapel te liggen. Vervolgens komt opeens je primaire focus via, via er weer in aanraking mee en kom je wat tegen wat de situatie heel duidelijk uitlegt. Dus dat specifieke artikel.

Nu nog anderen zoals @kodak bijvoorbeeld in deze post ervan overtuigen dat we meters (i.p.v. millimeters) moeten maken als we cybercrime serieus willen aanpakken.

Serieus aanpakken is imho niet realistisch, ik denk dat het enigszins bijbenen een veel realistischer doelstelling is. Criminaliteit is zo oud als de weg naar Rome, dat hebben we na millennia nog steeds niet kunnen uitbannen, dus waarom zouden we dat wel opeens kunnen met cybercrime?

In dit geval blijft het altijd een arms race, de ene ligt weer een stukje voor, dan weer de andere. MFA was relatief lang een vrij belangrijke pilaar, die alleen een heleboel issues opving. MFA is nog steeds een pilaar, zeker de huidige default implementatie van MS, maar alleen die pilaar is niet meer voldoende. Zaken als compliant devices en conditional access policies zijn opeens weer super belangrijk in combinatie met MFA.

Je heb echter een aantal issues:
- Bij grote bedrijven kost het naast veel geld, ook veel tijd voordat je dergelijke wijzigingen heb geïmplementeerd. De kans is aanwezig dat wijzigingen die je hiervoor nodig hebt nog niet klaar zijn door het constant veranderende landschap.
- Kleine bedrijven hebben vaak niet het budget om het (tijdig) te implementeren. Vaak is de kennis niet intern aanwezig en zal de expertise ingehuurd moeten worden, welke vaak duur is omdat alles hieromheen relatief nieuw is en er dus weinig mensen zijn met de juiste kennis EN ervaring. Veel vraag, weinig aanbod, dus hoge prijzen.

beerse @Verwijderd • 12 maart 2023 15:06

Heb je los van deze lappen tekst ook een creative samenvatting met wat losse feiten?

Om te beginnen is TOTP 1 van de factoren in MFA. En het is MFA dat helpt tegen 'evil proxy' atacs. Net zoals sms niet veilig is maar als onderdeel van mfa wel helpt om mfa te verbeteren. Detail: Ik gebruik mfa geen 2fa: Meer is in dit geval wel beter.

Over privacy: Ja, goed dat je aangeeft dat tools die zaken op internet zetten een privacy issue zijn. Voor authy ben ik simpel: Zij mogen best weten wanneer ik authy gebruik en eventueel ook waarheen. Meer weten zijn niet want meer doe ik niet met die tool. Aan de andere kant heb ik begrepen dat zij alleen maar de centrale opslag zijn en dat die centrale opslag lang niet altijd en iedere keer wordt geraadpleegd. Dus weten ze niet eens wanneer/waar/hoe ik authy gebruik.

Nee, ik laat mij niet gek maken, al kon ik mij hier even niet inhouden en reageer toch.

Verwijderd @beerse • 12 maart 2023 18:16

Door beerse: Heb je los van deze lappen tekst ook een creative samenvatting met wat losse feiten?

Erg aardig klinkt dat niet, maar okay dan (voor de mensen die geen lange teksten willen lezen en er niet in willen zoeken).

Hieronder vat ik samen wat de onderzoekers * schreven (PDF) m.b.t. Twilio Authy.

* Conor Gilsenan, Fuzail Shakir, Noura Alomar en Serge Egelman (allen van UC Berkeley, deels van ICSI)

Samenvatting, m.b.t. Twilio Authy:

In back-ups (op servers van Twilio) zijn uitsluitend de TOTP shared secrets versleuteld, dus niet de "TOTP Labels and Issuers" (meestal jouw e-mailadres en de naam van de organisatie met jouw account). Dit betekent dat Twilio al die gegevens kent, en een kwaadwillende die toegang krijgt tot jouw Twilio-account dus ook.
De TOTP shared secrets zijn bijzonder zwak versleuteld. De minimale wachtwoordlengte is 6 karakters, er wordt een zwakke KDF gebruikt (PBKDF2-HMAC-SHA1 met slechts 10.000 iteraties - vergelijkbaar stom met LastPass).
Bovendien worden niet de shared secrets zelf versleuteld, maar de BASE32 variant daarvan. En dat is ontzettend stom, want daarmee geef je met gigantische zekerheid (bijna 8 * 10^28) prijs als een door een aanvaller geprobeerd wachtwoord correct is.
Als een dief van jouw smartphone jouw screen-lock niet kan doorbreken, loop je toch het risico dat zij/hij jouw (deels versleutelde) back-up in handen kan krijgen, nl. als zij/hij een voice call kan beantwoorden of SMS berichten op het vergrendelde scherm ziet.
Als een dief van jouw smartphone jouw screen-lock wél kan doorbreken en je geen aanvullende bescherming op de app hebt, ben je "toast".
Lees dit en denk vanuit een cybercrimineel die een deel van (of al jouw) accounts wil "overnemen". Denk hierbij zeker ook aan "SIM-swap" aanvallen (waarbij een aanvaller jouw telefoonnummer op haar of zijn toestel weet te krijgen). Tenzij je een sterk wachtwoord voor de back-up gebruikt, is deze TOTP app bijna net zo zwak als SMS-2FA.
In reactie op de kritieken van de onderzoekers gaf Twilio aan dat ze de beveiliging willen verbeteren en dat ze overwegen om hun privacy policy aan te passen (lees: minder verzwijgen en/of liegen).

Door beerse: Om te beginnen is TOTP 1 van de factoren in MFA. En het is MFA dat helpt tegen 'evil proxy' atacs.

Nee, bij een "evil proxy" attack helpt zwakke MFA (zoals TOTP) niet.

Door beerse: Net zoals sms niet veilig is maar als onderdeel van mfa wel helpt om mfa te verbeteren.

Dat hangt van je verwachtingen af. Te veel mensen denken dat een zwak en/of hergebruikt wachtwoord prima is omdat ze SMS of TOTP als extra factor gebruiken. Het resultaat is zwakke, kwetsbare authenticatie.

Door beerse: Detail: Ik gebruik mfa geen 2fa: Meer is in dit geval wel beter.

Dat snap ik niet. 2FA is hetzelfde als MFA met 2 factoren. Of er sites bestaan die 3FA of meer vereisen, weet ik niet (ik kan ze niet zo opnoemen) maar uiteindelijk is je session-cookie 1FA - dus veel helpt MFA sowieso niet.

Door beerse: Over privacy: Ja, goed dat je aangeeft dat tools die zaken op internet zetten een privacy issue zijn. Voor authy ben ik simpel: Zij mogen best weten wanneer ik authy gebruik en eventueel ook waarheen. Meer weten zijn niet want meer doe ik niet met die tool.

Zie boven.

Door beerse: Aan de andere kant heb ik begrepen dat zij alleen maar de centrale opslag zijn en dat die centrale opslag lang niet altijd en iedere keer wordt geraadpleegd. Dus weten ze niet eens wanneer/waar/hoe ik authy gebruik.

Twilio kent in elk geval (onversleuteld) de "TOTP Labels and Issuers". Naast mogelijke telemetrie waar de onderzoekers (zo te zien) niet naar gekeken hebben.

Edit 18:29: fixed typo

[Reactie gewijzigd door Verwijderd op 22 juli 2024 20:46]

Yzord @mjl • 12 maart 2023 11:15

Gewoon overstappen naar een ander zoals Authy of Google authenticator. Er zijn er genoeg.

jmvdkolk @Yzord • 12 maart 2023 12:56

Last I tried kreeg ik mijn Microsoft credentials (zowel privé als zakelijk) niet soepel in authenticator apps anders dan die van Microsoft. Er zijn workarounds maar dit zou ook zonder workarounds moeten werken. "Gewoon" overstappen is daarmee niet voor iedereen weggelegd.

CyberJack @jmvdkolk • 12 maart 2023 14:17

Nooit problemen mee gehad. Laatste 2 werkgevers hadden office365, en daar kon ik zonder moeite TOTP gebruiken ipv de Microsoft authenticator. Het was niet meer dan "andere authenticator" kiezen en vorvolgens de qr code scannen.

Ik heb al een goede TOTP app (Aegis Authenticator), dus waarom zou ik dan nog een andere app installeren. Ik hoop dat ze deze optie er wel inhouden.

Verwijderd @CyberJack • 12 maart 2023 15:47

Je moet/kan dit bij Office 365 configureren of je gebruikers hier gebruik van mogen maken (TOTP). Volgens mij staat het niet standaard aan. Maar bij Microsoft accounts heb je geen keuze om het te configureren, volgens mij.

CyberJack @Verwijderd • 12 maart 2023 17:59

Weer iets geleerd. 👍 Ik ben alleen een gebruiker en geen beheerder.

Red Cell @jmvdkolk • 12 maart 2023 15:40

Als iemand die deze dingen configureert in Azure, het heeft te maken met wat de administrator toe staat.
Wel of niet een 3rd party OTP naast microsoft authenticator gebruiken is een kwestie van een vinkje die aan of uit staat in de config.

metalmania_666

@jmvdkolk • 12 maart 2023 16:06

Ik gebruik gewoon Authy voor MS 365 producten en heb totaal geen problemen ermee.
2 zakelijke klanten van mij willen dat ik (terecht) beveiligd inlog op hun systemen en dat doe ik zonder problemen met Authy. QR-code scannen en het werkt

Verwijderd @metalmania_666 • 12 maart 2023 20:31

Ik gebruik gewoon Authy

Misschien vind je dit dan interessant.

jmvdkolk @metalmania_666 • 13 maart 2023 22:09

Dank je wel. Het is mij nu gelukt bij mijn privé account. Er was een nieuwe optie, om in te stellen met een andere authenticator. Morgen kijken of het ook bij mijn werk account gaat lukken.

FreshMaker @Yzord • 12 maart 2023 12:06

Gewoon overstappen naar een ander zoals Authy of Google authenticator. Er zijn er genoeg.

Zoals met veel dingen, is dit niet altijd maar "gewoon" om even te doen.
Authy vindt ik een prima alternatief, maar de MS ( exchange ) zaken gaan daar niet lekker op.

Zelf zit ik er aan te denken om de totp's te laten genereren door Bitwarden, en de MS-2fa alleen door die van MS zelf.
* maar zie er tegenop om wéér een dag bezig te zijn met de verhuizing hiervan

Verwijderd @Yzord • 12 maart 2023 12:39

Door Yzord:

Gewoon overstappen naar een ander zoals Authy of Google authenticator.

Slecht advies.

Aanvulling 18:42: van de "TOTP shared secrets" in Google Authenticator worden geen back-ups gemaakt (als Android back-ups aan staan), en de problemen met Authy heb ik ondertussen hier samengevat.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 20:46]

mjl @Yzord • 12 maart 2023 13:34

Vanuit mijn bedrijf is Microsoft Authenticator verplicht, ik vind het wel zo handig alles in 1 app te houden (moet er niet aan denken de ca. 40 tokens naar een andere app over te moeten zetten).

MiesvanderLippe @readefries • 12 maart 2023 10:46

Bovendien is het helemaal niet logisch om je 2FA in een app waar je authenticatie voor nodig hebt te stoppen...

readefries

@MiesvanderLippe • 12 maart 2023 10:48

Ja, beats the whole point

RobertPeterson @MiesvanderLippe • 12 maart 2023 14:03

Wellicht krijg je eerst het authenticatie verzoek en kun je dan pas bij Outlook?

Beetje zoals Apple hun 2fa hebt, je vraagt toegang. Op je applicatie (Outlook op desktop en bijv je telefoon) krijg je het goedkeuringsverzoek, na goedkeuren krijg je toegang tot je Outlook en hierin je auth app.

EraYaN @MiesvanderLippe • 12 maart 2023 14:32

Steam doet dit ook en dat werkt prima, het 2FA deel zit gewoon niet achter de login.

MarcoC @readefries • 12 maart 2023 13:10

Volgens mij valt dit wel mee. De Gmail-app werkt al jaren als 2FA voor Google-diensten. Volgens mij is dat ook precies wat Microsoft wil doen. Dat betekent dat je een push notification krijgt van de Outlook app, de app opent en vervolgens op "bevestig login" kan tappen.

De Authenticator-app heeft meer functionaliteit, je kunt daar ook TOTP-codes voor niet-Microsoft accounts toevoegen. Die functionaliteit blijft gewoon separaat bestaan lijkt me.

mjl @MarcoC • 12 maart 2023 13:35

Ik hoop het wel, ik vind de app prima.

Gert @MarcoC • 12 maart 2023 19:36

Tja, ik vind het erg vreemd dat ik de youtube app moet openen voor 2FA maar dat komt dan vast omdat ik de gmail app niet gebruik (en een niet Google authenticator).

field33P @readefries • 12 maart 2023 10:51

Dit is gericht op gebruikers voor wie het een te grote stap is om Authenticator te downloaden maar die je wel aan de 2FA kan krijgen als het ze gewoon voorgeschoteld wordt wanneer ze hun mail-app openen. Dat lijkt me toch een stukje beveiligingswinst.

Verwijderd @readefries • 12 maart 2023 12:44

Door cloudcosmonaut:

Waarom maken ze toch overal een zwitsers zakmes van?

Vendor lock-in;
Betere alternatieven traineren.

readefries

@Verwijderd • 12 maart 2023 15:46

Je hebt helemaal gelijk, alleen de CIO is blij die kan lijstjes afvinken

Verwijderd @readefries • 12 maart 2023 13:40

Helemaal mee eens. Microsoft veegt afgelopen tijd steeds vaker allerlei functionaliteiten bij elkaar in hun apps/programma's en dat stoort mij enorm.
Na installatie van Windows 11 is me een tijdje geleden opgevallen dat mijn prive documenten etc zomaar op One Drive is geüpload. Bovendien ben ik als laatst erachter gekomen dat mijn bedrijfs contacten in Skype en een deel van bedrijfberichten op mijn privé Outlook mail terecht komen.
Dit soort gepruts van Microsoft stoort me enorm en nu zit ik te overwegen om al hun producten en diensten te verbannen.

Triblade_8472 @readefries • 12 maart 2023 14:12

Omdat niet iedereen een losse autenticatieapp wil om zakelijk Outlook te mogen gebruiken.

Omdat Outlook hier alleen binnen de eigen bubbel gebruikt mag worden, moeten mensen een aparte authenticatie app downloaden. Dat zou hiermee niet meer nodig zijn.

Daar worden een boel mensen hier blij van denk ik.

rammes @readefries • 12 maart 2023 16:17

omdat ik liever een Zwitsers zakmes heb dan 5 losse tools

Buntuhein @readefries • 12 maart 2023 19:34

Tja. Mijn eerste gedachte was: typisch MS. Iets wat je dus straks op meerdere manieren kunt doen, maar niet helemaal hetzelfde is en uiteraard naar beste MS traditie niet helemaal op elkaar is afgestemd en dus weer gezeik oplevert. Ik snap ondertussen ook al niet meer bijster veel van waar MS heen wil met Sharepoint/ Onedrive/ Teams en hoe dat dan weer relateert aan je reguliere desktopomgeving.

McBacon @readefries • 13 maart 2023 18:15

De Outlook-app is al een behoorlijke draak, duurt regelmatig toch wel een paar minuten voor ik fatsoenlijk door mijn mail kan kijken.

Notificaties van nieuwe mail krijg ik vaak ook redelijk laat, ik heb de mail bijvoorbeeld via mijn laptop al gezien én verwijderd en daarna komt Outlook nog ff met de notificatie. Wordt nog wat met die MFA-prompts, die zullen al verlopen zijn voor je een keer in de app komt en mag je opnieuw beginnen. Lekker toegankelijk ja.

Ik kwam er net in ieder geval pas achter dat Microsoft ook normale TOTP ondersteunt, volgens mij is dat relatief nieuw want ik kan me niet herinneren dat ik de 1e keer dat ik het instelde daar ook voor kon kiezen. Volgens mij waren het destijds codes via SMS of de MS Authenticator app. Toch maar een keer normale TOTP instellen.

ChiLLeR

12 maart 2023 10:47

Of gewoon alles in je password manager zoals 1Password, (ja ik weet minder veilig maar maar allicht beter dan sms)

Get!em @ChiLLeR • 12 maart 2023 11:03

En Enpass maak je gewoon twee datastores. 1 voor passwords, een andere voor 2FA . Elk heeft zijn eigen master code.
Kan ook in 1, maar kan dus ook gewoon in 2 stores.

[Reactie gewijzigd door Get!em op 22 juli 2024 20:46]

CH4OS @Get!em • 12 maart 2023 12:26

Alleen de primary vaylt heeft sync support, de rest zul je handmatig moeten doen.

Get!em @CH4OS • 12 maart 2023 13:17

Secondary vaults hebben hun eigen sync locatie/ cloud locatie van keuze en synchroniseren gewoon mee (tenminste bij mij bij de betaalde versie)

Ook handig om een subset te delen met familieleden.

CH4OS @Get!em • 12 maart 2023 13:20

Hmmm, dit wist ik niet. Eens in verdiepen. Ik heb dus ook de lifetime premium subscription op Enpass. Als dit inderdaad per vault in te stellen is, kan het misschien een idee zijn de 2FA te splitsen naar een aparte vault. Linkt Enpass de entries wel aan elkaar (intern)? Bij sommige entries krijgen we immers een melding 'Joh, er is 2FA beschikbaar voor deze site/dienst", is dat dan dus ook getackled?

Get!em @CH4OS • 12 maart 2023 13:25

Nee, zijn twee aparte entries, dus de Totp code wordt niet automatisch ingevuld en de audit erover faalt dus ook.
Maar je slaat het dus elders op en tevens is het automatisch invullen een klein security dingetje.

Invullen daarvan is dus wel (bewust) iets omslachtiger geworden.

Grootste voordeel is wel dat het dus cross platform/multi device ge backup t en gesynct is.

Je secondary vault opent overigens na initiële koppeling daarna altijd met de mastercode van de primary vault. De mastercode van de secondary kun je in je primary vault (laten) zetten.

[Reactie gewijzigd door Get!em op 22 juli 2024 20:46]

Blokker_1999

Microsoft Outlook
Microsoft
Beveiliging en antivirus

@ChiLLeR • 12 maart 2023 10:55

Maar waarom niet gewoon een authenticator app op je telefoon? Los? Ik heb bitwarden voor mijn wachtwoorden en de MS Authenticator voor MFA. Zoals het hoort. 2 aparte apps. En daar heb je helemaal geen last van. Dat werkt gewoon.

Steek je je tokens en wachtwoorden in dezelfde app, heb je geen MFA meer. Zo eenvoudig is het. Ik snap dan ook niet dat wachtwoordmanagers het zelfs maar toestaan. Alles voor gebruiksgemak en marktaandeel. Als dat je hoofdreden is, moet je je afvragen of je wel het juiste product aan het gebruiken bent.

jcbvm

@Blokker_1999 • 12 maart 2023 12:01

Het voordeel van TOTP in je wachtwoordmanager is dat deze hem meestal automatisch op je klembord zet na het inloggen. Ik hoef dus niet mijn telefoon te pakken, maar gewoon ctrl+v te doen en klaar. Het is iets meer gebruiksgemak ten op zichte van veiligheid.

Verwijderd @Blokker_1999 • 12 maart 2023 13:28

Door Blokker_1999:

Steek je je tokens en wachtwoorden in dezelfde app, heb je geen MFA meer. Zo eenvoudig is het.

Elders schreef je:

En je hebt nog altijd MFA want je gebruikt nog altijd 2 factoren om de goedkeuring te geven. Iets dat je hebt, namelijk je telefoon, en iemand die je bent, namelijk de vingerafdruk om de app te ontgrendellen.

Je spreekt jezelf tegen op 1 pagina.

McBacon @ChiLLeR • 13 maart 2023 18:23

Ik heb mijn TOTP-codes ook in een password manager, maar om daar in te komen heb ik naast username + password ook nog Duo voor een pushnotificatie die ik moet goedkeuren. Dus je moet dan al fysiek bij mijn telly kunnen (en ontgrendelen) plus mijn username en password weten om al mijn MFA spul uit te kunnen lezen.

Verwijderd 12 maart 2023 11:03

Waarom doet Microsoft dit in plaats van PassKeys omarmen?

Passkeys zijn niet perfect maar je voorkomt er de meeste "evil proxy" aanvallen mee, doordat software en niet de gebruiker de domeinnaam van de website checkt.

Al in 2019 beschreef Microsoft zo'n aanval:

MFA had failed.

en afgelopen week nog meldde Microsoft naar verluidt dat BEC (Business Email Compromise) de pan uit rijst - maar als "oplossing" daarvoor moet hun antimalware product aan de ontvangende kant beter gaan detecteren of een e-mail afzender is wie geclaimd wordt. Dit is symptoombestrijding, zorg ervoor dat accounts moeilijker te hacken zijn!

En dat doe je niet met zwakke MFA waarbij je, naast user-ID en wachtwoord, een 2FA code op dezelfde website invoert!

[Reactie gewijzigd door Verwijderd op 22 juli 2024 20:46]

Blokker_1999

Microsoft Outlook
Microsoft
Beveiliging en antivirus

@Verwijderd • 12 maart 2023 11:17

MFA op zich is het probleem niet, wel de manier waarop we het gebruiken. Voor de eigen diensten voert MS daarom ook gewoon pushmeldingen uit ipv een TOTP code te gebruiken. En voor Azure zijn ze bezig op alle tenants net te gaan verplichten dat de gebruiker een cijfer in de authenticator app invoert ipv op de website waar ze gaan aanmelden. Dit om MFA fatigue attacks tegen te gaan.

Mijn private MS account is dan ook al weer geruime tijd passwordless. Lekker bevrijdend. En je hebt nog altijd MFA want je gebruikt nog altijd 2 factoren om de goedkeuring te geven. Iets dat je hebt, namelijk je telefoon, en iemand die je bent, namelijk de vingerafdruk om de app te ontgrendellen.

Verwijderd @Blokker_1999 • 12 maart 2023 11:45

Pushmeldingen en number matching helpen niet bij "evil proxy" aanvallen.

Daar zijn gratis tools voor te downloaden zijn (zoals Modlishka, Muraena, CredSniper of Evilginx2) maar waar ondertussen ook PaaS-diensten (Phishing as a Service) voor zijn verschenen.

De stap van een "ouderwetse" phishing website (die user-ID's en passwords kaapte) naar eentje die tevens een OTP (SMS) of TOTP code kaapt, is heel klein. En daarmee heeft de eigenaar, geautomatiseerd, voldoende tijd om, als jou, in te loggen op de echte website en (zonder nieuwe MFA) jouw wachtwoord en MFA-instellingen te wijzigen.

Van deze nieuwe MS app weet ik het nog niet, maar de meeste TOTP-apps (waaronder Authy en Google Authenticator) zuigen. Op enkele uitzonderingen na: ofwel er worden geen back-ups gemaakt van de TOTP "shared secrets", ofwel de back-ups staan met waardeloze versleuteling op een cloudserver, en/of je betaalt met je privacy (en loopt daardoor extra risico's op account-hijacks).

Ook kun je volledig criminele TOTP apps vinden in de Google Play Store en de Apple App Store - die door jou gescande QR-codes uploaden naar servers van criminelen.

Fijn dat jouw MS-account op jouw PC passwordless is, maar als ik het goed begrijp gaat het hier om apps voor Android en iOS. En juist daarop zouden passkeys effectief zijn (middels redelijk "secure enclaves").

Het lijkt er steeds meer op dat Microsoft passkeys saboteert. Not invented here?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 20:46]

R4gnax @Verwijderd • 12 maart 2023 19:28

Het lijkt er steeds meer op dat Microsoft passkeys saboteert. Not invented here?

Denk niet dat dat het geval is - want ze hebben juist de ondersteuning voor FIDO passwordless logins aan Windows 10 en 11 toegevoegd. En op diverse fronten zijn er vanuit MS mensen a/h evangeliseren geweest om te zorgen dat het breder gedragen gaat worden; zowel door gebruikers van applicaties en diensten als door ontwikkelaars van die applicaties en diensten.

Dit lijkt me eerder het klassieke Microsoft linkerhand-rechterhand probleem.

[Reactie gewijzigd door R4gnax op 22 juli 2024 20:46]

Verwijderd @R4gnax • 12 maart 2023 21:13

Door R4gnax:
Denk niet dat dat het geval is - want ze hebben juist de ondersteuning voor FIDO passwordless logins aan Windows 10 en 11 toegevoegd. En op diverse fronten zijn er vanuit MS mensen a/h evangeliseren geweest om te zorgen dat het breder gedragen gaat worden; zowel door gebruikers van applicaties en diensten als door ontwikkelaars van die applicaties en diensten.

Inderdaad, hier schreef ik o.a.:

Overigens, als ik er dieper induikt, zie ik heel voorzichtig een kentering bij Microsoft op dit punt

Door R4gnax:

Dit lijkt me eerder het klassieke Microsoft linkerhand-rechterhand probleem.

Dat zou heel goed kunnen.

Kennelijk wint marketing het waardoor Microsoft nu nog met zo'n Outlook-app-uitbreiding komt.

Hoe gaat Microsoft straks aan mensen, die braaf zwakke MFA zijn gaan gebruiken, uitleggen dat dit "natuurlijk niet altijd" (in een toenemend deel van de gevallen) voorkómt dat je account wordt gehacked?

En dat, zodra je account met-zwakke-MFA-optie is gehacked, het moeilijker is om de toegang tot dat account terug te krijgen?

Je ziet in de reacties op deze pagina de "MFA moeheid" al toenemen (en dit zijn tweakers).

Half werkende "oplossingen" gaan dat probleem alleen maar vergroten; zodra mensen net ergens aan gewend zijn, verandert er opnieuw iets of blijkt dat ze zelf voor back-ups hadden moeten zorgen als hun oude smartphone vervangen wordt.

Dit helpt allemaal niet om internet veiliger te krijgen, integendeel.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 20:46]

kodak

Beveiliging en antivirus

@Verwijderd • 12 maart 2023 14:39

De schrijver van de Microsoft blog schreef er natuurlijk niet zomaar behoorlijke nuance bij. Het ging er niet om dat mfa faalde, maar dat het een combinatie was.

Passkeys lossen problemen niet zomaar op. Gebruikers zijn bijvoorbeeld net zo goed niet zomaar in staat om technologie te vertrouwen, als dat ze omgekeere andere technologie te makkelijk vertrouwen.
Ook heeft microsoft er niet zomaar voordeel bij om weer iets 'anders' te introduceren. Dat is zelfs hier aan reacties op te merken. Klanten zijn niet zomaar bereid om dat te accepteren, ongeacht of microsoft of tweakers van mening zou zijn dat het voor hun bestwil is.

Verwijderd @kodak • 12 maart 2023 16:20

kodak schreef: De schrijver van de Microsoft blog schreef er natuurlijk niet zomaar behoorlijke nuance bij.

Welke nuance bedoel je? Ik zie notabene:

Door Alex Weinert (MS): [/i]Put simply, ANY authenticator which doesn’t cryptographically verify that the login server is who it says it is can be phished.

PassKeys doen dat welliswaar niet (cryptographically verify that the login server is who it says it is - iets dat client-CBA wél doet), maar WebAuthn (gebruikt door PassKeys en FIDO2 hardware keys) checkt wél de domeinnaam - en doet dat veel grondiger dan mensen kunnen.

De eventuele nuance, die ik niet zie, zal vermoedelijk bestaan omdat krachten binnen Microsoft hun Authenticator app willen blijven opdringen en over de betrouwbaarheid liegen dat deze gelijk staat of zelfs beter is dan FIDO2 hardware keys - waarbij PassKeys niet eens genoemd worden.

Overigens, als ik er dieper induikt, zie ik heel voorzichtig een kentering bij Microsoft op dit punt - maar feitelijk in de "kleine lettertjes" en zeker niet op hun voorpagina.

kodak schreef: Het ging er niet om dat mfa faalde, maar dat het een combinatie was.

Ik begrijp totaal niet wat je daarmee bedoelt.

kodak schreef: Passkeys lossen problemen niet zomaar op. Gebruikers zijn bijvoorbeeld net zo goed niet zomaar in staat om technologie te vertrouwen, als dat ze omgekeere andere technologie te makkelijk vertrouwen.

Wat voor argument is dat? Eerst moest een beter wachtwoord (maar dat hielp niet genoeg), toen SMS-MFA (maar dat hielp niet genoeg), toen TOTP-MFA (maar dat hielp niet genoeg), toen TOTP-MFA met pushberichten (maar dat hielp niet genoeg), toen TOTP-MFA met number matching (maar dat hielp niet genoeg), en toch drammen we maar door met zwakke MFA?

Die ook nog eens veel nadelen met zich meebrengt - zoals bijv. Google Authenticator (met, volgens de Play Store, 100M+ downloads), waarbij back-ups van shared secrets worden geblokkeerd als de rest van je Android foon wel geback-upped wordt? Met als gevolg, in die Play Store, veel klagende gebruikers wiens foon is gestolen of in de plee viel - en ze extreem veel moeite moeten doen om weer toegang te krijgen tot hun accounts?

En waar sterke authenticatie, zoals met WebAuthn of client-CBA überhaupt wordt ondersteund, zijn meestal downgrade attacks * naar zwakkere authenticatie mogelijk:

1) github:

Authentication with a security key is secondary to authentication with a TOTP application or a text message. If you lose your security key, you'll still be able to use your phone's code to sign in.

2.a) Microsoft #1 (archief):

In Azure AD, a password is often one of the primary authentication methods. You can't disable the password authentication method. If you use a password as the primary authentication factor, increase the security of sign-in events using Azure AD Multi-Factor Authentication.

2.b) Microsoft #2 (CBA) (archief):

• Password as an authentication method cannot be disabled and the option to sign in using a password is displayed even with Azure AD CBA method available to the user.

* Bijvoorbeeld een phishing-website (met lijkt-op domeinnaam) die vermeldt dat, t.g.v. een storing o.i.d. je tijdelijk niet met PassKey, FIDO2 hardware key of CBA kunt inloggen, en je op de "klassieke manier" (of met rescue code) moet inloggen. Of: "your passkey/FIDO2 hardware key/client certificate is not recognized. Please log in using...".

kodak schreef: Ook heeft microsoft er niet zomaar voordeel bij om weer iets 'anders' te introduceren.

Sterker, ik vermoed dat Microsoft opziet tegen PassKeys omdat dit gedoe is bij roaming profiles: effectief is een eis bij PassKeys dat de private keys daarvan in een "secure enclave" worden opgeslagen, maar dat schaalt niet bij flexplekken en werkt helemaal niet als fatsoenlijke TPM's ontbreken.

kodak schreef: Dat is zelfs hier aan reacties op te merken. Klanten zijn niet zomaar bereid om dat te accepteren, ongeacht of microsoft of tweakers van mening zou zijn dat het voor hun bestwil is.

Dat zal best, maar er zijn ook veel gebruikers (en/of werkgevers) die dondersgoed beseffen dat betere authenticatie tot minder beveiligingsincidenten leidt - t/m ransomware en/of vertrouwelijke gegevens (klant-, burger-, concurrentiegevoelig en andere IP t/m staatsgeheimen) op straat komen te liggen.

Het gaat hier niet alleen om Tweakers met namen als Henk en Ingrid.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 20:46]

kodak

Beveiliging en antivirus

@Verwijderd • 12 maart 2023 16:58

Dit is allemaal nuance:
All Authenticators Are Vulnerable.
Given an overall strong authentication rate of only about 10%, doing any form of MFA takes you out of reach of most attacks.
You should definitely turn on MFA now – and anything is >99.9% better than nothing.

De opmerking die jij selectief er uit haalt is daarmee niet zomaar relevanter dan de rest van de blogpost. Het is hooguit een opmerking van de schrijver om aandacht te trekken.

Natuurlijk kunt je het er dan niet mee eens zijn met een argument dat gebruikers niet zomaar iets vertrouwen of extra willen, maar dat anderen steeds iets anders willen maakt dat argument niet minder relevant. Eerder toont het aan dat het juist belangrijk is. Jij wil weer iets nieuws, dan zul je toch eerst anderen moeten overtuigen.

Dat jij achter je eigen argumenten staat is duidelijk, maar daar heb je Microsoft en de gebruikers niet zomaar mee aan je zijde. Argumenten wegwuiven die jou niet bevallen verandert daar niet zomaar iets aan. Misschien is dat voor jou overtuigend, maar je vroeg je af waarom Microsoft jou idee niet volgt. Microsoft heeft niet zomaar jou argumenten, gebruikers hebben niet zomaar alleen jou argumenten. Misschien helpt het je als je eens gaat bedenken wat hun behoeften zijn, in plaats van vooral je eigen overtuiging toe te passen bij je vraag.

Verwijderd @kodak • 12 maart 2023 20:24

Door kodak: Dit is allemaal nuance:
All Authenticators Are Vulnerable.
Given an overall strong authentication rate of only about 10%, doing any form of MFA takes you out of reach of most attacks.
You should definitely turn on MFA now – and anything is >99.9% better than nothing.

Dat is 3,5 jaar geleden. Ondertussen gebruiken veel meer mensen 2FA, en is het aantal "evil proxy" aanvallen flink toegenomen - en zal dat blijven doen.

Door kodak: De opmerking die jij selectief er uit haalt is daarmee niet zomaar relevanter dan de rest van de blogpost.

Selectief?

Door Alex Weinert: Use of anything beyond the password significantly increases the costs for attackers [...]
Real-time Phishing
As smart admins are requiring their users to use MFA, some phishing has advanced to fully replay the requests from the site it is impersonating. Tools like Modlishka are making it easy.

Hier spreekt Alex zichzelf al tegen, en het is ondertussen allemaal eenvoudiger geworden voor criminelen.

Door Alex Weinert: Until MFA is more broadly adopted, there is little reason for attackers to evolve.

Oftewel, Alex Weinert voorspelt hier impliciet dat hoe meer (interessante) gebruikers zwakke MFA gaan gebruiken, hoe meer "evil proxy" aanvallen we zullen zien. En zo geschiedde, trend stijgend.

Door Alex Weinert: Unfortunately, virtually all authenticators in common use today – phones, email, one-time passcode (OTP) tokens, and push notifications – are vulnerable to relatively low-cost attacks involving takeover of the communication channel used for the authenticator (Channel-Jacking) or intercept-and-replay of authentication messages using a machine-in-the-middle (Real-Time Phishing). Unfortunately, both have been in the news lately in some high-profile attacks (as well as in our caseloads).

Precies. Wel opnieuw in tegenspraak met wat Alex eerder schreef: "significantly increases the costs". En nogmaals:

Door Alex Weinert: Given low cost to attack, Channel Jacking and Real-time Phishing are the dominant ways we see non-password authenticators compromised.

Maar er is meer:

Door Alex Weinert: The chain of trust breaks at its weakest link – this is often the communications channel. Compare your cell phone, with its support and protocol vulnerabilities allowing intercept of unencrypted traffic to something like FIDO, where OS level malware is required to even snoop on the encrypted traffic in the exchange.

Klopt bijna (WebAuthn beschermt niet tegen een fake website met DV-certificaat verkregen middels domain takeover of BGP-hijack) maar is pointless als de servers (zoals bij Microsoft) authentication downgrade attacks toestaan - zoals ik hierboven beschreef bij 1), 2.a) en 2.b).

Door Alex Weinert: ultimately, the authenticator itself needs to verify that the server is who it claims to be – because humans just aren’t good at it.

Exact. Microsoft Authenticator doet dat niet, WebAuthn (PassKeys, FIDO2 hardware keys) doen dat wel.

Nog sterker is client-CBA, want daarbij is de authenticatie van zowel client als server op TLS-niveau, cryptographically bound aan de TLS-verbinding. Daarmee zijn AitM (Attacker in the Middle) aanvallen zo goed als uitgesloten.

Nadeel van client-CBA: deep packet inspection (door TLS open te breken, door perimeter-firewalls en EDR-oplossingen) kan ook niet meer.

Door Alex Weinert: Hope on the Horizon?
In recognition of the fundamental vulnerability of human users to trickery in social and phishing attacks, channel independent, verifier impersonation resistant authenticator types have emerged. Chief among these are Smartcards, Windows Hello, and FIDO. From a security perspective, these credentials are incredibly hard to crack, though they do offer issuance and recovery challenges I will explore later.

Hoe kun je "Hope on the horizon" roepen, en vervolgens zwakke MFA blijven promoten? Ook vandaag de dag nog met zo'n uitbreiding op een Outlook app?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 20:46]

jcbvm

@Verwijderd • 12 maart 2023 12:05

Microsoft kan het wel omarmen, en ik hoop ook zeker dat ze dat doen. Maar wel elke dienst en website moet dan vervolgens ondersteuning gaan bieden hiervoor, anders heb je er alsnog niks aan (beetje hetzelfde als TOTP in de beginjaren). Het zal denk ik ook zeker nog wat jaar duren voordat we over zijn op PassKeys.

Verwijderd @jcbvm • 12 maart 2023 12:33

Door jcbvm:

Maar wel elke dienst en website moet dan vervolgens ondersteuning gaan bieden hiervoor, anders heb je er alsnog niks aan (beetje hetzelfde als TOTP in de beginjaren).

Klopt, dat is lastig.

Maar zolang te veel individuen en vooral organisaties, met het grote Microsoft voorop, ons blijven voorliegen dat TOTP goed genoeg is, gaat de invoering van PassKeys onnodig lang duren.

Cybercriminelen lachen zich een deuk.

Roel1966

12 maart 2023 18:39

Veiligheid vind ik prima maar ik word soms een beetje gek van 2traps, 3traps en ik weet niet hoeveel traps authenticaties. Vooral als je dan de smartphone even niet bij de hand hebt of een systeem voor een ander moet opzetten.

Rakkachi @Roel1966 • 12 maart 2023 22:13

Je kunt als admin een tijdelijk wachtwoord aanmaken zonder mfa. Die geldt dan 1 uur waarna alles terugvalt naar de default. handig voor problem solving.

Roel1966

@Rakkachi • 13 maart 2023 17:57

Hmm, dat ga ik zeker eens uitproberen, dank je voor de tip !

crazyboy01 @Roel1966 • 13 maart 2023 12:08

Ik vind het niet zo'n enorm probleem, tot het in het extreme wordt doorgevoerd. Er zijn partijen waar er na wachtwoord een authenticator code, sms-code én e-mailcode nodig is. Ja, daar log ik inderdaad het liefste zo min mogelijk in.

IrBaboon79 12 maart 2023 10:41

Als ze nu die authenticator een klein beetje zouden verbeteren, een goede export/import en een desktop versie - zoals authy - wil ik hem best wel weer gaan gebruiken; tot die tijd doet hij eigenlijk alleen dienst om die 2fa notificaties goed te keuren...

Blokker_1999

Microsoft Outlook
Microsoft
Beveiliging en antivirus

@IrBaboon79 • 12 maart 2023 10:46

Import/Export mag niet te eenvoudig zijn. Backups is wat belangrijk is. Op Android worden backups gemaakt naar OneDrive, op iOS gebeurt het naar de iCloud. Spijtig genoeg maakt dat de omschakeling van iOS naar Android of omgekeerd een heel stuk moeilijker.

Maar daarnaast zijn er ook voldoende tokens die zich niet laten herstellen op een nieuw toestel. Als ik van toestel wissel zijn alle tokens die gelinkt zijn aan Azure alsnog niet toegankelijk en moet ik al die accounts 1 voor 1 aflopen om opnieuw op te zetten. En dat is dan weer de manier waarom de beveiliging van die Azure tenants werkt.

Unstable Element @Blokker_1999 • 12 maart 2023 12:38

Helaas heeft mijn werkgever de backup optie geblokkkerd. Waardoor ook al mij daarvoor toegevoegde gegevens (zelfs voordat ik bij deze werkgever aan de slag ging) niet meer gebackupd worden.

Triblade_8472 @Unstable Element • 12 maart 2023 14:21

Dan heb je hier persoonlijk toestemming voor gegeven toen je zakelijke gegevens op je eigen toestel ging gebruiken.

Unstable Element @Triblade_8472 • 12 maart 2023 22:41

Nope want die regel is pas later ingevoerd.
Ben nu dus aan het onderzoeken waar ik mijn persoonlijke gegevens beter heen kan zetten...

Gosse_W 12 maart 2023 12:58

Nu maar hopen dat de Authenticator-app wel los blijft bestaan. Ik blief geen Outlook app op mijn telefoon, simpelweg omdat mijn werkgever voor Ms-diensten is gezwicht. Liefst kies ik mijn eigen apps (bv. ACalendar voor agenda), gelukkig dat Exchange onder Android goed ondersteund wordt. Deze ontwikkeling zie ik meer als excuus voor Ms om Outlook nóg meer te pushen.

Sp3ci3s8472 @Gosse_W • 12 maart 2023 16:01

Je kan prima een third party app voor 2FA gebruiken met MS. Ja, de instelling zit goed verstopt, maar het is mogelijk. Ik heb nog nooit de MS Authenticator app gebruikt.

Veneficus 12 maart 2023 10:49

Dit zou hiermee de eerste functie van die app zijn die niet betrekking heeft op e-mails.

Agenda? Contacten? Outlook heeft altijd al drie functies gehad.
De integratie van Authenticator maakt het alleen maar makkelijker om Outlook te gebruiken, omdat het op veel bedrijven al verplicht is ingesteld. Het scheelt dan een extra app. Dit maakt Outlook zelf niet direct een vervanger van de Authenticator app; dat zou overkill zijn.

[Reactie gewijzigd door Veneficus op 22 juli 2024 20:46]

Muncher 12 maart 2023 12:21

Goed afgekeken van Google. Daar word al een tijdje gebruik gemaakt van de YouTube-app als tweede factor. Geloof dat de Gmail app het ook kan, die gebruik ik zelf niet.

THE_BASE 12 maart 2023 17:33

Ik vind de optie van Apple in iOS erg fijn, geen losse app. Maar de manier waarop ze dat doen is vrij omslachtig.

mutley69 12 maart 2023 23:15

Dat integreren kan net een beveiligingsrisico vormen. Ik ben dus radicaal tegen deze optie! Liever een hardware dongle.

Op dit item kan niet meer gereageerd worden.

Microsoft wil tweestapsverificatietool Authenticator integreren in Outlook-app

Lees meer

Reacties (137)

Sorteer op:

Weergave: