Microsoft Authenticator verplicht number matching bij Microsoft-diensten

Na een testperiode stelt Microsoft number matching verplicht in de Authenticator-app bij Microsoft-diensten. Hierbij moet de gebruiker nummers van het inlogscherm invoeren in de app en is de kans op onopzettelijk toestemming verlenen volgens het bedrijf kleiner.

Microsoft meldt op 8 mei te zijn begonnen met het uitrollen van verplichte number matching voor gebruikers van de Microsoft Authenticator-app. Microsoft testte al langer number matching en zakelijke klanten konden dit al toepassen om 'mfa-fatigue' te voorkomen. Het bedrijf spreekt over een gefaseerde uitrol en zegt niet wanneer alle klanten de number matching-verplichting moeten krijgen.

Number matching is een functie van Authenticator om inloggen met mfa veiliger te maken. Bij het inloggen bij een Microsoft-dienst krijgt de gebruiker een getal te zien op het inlogscherm. Dat getal moet door middel van een keypad worden ingevoerd in de Authenticator-app om vervolgens toestemming te kunnen verlenen voor het inloggen.

Zonder number matching kunnen kwaadwillenden gebruikers spammen met inlogverzoeken, waarbij ze hopen dat de gebruiker uiteindelijk toestemming geeft. Dit heet ook wel mfa-fatigue. Voorheen was in sommige gevallen de notificatie bevestigen al genoeg en in andere gevallen moest uit een van drie getallen worden gekozen. Door een handmatige invoer van het getal te verplichten is de kans op misbruik kleiner en is voor misbruik in feite direct contact nodig door de aanvaller. Microsoft meldt wel dat number matching niet op Android-wearables wordt ondersteund. Het is niet duidelijk of deze ondersteuning later naar deze apparaten komt. Microsoft staakte eerder de Authenticator-ondersteuning van Apple Watch.

Reacties (183)

Jeroenneman 10 mei 2023 16:37

Zucht.

MFA is voor veel collega's al vooral een moetje, en hiermee wordt het nog irritanter. Vooral met een VMWare omgeving die uitlogt zodra je even een paar minuten inactief bent.

Die zullen bij een niet gedwongen keuze nooit meer voor MFA kiezen. En nu doet Microsoft er nog een schepje bovenop met nóg een actie die je iedere keer moet uitvoeren...

Ik dacht dat techniek het leven makkelijker moest maken, niet frustrerender?

Thekilldevilhil @Jeroenneman • 10 mei 2023 16:41

Maar wat is het alternatief? Slechte beveiliging? Ik snap dat mensen MFA moe worden, dat heb ik zelf ook maar ik blijf het gebruiken.

Ik dacht dat techniek het leven makkelijker moest maken, niet frustrerender?

Wat betreft de frustratie mag je de mensen die alles maar weer moeten kapot maken bedanken. Als iedereen te vertrouwen was had dit niet gehoeven. Dus kijk gerust ook even naar je medemens

Cobalt @Thekilldevilhil • 10 mei 2023 16:44

Alternatief kan een FIDO2 key zijn

Brent @Cobalt • 10 mei 2023 16:56

Zo jammer dat dit niet zoveel meer uptake heeft. Enige kanttekening is dat je gebruikers moet verplichten er minstens 2 te registreren. Verder kan elk kind de was doen.

Banken, waarom niet? Juist jullie!

Muncher @Brent • 10 mei 2023 17:47

Wij hebben dit net geïmplementeerd. Je kan bij ons uit 2 FIDO Authenticators kiezen uit een rijtje. Dat kan Yubikey zijn, FaceID/TouchID, Windows Hello, Passkeys, etc. We gebruiken Okta als SSO provider en hebben Mac, Windows en Linux machines.

Wat mij opvalt is dat de meeste mensen kiezen voor FaceID/TouchID en Windows Hello als “primaire” Authenticator. Even op de TouchID op je MacBook drukken, of even zwaaien naar de camera vinden mensen een stuk fijner dan de MFA app erbij te pakken.

Voordeel voor de gebruikers: soepele gebruiker ervaring, nagenoeg niet uit hun workflow gehaald.

Voordeel voor het bedrijf: phishing resistant MFA.

Nadeel voor het bedrijf: je moet wat investeren in Yubikeys voor mensen die bijv. op Linux zitten. Tja, dat is een klein aantal en een security key van Yubikey is een stuk goedkoper dan 2 volwaardige Yubikeys.

Er is echt veel mogelijk mbt MFA en gebruikersgemak. Het vergt inderdaad wel wat tijd en moeite.

TheVivaldi @Muncher • 10 mei 2023 19:21

Je kunt op Linux ook inloggen met gezichtsherkenning. Onder meer Deepin heeft dat ingebouwd en gebruikt daarvoor dezelfde methode als Windows Hello, dus net zo veilig. En je kunt op Deepin ook kiezen voor irisherkenning als je nog een stapje verder wilt gaan.

[Reactie gewijzigd door TheVivaldi op 22 juli 2024 14:14]

C64Boy @TheVivaldi • 11 mei 2023 06:29

Deep in- China- gezichtsherkenning… tja zal inderdaad goed werken.

TheVivaldi @C64Boy • 11 mei 2023 09:59

Ik ben lid van het Deepin-team en werk toch echt vanuit Nederland. Deepin wordt door ontwikkelaars van over heel de wereld gemaakt. Denk dat je in de war bent met UOS, de zakelijke versie die inderdaad in China wordt gemaakt.

En buiten dat: zoals ik al zei gebruiken ze dezelfde techniek als Windows Hello, dus veiligheid is gegarandeerd. En anders kijk je zelf de broncode en Wireshark maar na.

C64Boy @TheVivaldi • 18 mei 2023 21:04

Ik weet het niet. Ze zijn al een keer betrapt op ingebouwde spyware. Het is niet denkbeeldig dat ergens in de code er toch nog iets 'hangt' waarmee data wordt verkregen die rechtstreeks naar de Chinese overheidsinstanties gaat. Het is vrijwel ondoenlijk om alle code door te spitten. Ik ga dan liever meer op zeker en kies een Europese distributie.

TheVivaldi @C64Boy • 18 mei 2023 22:41

Die spyware was niets meer dan analytica, zeg maar net als Google Analytics. En alleen in Deepin Winkel. Maar dat is er allang uitgehaald en ik kan je 100% verzekeren dat er niks “in de code hangt”. En nogmaals: Deepin is niet Chinees, maar een wereldwijde distributie. Alleen UOS is 100% Chinees en daar zit inderdaad enige analytische code in.

(En voor de goede orde: ik ben 100% Nederlands met Nederlands-Duitse roots, dus geen enkele band met China, behalve dan enigszins door Deepin.)

[Reactie gewijzigd door TheVivaldi op 22 juli 2024 14:14]

C64Boy @TheVivaldi • 21 mei 2023 08:16

Ok. Dan ben ik misschien wel wat paranoïde op de vlak (geweest)...Distro ziet er wel inderdaad erg goed uit.

Brent @Muncher • 10 mei 2023 23:24

Misschien snap ik je verkeerd, maar voor U2F keys hoef je op Linux niets bijzonders te doen toch? Werkt als een trein.

Muncher @Brent • 11 mei 2023 06:41

Ik denk dat we langs elkaar praten. In welk scenario zet jij die U2F key in? En wat versta je onder een U2F key?

[Reactie gewijzigd door Muncher op 22 juli 2024 14:14]

Brent @Muncher • 11 mei 2023 09:13

Een U2F key is een key die de U2F standaard implementeert en via met name browsers (al heb ik mn SSH keys er ook mee beveiligd) gebruikt kunnen worden, online diensten dus (veelal big tech, e.g. Google).

https://en.wikipedia.org/wiki/Universal_2nd_Factor

Muncher @Brent • 11 mei 2023 09:33

Ja precies. Yubikey is een U2F key. Die geven we aan Linux gebruikers omdat zij geen FaceID/TouchID/Windows Hello hebben. Aangezien we willen dat iedereen 2 verschillende authenticators krijgt, krijgen de Linux users een Yubikey (nouja, eigenlijk krijgen ze er 2. Eigenlijk krijgen ze 2 security keys van Yubikey) en daarnaast bijv. nog de mogelijkheid om zich via Okta Verify te authenticeren.

Beantwoord dit je vraag?

[Reactie gewijzigd door Muncher op 22 juli 2024 14:14]

D11 @Muncher • 11 mei 2023 10:21

En 2 omdat? 1 als backup in de bedrijfskluis?

Muncher @D11 • 11 mei 2023 10:53

Als je 1tje kwijt raakt, is het wel vervelend dat je meteen niet meer kan inloggen. Dan heb je altijd nog een back-up liggen terwijl er een extra yubikey naar je word verscheept. Dit is alleen van toepassing op medewerkers die alleen yubikeys kunnen/willen gebruiken.

Brent @Muncher • 11 mei 2023 10:35

Een Yubikey is een merk, en ze leveren een aantal typen, waarvan alleen de basic ones enkel U2F/FIDO doen, maar de geavanceerde meerdere protocollen (smartcard is in bedrijfscontext de meest gebruikte). De vraag is dus, welk protocol gebruiken jullie? Voor 'klanten' is U2F essentieel, want die zijn a. het goedkoopst, b. vereisen geen extra software (alle moderne browsers en OSen ondersteunen U2F/FIDO(2)). Windows Hello werkt ook met FIDO2 bijv.

Muncher @Brent • 11 mei 2023 10:55

We focussen ons nu vooral FIDO2 en U2F. Geen (open)PGP, smartcards, etc. Die werden hiervoor ook niet gebruikt en er is geen aanleiding om dat (op korte termijn) te veranderen (op basis van een risico-analyse bijvoorbeeld).

C64Boy @Muncher • 11 mei 2023 06:34

Top opgelost bij jullie. De authenticator app vind ik zelf ook vaak reteirritant. Bij de Hogeschool waar ik les geef gebruiken ze deze met het invoeren van een nummer. Niet fijn, weer een extra stap. Als je dan zoals ik ook nog eens op meerdere plekken werkt en meerdere MS logins hebt wordt het veel gedoe. Face ID of een vingerafdrukscanner is dan een verademing

JBVisual @Brent • 10 mei 2023 17:21

Juist dat laatste ben ik compleet met je eens. En dat banken hun diensten toegankelijk willen houden zou mee kunnen spelen.
Maar geef dan op zijn minst je klant een keuze.

Ik zou het zeer prettig vinden als mijn bank de optie zou bieden om mijzelf voor bepaalde bedragen extra te beveiligen met een FIDO2 key. (Bedragen tot een x bedrag nog gewoon met de mobiele app moet mogelijk blijven, anders zijn tikkies straks echt een gedoe)

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Authenticatie

@Cobalt • 10 mei 2023 18:08

Een fido2 key is alleen maar een authenticator. Als je veelvuldig MFA afdwingt zal je daar ook hinder ondervinden. Plus: weer een extra device erbij (wat ook weer stuk kan gaan etc). Elke oplossing kent zijn eigen voor- en nadelen.

barbarbar @Bor • 10 mei 2023 18:45

Fido2 zit inmiddels ook veel ingebakken in dingen die toch al in gebruik zijn. Op je Windows laptop heb je Windows Hello. Op je MacBook heb je TouchID. Op je ipad faceid. En wil je inloggen op een andere pc? Dan pas pak je een key, als je zo'n yubikey bio gebruikt is het alleen even de knop drukken. Of als je Chrome gebruikt met een webapp, kun je een Android telefoon gebruiken als fido2 key (via bluetooth).

We zijn zelf de overstap aan het maken met een aantal apps om alleen maar fido2 toe te staan. Ben je van vergeten wachtwoorden af, wat direct een hele hoop gedoe scheelt in support.

[Reactie gewijzigd door barbarbar op 22 juli 2024 14:14]

Blokker_1999

Microsoft
Beveiliging en antivirus

@Cobalt • 10 mei 2023 19:57

Tsjah, heb het al enkele keren aan onze CISO voorgesteld, maar die blijft blokkeren. Dus blijven wij met de MS authenticator zitten.

LurkZ @Thekilldevilhil • 10 mei 2023 18:14

Maar wat is het alternatief? Slechte beveiliging?

Irritant = slechte beveiliging

MFA binnen een bedrijf wordt opgedrongen, maar in een prive situatie zullen veel mensen alle beveiligingen die irriteren uitzetten.

CuBras @LurkZ • 10 mei 2023 18:32

N=1.
Ik heb op een viertal prive situaties mfa zitten en die heb ik met een reden. Ondanks dat ik stelselmatig via mijn vaste pc naar de web Gui browse van mijn NAS, en ik elke keer een mfa pop-up krijg, zet ik deze niet uit. Ookal moet ik geregeld twee trappen af omdat ik mijn telefoon beneden heb liggen.

Liever een keer extra lopen dan de kans dat er iemand makkelijker bij mijn data komt.

XC9 @CuBras • 10 mei 2023 20:14

Goed van je, maar daar gaat het niet om. 99% van de gebruikers is niet zoals jij. Je weet hoeveel mensen als wachtwoord de naam plus geboortedatum van hun naasten gebruiken? Of Welkom123? Of wachtwoorden op een Post-it naast een scherm hangen?

gabaman @CuBras • 11 mei 2023 05:03

Zo denk ik er ook over...
Dus Authenticator van Google, Microsoft, Okta, Duo en Aegis. Helaas na gedwongen aanschaf van nieuwe telefoon en sim (want in het buitenland) is mijn liefde ernstig bekoeld. Gmail is terug na ruim een maand maar veel toegang is nog steeds gesloten tot ik terug ben en mijn oude telefoonnummer weer bezit. Waardering heb ik voor DigiD, ING en andere die inloggen via nfc, paspoort en gezichtsherkenning toestaan. Anders was mijn lange vakantie vroegtijdig afgebroken...

Blokker_1999

Microsoft
Beveiliging en antivirus

@LurkZ • 10 mei 2023 20:01

Mijn MS account heb ik passwordless gezet. Dat zorgt dus voor een eenvoudige pushnotificatie als ik daar iets mee wens te doen. Enige wat irriteert is dat MS zelf nog niet overal zijn eigen accounts ondersteund met passwordless.

supersnathan94 @Thekilldevilhil • 10 mei 2023 18:31

MS maakt de app vooral irritanter om te gebruiken. Zo kan ik bij Apple MFA de code gewoon op m’n watch zien (6 cijfers) inclusief alle data die ms nu in de app toont, maar MS vind dat dit niet goed werkt en je kunt bij de nieuwe versie de Apple watch dan ook niet meer gebruiken voor het tonen van de code.

Nu moet ik dus eerst telefoon ontgrendelen, dan de app opzoeken, app starten, app nogmaals ontgrendelen en dan pas krijg ik de code te zien.

Ik vind het prima om twee cijfers in te tikken vanaf een klein schermpje naar de PC/laptop, maar MS wil het nu andersom. Je moet de code in de app invullen en daarna ook nog accepteren.

Terwijl gewoon een TOTP code dezelfde veiligheid bied en voor veel diensten een stuk makkelijker werkt.

Blokker_1999

Microsoft
Beveiliging en antivirus

@supersnathan94 • 10 mei 2023 20:04

Dat de MS authenticator TOTP ondersteund is leuk, maar is niet het primaire doel van die authenticator. Die is vooral bedoeld voor de eigen Microsoft accounts waarbij je met push meldingen kunt aanmelden.

En Microsoft wil dat je naar het venster kijkt op je authenticator app. Want het is niet enkel de cijfers die ineens belangrijk zijn. Ook de locatie (grove benadering) en de app die vraagt om te authenticeren worden nu standaard getoont. En dat zie jij allemaal niet in je browservenster.

Daar komt de extra beveiliging vandaan, alleen zullen de meeste mensen daar nooit over nadenken of het nut van inzien... totdat het te laat is.

supersnathan94 @Blokker_1999 • 11 mei 2023 08:43

En Microsoft wil dat je naar het venster kijkt op je authenticator app. Want het is niet enkel de cijfers die ineens belangrijk zijn. Ook de locatie (grove benadering) en de app die vraagt om te authenticeren worden nu standaard getoont. En dat zie jij allemaal niet in je browservenster.

Maar dat zie ik wel op m’n Apple watch als ik inlog op iCloud.com. En juist dat sloopt MS uit de app.

En even. De locatie maakt met TOTP eigenlijk helemaal niet uit, want je moet de code in de browser invoeren. Niet op een knopje drukken.

Je kunt niet per ongeluk een TOTP code invoeren op een fysiek andere locatie.

teek2

@Thekilldevilhil • 10 mei 2023 17:08

In dit geval is het alternatief goede single sign on met lange sessies.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Authenticatie

@teek2 • 10 mei 2023 18:06

Single signon is vooral een gebruiksgemak ding. Vanuit security kleven er zowel voor als nadelen aan. Een inlog om bij een veelvoud aan diensten te komen maakt het aanvallers namelijk ook makkelijker.

daanb14 @Bor • 10 mei 2023 18:58

Dat klopt, maar is ook erg afhankelijk van hoe je het configureert. Er zijn in bijvoorbeeld Azure AD mooie conditional access policies te bedenken die bijvoorbeeld een compliant apparaat vereisen om voor een specifieke applicatie in te loggen. Ook kun je denken aan het verplichten van het gebruiken van een goedgekeurde MFA-methode voor gevoeligere applicaties.

FairPCsPlease @Thekilldevilhil • 10 mei 2023 22:31

Het is inderdaad enorm frustrerend dat niet iedereen gewoon te vertrouwen is. Dat soort verzuchting heb ik altijd bij nieuwsberichten over beveiliging/hacken en zo. Het zou zoveel simpeler zijn als mensen gewoon t vertrouwen zijn. Ik snap dat ook nooit. Waarom zou je bedriegen? Ik vind het zelf ontzettend moeilijk om niet gewoon de waarheid te zeggen, of in elk geval, dat waarvan ik overtuigd ben (ik kan natuurlijk nooit zeker zijn of dat de waarheid is?). Maar liegen/bedriegen? Gaat me echt voor geen meter af. Als dat nou voor iedereen zo zou zijn, hadden we geen MFA nodig!

bzuidgeest @Jeroenneman • 10 mei 2023 17:01

Ik kan dat sentiment onderschrijven. Ik heb een lijst aan authenticator apps voor verschillende systemen en omgevingen. Ben er helemaal zat van. Ik zie de noodzaak en heb het ook, maar tegelijk moet dit veel beter. En zeker niet nog meer stappen.

MarcoC @bzuidgeest • 10 mei 2023 19:31

Het is meestal niet nodig meerdere authenticator apps te installeren. Ik gebruik uitsluitend Microsoft Authenticator. De meeste authenticator apps implementeren time-based one-time passwords volgens RFC 6238. Je kan dus bijv. prima een Google 2FA code koppelen aan Microsoft Authenticator.

bzuidgeest @MarcoC • 10 mei 2023 22:31

Dat is ook wat ik primair heb, maar het dekt niet de lading. En dan hebben we het nog niet over de plekken die weer hardware tokens gebruiken. Als je in een beetje verschillende beveiligde omgevingen komt neemt het aantal "sleutels" dat je hebt schrikbarend toe soms. Niet alleen voor computers, maar ook deuren, kluizen etc etc...

snoopdoge90 @Jeroenneman • 10 mei 2023 17:10

Euh, overdrijven is ook een vak. Hoezo is dit irritanter? I.p.v. op "Goedkeuren" klikken moet je nu op het nummertje klikken dat op je scherm staat. Volgensmij frustreer jij je aan MFA met authenticator apps in het algemeen.

Ik dacht dat techniek het leven makkelijker moest maken, niet frustrerender?

Heb je mooi gedacht. Security is altijd een afweging tussen gemak en veiligheid geweest. Ik denk dat je het eerder moet zoeken bij de beleidsmakers van jouw bedrijf als ik dit zo lees.

Jeroenneman @snoopdoge90 • 10 mei 2023 17:17

Klikken op het nummertje? Ik dacht dat je een nummer moest invullen in de app. Het is volgens mij niet de ene klik voor de andere klik.

Dahwe @Jeroenneman • 10 mei 2023 17:50

Ja, het was voor Microsoft even platgezegd "goedkeuren ja/nee". Er is een variant waarbij je 1 van de 3 gepresenteerde tweecijferige getallen moet aanklikken en de nieuwe number matching manier uit dit artikel maakt dit iets "handmatiger" doordat je dit getal zelf moet typen.

Nieuwe versie kan wel veel meer info geven zoals de naam van de applicatie/dienst waarvoor de de aanmeldpoging doet (zoals DigiD dat ook doet) of vanaf waar de inlogpoging is.

https://identity-man.eu/2...g-and-additional-context/

supersnathan94 @Dahwe • 10 mei 2023 18:32

… En daarna nog accepteren.

Het zijn alleen maar meer handelingen geworden.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Authenticatie

@Jeroenneman • 10 mei 2023 18:46

Je moet een nummer overnemen / overtypen inderdaad.

[Reactie gewijzigd door Bor op 22 juli 2024 14:14]

bartje @Jeroenneman • 10 mei 2023 16:45

ben ik niet met je eens.

Voor mij is het ook veel makkelijker de deur niet op slot te doen. Toch doe ik het vanwegen de veiligheid.
Als je mensen moet dwingen hun deur op slot te doen als het jouw verantwoordelijkheid is dat ze veilig zijn. Dan is dat zo.

Tielenaar @bartje • 10 mei 2023 16:48

Heb jij een sleutel en daarnaast een verificatie via je je telefoon om je eigen huis binnen te komen?

draadloos @Tielenaar • 10 mei 2023 16:55

Maar als ze je sleutel jatten moeten ze eerst je huis vinden, en vanuit Rusland oid doen ze dat niet. Je digitale account is net wat makkelijker te misbruiken....

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Authenticatie

@Tielenaar • 10 mei 2023 17:13

Je eigen huis kent een heel ander aanvalsoppervlakte. De locatie is veelal onbekend bij anderen, het is niet op afstand aan te vallen, je kan niet op afstand naar binnen etc. Dit in tegenstelling tot bijvoorbeeld een e-mail account of een remote toegankelijke PC. Je vergelijkt appels met peren.

supersnathan94 @bartje • 10 mei 2023 19:14

Nee uiteraard, maar het is best wel irritant om iedere keer de kamer deur op slot te vinden als je even koffie gaat halen. En in deze usecase met VMware moet je dan dus ook nog de voordeur eerst van het slot afhalen.

Niet heel gebruiksvriendelijk.

bartje @supersnathan94 • 10 mei 2023 20:15

Maar…. Dit hoeft maar eens in de 60 dagen toch?

supersnathan94 @bartje • 11 mei 2023 08:48

Nou nee. Bij sommige partijen meermaals per dag.

Ik heb ook zo’n klant waar je 15 keer op een dag opnieuw mag inloggen met 2FA (van verschillende vendoren).

Maar laptop fatsoenlijk beveiligen … $_/-\o_$

emcore @Jeroenneman • 10 mei 2023 17:07

Juist omdat er van die omgevingen zijn waarbij je dit elke paar minuten moet doen, is het zo belangrijk dat ze deze wijziging doorvoeren.

Het artikel geeft ook al aan waarom ze dat doen. Voordat ze dit implementeerde, kon je niet eens zien waar het 2FA verzoek vandaan kwam. Alleen: "Wil je dit account inloggen?" Zonder enige context.
In de situatie dat je +/- tegelijk met een kwaadwillende partij inlogt, heb je dus geen idee welke van de prompts van jou zijn. Dit helpt dus heel erg om dit een stuk veiliger te maken. Je weet nu 100% zeker* welke prompt er bij welke actie hoort.

Bij een klant kregen we soms gewoon om de haverklap van die prompts, maar dan was niet duidelijk wat de oorsprong was. Die drukte ik altijd weg, maar het zal je maar gebeuren dat dat inderdaad een kwaadwillende partij was en je per ongeluk op OK drukt. Deze wijziging maakt dat ook een stuk moeilijker, als niet onmogelijk, dus ook dat is winst in mijn ogen.

*= Helemaal 100% is het natuurlijk niet, het zijn volgens mij altijd getallen < 100, dus er is een kans dat 2 prompts hetzelfde getal geven, maar ik hoop dat ze daar iets slims voor hebben gedaan.

supersnathan94 @emcore • 10 mei 2023 19:16

Best, maar toon dan gewoon een x-cijferige code op het scherm. En houd de ondersteuning voor de Apple watch. Dat maakt het een stuk makkelijker en sneller.

Maar die trekken ze er met deze wijziging ook uit, omdat ze zogenaamd niet de juiste informatie kunnen tonen.

Blokker_1999

Microsoft
Beveiliging en antivirus

@supersnathan94 • 10 mei 2023 20:07

Het scherm van de Apple watch is te klein om alle informatie op te typen, en de keuze om je in de app een code te laten typen is ook zeer bewust. Een aanvaller kan de informatie op de website wel eenvoudig manipuleren, maar het is een stuk moeilijker om de informatie in de app te manipuleren. En als jij gewoon een TOTP wenst over te typen, dan haal je verschillende lagen van de beveiliging die MS hier verplicht introduceert weer weg.

Wil je deze beveiliging niet als bedrijf? Dan zul je moeten overschakelen naar een andere identity provider. Je kan naar Okta, Duo, ... mogelijkheden genoeg.

supersnathan94 @Blokker_1999 • 11 mei 2023 08:47

Het scherm van de Apple watch is te klein om alle informatie op te typen, en de keuze om je in de app een code te laten typen is ook zeer bewust. Een aanvaller kan de informatie op de website wel eenvoudig manipuleren, maar het is een stuk moeilijker om de informatie in de app te manipuleren.

Er hoeft ook niks op getypt te worden, ze hoeven het alleen te tonen. En dat het te klein zou zijn klopt al niet. Apple doet het namelijk zelf ook voor AppleID. Inclusief kaartje met locatie.

Het aanpassen van de info in de app is overigens ook niet nodig, een passthrough voor authenticatie werkt immers twee kanten op. Als de tussenliggende site jou probeert te hacken dan lukt dat ook met dit invoeren wel.

Nee dit is puur tegen MFA meldingsmoeheid. En daar zijn gewoon betere manieren voor.

Tielenaar @Jeroenneman • 10 mei 2023 16:45

Ja, dit echt.
Misschien is het een kwestie van configuratie door de sysadmin, maar mijn vrouw werkt op de HU met een Microsoftomgeving en elke keer bij moet ze opnieuw inloggen, en met mfa. En waarom? Om die paar studentenmailtjes te beveiligen?
Ik log met mijn Google account 1x in per browser/apparaat en dan vervolgens een jaar niet ofzo. Je hebt toch je apparaat vergrendeld als je er niet mee werkt? Dat is toch genoeg?

Ik snap die drang naar overdreven "veiligheid" echt niet.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Authenticatie

@Tielenaar • 10 mei 2023 16:49

Om die paar studentenmailtjes te beveiligen?

Ik neem aan dat iedereen dat moet en dat het daarom dus niet gaat om "die paar studentenmailtjes" maar een veelvoud van duizenden of miljoenen berichten welke o.a. mogelijk persoonsgegevens bevatten?

Bij beveiliging draait het altijd om het afwegen van veiligheid, kosten en gebruiksgemak. Die afweging heeft blijkbaar geresulteerd is deze oplossing.

Tielenaar @Bor • 10 mei 2023 16:51

Ik begrijp de afweging niet. Je logt ten eerste iemand continu uit, je forceert MFA, dus gaat het management er blijkbaar van uit dat je je laptop onbeheerd achterlaat zonder lock.

We draaien door, echt.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Authenticatie

@Tielenaar • 10 mei 2023 16:56

E-mail is nou juist een voorbeeld waar je remote ook bij kan; alleen een username en password is al jaren niet meer veilig genoeg. Niet in de laatste plaats omdat mensen veelal niet in staat zijn een goed en veilig wachtwoord te kiezen, in phishing trappen etc.

Tielenaar @Bor • 10 mei 2023 16:58

En waarom word je op je eigen device herhaaldelijk gevraagd om mfa? Dat heeft toch niks met remote inloggen te maken?
1x per sessie, en een timeout van een jaar als je het mij vraagt, is genoeg.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Authenticatie

@Tielenaar • 10 mei 2023 17:01

Om hier een goed antwoord op te geven dien je meer van de omgeving en de te beschermen informatie af te weten. Het komt in de basis neer op een goede risico analyse en juist niet op "1x per sessie, en een timeout van een jaar als je het mij vraagt, is genoeg.", want waar baseer je dit "goed genoeg" op? Welke maatregelen zijn er om verdere controles uit te oefenen? Is jouw "eigen device" beheerd of niet? Zo zijn er nog legio vragen om te beantwoorden voor je een goede afweging kan maken.

Stiggy @Bor • 10 mei 2023 17:14

Probleem is dat 'anderen' die afweging gaan maken voor jou als eindgebruiker en je daarmee opzadelen met mfa terwijl jij dat misschien helemaal niet nodig vindt (hallo Nest thermostaat!)

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Authenticatie

@Stiggy • 10 mei 2023 17:23

Probleem is dat 'anderen' die afweging gaan maken voor jou als eindgebruiker en je daarmee opzadelen met mfa terwijl jij dat misschien helemaal niet nodig vindt

Heel hard gezegd maakt het niet uit of jij MFA wel of niet nodig vindt in veel omgevingen maar draait het om bescherming van o.a. persoonsgegevens, aansprakelijkheid, compliancy etc. We hebben het in dit geval over de Microsoft Authenticator welke veelal ook zakelijk wordt toegepast. Daarbij is de doorsnede gebruiker helemaal niet in staat om een goede afweging op dit vlak te maken jammer genoeg. Niet in de laatste plaats omdat deze geen inzicht heeft in alle vereist variabelen en dreigingen.

Stiggy @Bor • 10 mei 2023 17:37

In zakelijke omgevingen kan ik daar veelal wel in mee gaan. Helaas is het wel dat zo de groepen die bezig zijn met security veelal een soort ongebreidelde macht lijken te hebben in bedrijven en veelal totaal geen kaas van usability / UX hebben. UX en beveiliging staan altijd op gespannen voet met elkaar. In grote bedrijven dagelijks duizenden werknemers frustreren omdat het security groepje meent dat zij de juiste afweging kan maken (en daarbij alleen naar security aspecten kijken) lijkt me ook niet de juiste weg. Enne.. bij producten en diensten die ik zelf (privé) afneem maak zelf graag uit welk niveau van security ik wel, dank u.

mjtdevries @Stiggy • 10 mei 2023 18:06

In grote bedrijven dagelijks duizenden werknemers frustreren omdat het security groepje meent dat zij de juiste afweging kan maken (en daarbij alleen naar security aspecten kijken) lijkt me ook niet de juiste weg

Prima dat je dat vind, maar dan ook niet klagen als er elke dag weer nieuws is over een bedrijf met een groot datalek.

The Zep Man

Beveiliging en antivirus
Microsoft

@Stiggy • 10 mei 2023 17:19

Het onderliggende probleem is dat je als gebruiker niet veel in de melk te brokkelen hebt over de beveiliging van de dienst van een ander. Je kan uiteraard ook selfhosting doen, en zelf bepalen hoe veilig je het maakt.

Als dat niet mogelijk is en je moet gebruik maken van de dienstverlening van een ander, dan heb je vaak maar twee keuzes: accepteren of vertrekken.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 14:14]

Minisculus @Tielenaar • 10 mei 2023 17:18

Hoewel jij misschien uitgaat van de goede trouw van je medemens, kan een systeembeheerder dat vandaag de dag helaas niet meer. Legio voorbeelden waarbij door misbruik van de zwakste schakel een hele keten op straat ligt. Denk aan die ene collega die voor alle accounts hetzelfde wachtwoord gebruikt, overal kiest voor "wachtwoord onthouden", "ingelogd blijven" en "Poh, MFA komt later wel, gedoe allemaal".
Systeembeheerders móéten beleid afdwingen, de goeden lijden hierdoor een beetje onder kwaden om het zo maar te zeggen. En als je bedenkt dat veel van die kwaden inderdaad met gevoelige gegevens werken zoals jouw medische gegevens, mijn verzekeringspapieren of noem het maar op, denk ik dat we blij mogen zijn dat de mogelijkheden om dit soort beleid te faciliteren er zijn. En worden gebruikt.

Blokker_1999

Microsoft
Beveiliging en antivirus

@Tielenaar • 10 mei 2023 20:14

Voor een goed antwoord daar op zal je contact op moeten nemen met de CISO, het security team of het IT team van de organisatie. Zij hebben dit beleid zo ingesteld met een reden. Je vrouw kan altijd navragen wat die reden is. Ook wij hebben applicaties waarbij je na een half uur inactiviteit wordt afgemeld en je opnieuw met MFA moet aanmelden om er in te geraken. Dat is op zich nog niet de vreemdste zaak, maar moet wel in verhouding staan tot de data die je wenst te beveiligen.

En ik kan mij inbeelden dat in een hogeschool ook wel wat privacy gevoelige informatie wordt beheerd en regelmatig ook per mail wordt verzonden. Dan wil je de beveiliging daarvan ook goed in orde hebben. Al is de aanbeveling van Microsoft ook om slechts 1x per 30 dagen een challange te doen in de meeste omgevingen.

xiam @Bor • 10 mei 2023 17:19

Inlognaam en ww niet voldoende? Hoe kan het dat pincode nog niet verlaten is door banken?
Edit typo bedankt iPhone

[Reactie gewijzigd door xiam op 22 juli 2024 14:14]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Authenticatie

@xiam • 10 mei 2023 17:21

Inlognaam en we niet voldoende? Hoe kan het dat pincode nog niet verlaten is door banken.

Een pincode bij de bank werkt totaal anders. Ten eerste is deze gebonden aan de pinpas; het werkt niet op afstand (zoals een username / password doorgaans wel), de hash is niet eenvoudig te achterhalen uit de chip op de pinpas, de bank neemt de pinpas na 3x een onjuiste pin in en blokkeert de rekening. Appels en peren.

markvankampen @Tielenaar • 10 mei 2023 17:14

Om die paar studentenmailtjes te beveiligen?

Dezelfde login geeft toegang tot meer dan e-mail. En toegang tot een mailbox kan een eerste stap zijn om een organisatie binnen te komen. Denk aan een phishing mail verzonden vanuit de mailbox van het afdelingshoofd van de IT-afdeling. Hopen dat iemand hapt, omdat de mail van een vertrouwde interne afzender komt.

ZaPPZion @Tielenaar • 10 mei 2023 17:23

Vergrendeling is niet genoeg, ooit gehoord van session hijacking? Gewoon elke dag opnieuw inloggen, dan wordt zoiets ook een stuk lastiger.

Marve79 @Tielenaar • 10 mei 2023 17:19

Dat kun je als admin instellen hoe vaak je moet herauthenticeren. Meeste bedrijven zetten het op 14 of 30 dagen en dat vind ik al irritant kort.

latka @Jeroenneman • 10 mei 2023 16:48

Ik weet niet precies wat het probleem is, maar het lijkt toch echt te zitten in VMWare en niet zozeer in MFA. Er is niets dat je verplicht om mensen uit loggen na een paar minuten. Het kan wellicht wel verstandig zijn om dat wel te doen, maar dan is MFA met een authenticator app wellicht niet de juiste oplossing en is een yubikey oid beter op zijn plek.

jaquesparblue @Jeroenneman • 10 mei 2023 17:01

Omdat als je de gemiddelde gebruiker niet verplicht actie te ondernemen op hun beveiliging iedereen nog vrolijk met "welkom123" door het leven gaat.

blissard @jaquesparblue • 10 mei 2023 18:29

Klopt en is vervelend, maar wordt soms ook veroorzaakt door wachtwoord beleid dat veel te regelmatige aanpassing eist. Dan gaan mensen vanzelf wachtwoord+volgnummer hanteren. En als je dat onmogelijk maakt, gaat er een Post-it op de laptop.

IStealYourGun @Jeroenneman • 10 mei 2023 17:43

Dat is dan toch de keuze van de organisatie, want je kan gerust een time-out voorzien waarin je geen nieuwe mfa moet ingeven.

Los daarvan zou er eigenlijk weinig mogen veranderen in verhouding met het verleden. Je meld je aan en krijg een notificatie. Het verschil is dat je nu een nummer moet ingeven om te bevestigen ipv dat je zonder nadenken gewoon op accept drukt, zelfs als je niet eens aan het werk bent.

GekkePrutser @Jeroenneman • 10 mei 2023 16:50

Die zullen bij een niet gedwongen keuze nooit meer voor MFA kiezen. En nu doet Microsoft er nog een schepje bovenop met nóg een actie die je iedere keer moet uitvoeren...

Dat is het punt, MS probeert dit ook steeds meer af te dwingen. Laatst hebben ze het voor alle O365 zakelijke gebruikers aangezet (onder de naam "Security essentials").

Ik snap het wel maar ik heb zelf veel liever goede FIDO2 support dan dit soort MFA app zooi. Het punt is dat Fido het makkelijker maakt en veiliger. Die appjes maken het veiliger maar veel omslachtiger. Gelukkig heeft O365 wel echte fido ondersteuning (in eeuwige preview de laatste keer dat ik het checkte), als een van de weinigen maar niet alle platformen (mobiel met name) ondersteunen dit al.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 14:14]

DDX @Jeroenneman • 10 mei 2023 16:55

Je kan toch met trusted devices werken ?
(op basis van ipadres bijvoorbeeld)

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Authenticatie

@DDX • 10 mei 2023 17:15

Trusted devices op IP ranges zijn geen MFA factor omdat ze doorgaans jou niet als persoon identificeren. Het gebruik van whitelisting op basis van IP adres is tegen best practice en o.a. in strijd met het principe van Zero Trust wat in veel Microsoft omgevingen (maar ook daarbuiten) geldt.

DDX @Bor • 10 mei 2023 21:03

En toch kan je bij Microsoft gewoon op ipadres whitelisting instellen.
Ook beetje dubbel op zegmaar als je mfa op vpn hebt zitten dan kan je die iprange 'vertrouwen'

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Authenticatie

@DDX • 10 mei 2023 21:13

Ja dat kan maar dat maakt het nog geen multi factor. Je zal wanneer je IP whitelisting gebruikt de beveiliging op een andere plek moeten toepassen.

markvankampen @DDX • 10 mei 2023 17:16

Hoe zie je dit voor je? Hoe registreer je een device als vertrouwd? En blijft dat device dan vertrouwd?

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Authenticatie

@markvankampen • 10 mei 2023 19:41

Een trusted device kan je op meerdere manieren kenmerken. Veelal wordt er een intune managed device mee bedoelt binnen een M365 / Azure omgeving eventueel aangevuld met compliance policies. De vraag is echter of dat het device echt "trusted" maakt. Een trusted device identificeert jou niet als unieke gebruiker en kan daarom niet als MFA factor worden beschouwd.

kid1988 @Jeroenneman • 10 mei 2023 17:05

Niet per se MFA, de manier waarop dit met mijn privé account werkt is prima, maar ik heb de indruk dat het bij mijn zakelijke account complete willekeur is, danweer fingerprint of device pin, dan weer passwords, dan weer MFA. En inderdaad bij iedere inlogpoging. En dan ook nog iedere 60 dagen passwords vernieuwde.

Gevolg; zwakke passwords, en mfa-fatigue.

En iedereen moet een 2e apparaat van de baas hebben om mfa te kunnen gebruiken, wat lang niet voor iedereen met enkel een mailbox noodzakelijk is

sOid @Jeroenneman • 10 mei 2023 17:10

MFA is voor veel collega's al vooral een moetje, en hiermee wordt het nog irritanter. Vooral met een VMWare omgeving die uitlogt zodra je even een paar minuten inactief bent.

Die vrees hadden wij ook. Maar een paar maanden geleden al geïntroduceerd en ik heb er eigenlijk niemand over gehoord (organisatie met ongeveer 500 man).

Vooral belangrijk om vooraf goed duidelijk te maken waarom het zinvol is.

HKLM_

Microsoft

@Jeroenneman • 10 mei 2023 17:29

Op kantoor gewoon je conditional access goed configureren en dan heb je op op de zaak geen (last) van de MFA meldingen.

Als je last hebt van MFA is je configuratie niet op orde.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Authenticatie

@HKLM_ • 10 mei 2023 18:14

Dat is wel wat kort door de bocht. Sommige zaken worden ook veroorzaakt door de Microsoft implementatie van MFA waarbij je het o.a. niet kan gebruiken bij de initiële inlog (tenzij bv Windows hello for business) in Windows en er onderscheid wordt gemaakt tussen verschillende MFA tokens / claims (bv applicatie VS web). Veel organisaties worstelen met implementatie en beperkingen.

bush @Jeroenneman • 10 mei 2023 17:50

Bij goed ingestelde policies moet je dat toch zelden doen? Vanop mijn werk laptop krijg ik bijna nooit een mfa challenge

Cergorach

Beveiliging en antivirus

@Jeroenneman • 10 mei 2023 18:35

Beveiliging moet proportioneel zijn tov. de activiteiten. Bij een tegelleggers bedrijf zal dat anders zijn dan bij bv. een bank.

Een VMWare omgeving die je uitlogt bij een 'paar' minuten inactiviteit is of een omgeving waarbij veel security nodig is OF is heel slecht ingericht. Daarnaast is het MFA vereiste afhankelijk van welke application je gebruikt en hoe. Zo worden er tokens uitgegeven en kan je instellen hoe vaak een bepaald type account MFA moet gebruiken om aan te melden, daar kunnen bepaalde security regels een schepje bovenop doen als er enigszins verdachte aanmeldpogingen plaatsvinden. Ook hier geld, het klinkt als een omgeving waarbij veel security nodig is of het is heel slecht ingericht.

Techniek maakt helemaal niets, van nature maakt het leven niet moeilijker of makkelijker, het is de mensen die het gebruiken die dat bepalen. En die mensen zijn gebonden aan de omgeving waarin ze werken.

Als mensen niet de verantwoordelijkheid kunnen opbrengen om te fungeren in een omgeving waarin beveiligingsacties vereist zijn, hebben ze imho helemaal niets te zoeken in een dergelijke omgeving. Laat die mensen lekker iets doen waarbij dergelijke beveiligingsacties/verantwoording niet vereist is...

un1ty @Jeroenneman • 10 mei 2023 19:26

Daarom gebruik ik dashlane (na jaren LastPass), die vult voor mij automatisch de 2FA na biometrische authenticatie (Windows Hello of vingerafdruk op de telefoon) en dat is een hele verademing. Ik heb voor vrijwel elke dienst waar ik gebruik van maak 2FA aanstaan, en overal automatisch sessies laat afsluiten obv inactiviteit. Waardoor ik overal na het sluiten van een sessie opnieuw moet inloggen, dat kan op een werkdag maar zo betekenen dat ik 20+ keer de Authenticator erbij zou moeten pakken, en dat telt op. Met dashlane bespaart dat aanzienlijk in tijd, overal een sterk wachtwoord + 2FA. Ik zou willen dat Microsoft een vergelijkbare oplossing zou bieden.

Sluuut @Jeroenneman • 10 mei 2023 20:21

Het is altijd een balans zoeken tussen werkbaarheid en veiligheid.

Ik vind het een hele goede toevoeging. MFA word soms gespammed door hackers naar endusers, waarbij een enduser dan maar op accept klikt om van de meldingen af te zijn. Als je bij zo'n melding ook nog eens codes krijgt meegestuurd waarvan je bewust bent dat die moeten matchen omdat je dat eerder zo hebt gebruikt, ben je dus ook bewuster van de misbruik die er word gepleegd als er een code langskomt waar je geen weet van hebt.

Daarnaast is dit maar een tijdelijke oplossing, toekomstige MFA gaat toch biometrisch worden zoals b.v. gezichtsherkenning.

Yucon @Sluuut • 11 mei 2023 11:55

Zijn ze niet al door de pwd beveiliging heen als je zo'n request krijgt?

Sluuut @Yucon • 11 mei 2023 13:16

Mogelijk wel, maar niet per definitie. Ze kunnen ook een MFA token stelen zonder wachtwoord en dat als eerste ingang gebruiken.

x86dev @Jeroenneman • 10 mei 2023 20:43

MFA heeft in de huidige opzet bijna geen toegevoegde waarde omdat gebruikers (uit ervaring) toch gewoon alle verzoeken accepteren.

Stpan @Jeroenneman • 11 mei 2023 05:33

Vroeger moest je in je auto stappen, naar kantoor en bij de beveiliging je bedrijfspas laten zien voordat je kon beginnen met inloggen.

Nu moet je een getalletje intoetsen.

Het is juist de gemakzucht die criminelen vrij spel geeft. MFA werkt alleen als je (zo goed als) 100% zeker weet dat het Pietje is die op de account van Pietje inlogt.

Er is altijd een hoop gezucht en gesteun bij een MFA implementatie. Maar het duurt serieus 10 seconden om in te loggen. Dat vind ik een nihile investering voor de eindgebruiker om het netwerk en data veilig te houden.

trisje @Jeroenneman • 11 mei 2023 10:30

gezien de aantal phishing mails en successes hier mee, is MFA een van de beste oplossingen om dat tegen te gaan. op ons werk hebben voor alle account MFA. Dit is een van de beste en eenvoudigste beveiligngen die men kan hebben. Dat sommige mensen het vervelend vinden en sommige zelfs proberen te wieigeren, ze willen de app niet op hun telefoon installeren want dat is prive. dus dan maar sms. Want dat zijn ook precies de mensen die hun wachtwoorden in vullen na een verzoek in een mail hun outlook account te verlengen.

gimbal @Jeroenneman • 11 mei 2023 10:39

Nee techniek zou versterkend moeten zijn, meer mogelijkheden scheppen. Gemakzucht zou niet een doel moeten zijn. Het leidt ook naar dikke buiken, spieraandoeningen, slaaptekort, onvruchtbaarheid, constante pijn, verslaving, depressie... Gemakzucht is een loeder.

Met die versterkende mogelijkheden komt ook een noodzaak voor extra beveiliging.

[Reactie gewijzigd door gimbal op 22 juli 2024 14:14]

Henk-Bakker @Jeroenneman • 11 mei 2023 15:30

Bij ons is het tegenovergestelde aan de hand. Eerst vond men MFA irritant.Na wat Awareness trainingen juicht iedereen deze extra stap toe.

Dus het kan wel, zelfs bij ons.....

d3burt

@Jeroenneman • 11 mei 2023 22:50

Als je gebruik maakt van een goed geïmplementeerde Single Signon hoef je maar eens per tijdsperiode gebruikersnaam, wachtwoord en 2FA te gebruiken. Een mooie tijdsperiode vind ik 16 uur. Dat betekent dat je in veel situaties zelfs minder vaak hoeft in te loggen dan voor de introductie van 2FA. En juist doordat je hem zo weinig nodig hebt valt het extra op als je moet inloggen, en ben je beter waakzaam tegen phishing.

De keuze om heel korte sessies te verplichten verlaagt naar mijn smaak het security niveau, precies om de redenen die je aangeeft. Het idee om korte sessies te gebruiken komt voort uit de gedachte dat op die manier een gestolen browsercookie minder schade aan kan richten. Helaas is het tegenwoordig zo dat de meeste adversaries die cookies kunnen stelen ook erg goed zijn in het toegang houden tot verse cookies.

muchu 10 mei 2023 17:28

Het maakt het wel een stuk omslachtiger. Voorheen kon ik de MFA goedkeuren door op m'n Garmin horloge te tikken, nu moet ik telkens m'n telefoon bovenhalen, ontgrendelen,....
Ik moet dit toch enkele keren per dag doen op het werk.

bush @muchu • 10 mei 2023 17:49

Zolang ik aanlog vanop mijn werk laptop moet ik bijna nooit mfa accepteren. Waarom moet je dat meerdere keren per dag doen?

humpus @bush • 10 mei 2023 17:51

Omdat niet alle applicaties van je organisatie op één beveiligingslaag hoeven te zitten.
Wanneer er extra authenticatie nodig is, is dat bijna altijd MFA.

firest0rm @bush • 10 mei 2023 18:06

Dat ligt maar net aan hoe de IT afdeling Conditional Acces beleid heeft ingesteld in de Azure AD omgeving.
Je kan letterlijk MFA inlog afdwingen op iedere app die gekoppeld is aan single sign on van Azure AD als je laptop bijvoorbeeld niet voldoet aan bepaalde veiligheidseisen. Verder kan je ook bepaalde IP adressen white listen waardoor MFA niet nodig is op die locatie.

Bepaalde bedrijven hebben dit strenger ingesteld dan anderen.

[Reactie gewijzigd door firest0rm op 22 juli 2024 14:14]

stuffie123 @bush • 10 mei 2023 18:16

Je hoeft niet in te loggen als je je apparaat vertrouwd hebt gemaakt. Dat kan bijvoorbeeld door:

- Je werk- en schoolaccount te registreren op je device. Je browser moet op dit account kunnen inloggen. Bij Edge moet je ingelogd zijn op Edge, bij Chrome moet je de extensie "Windows Accounts" installeren en bij Firefox is het een vinkje.

- Tijdens het Keep Me Signed In (KMSI)-venster te kiezen voor Yes. Je browser krijgt dan een persistent cookie en zal niet meer vragen om in te loggen.

- Je browser in te stellen dat het bij opnieuw starten doorgaat waar je was gebleven.

Er zijn wat haken en ogen, maar hier komt het wel op neer.

Olaf van der Spek @muchu • 10 mei 2023 18:05

Ik moet dit toch enkele keren per dag doen op het werk.

Als dat het grootste issue is, is dit toch een non-issue?

SunnieNL

@muchu • 10 mei 2023 18:14

Wel veiliger. Wat jij bespreekt, het gewoon goedkeuren door te tikken is wat leidt tot MFA fatique waarbij mensen gewoon tikken om van de melding af te zijn.

aikebah @SunnieNL • 10 mei 2023 19:20

Wel veiliger. Wat jij bespreekt, het gewoon goedkeuren door te tikken is wat leidt tot MFA fatique waarbij mensen gewoon tikken om van de melding af te zijn.

Het constante vragen om MFA is wat leidt tot MFA fatigue, niet het gewoon goedkeuren door te tikken. Dat is het symptoom dat laat zien dat er sprake is van MFA fatigue.

De beste beveiliging tegen MFA fatigue is MFA zo infrequent als mogelijk inzetten (zodat misbruik opvalt omdat er nog geen MFA fatigue is).

De beste tegenmaatregel om het symptoom van MFA fatigue te bestrijden (domweg goedkeuren met een tik) is wel een actie als deze van MS: een evidence uit de MFA challenge op moeten geven om te bevestigen dat het die MFA challenge is die je wilt goedkeuren.

trisje @aikebah • 11 mei 2023 10:39

De keren dat je MFA echt moet gebruiken zijn toch echt op een vinger in een maand te tellen voor een normaal account op een werk computer en als mensen het bijna nooit gebruiken denken ze wat is dit mmm van me werk ? click... weg. Dus ja nummer invoeren is wat lastiger maar echt veel veiliger. let wel de mensen die click weg doen zijn precies ook de mensen die op de phisihing mail reageren. oo ja sorry ik was druk, snel even ingevuld. jullie moeten me ook niet vragen mijn mailbox te vernieuwen. kunnen jullie dat niet zelf ?

aikebah @trisje • 12 mei 2023 18:17

Of de MFA fatigue optreedt of niet hangt af van hoe een bedrijf het ingeregeld heeft.

De MFA fatigue treedt vooral op bij bedrijven die om de haverklap een MFA challenge doen. Bij een beetje goed ingeregelde systemen zou dat idd niet nodig hoeven zijn voor de gemiddelde medewerker. Medewerkers op zeer kritische posities zouden wellicht vaker tegen een MFA challenge aan lopen. Maar van hen kan ook een verhoogde awareness verwacht worden en ze weten meestal van tevoren dat ze tijdens actie X een challenge kunnen verwachten en tijdens ander werk niet.

Maar vergelijk het met de allereerste UAC implementatie op windows: omdat iedere applicatie zonodig wilde wegschrijven onder program files ipv het userprofile was om de haverklap een elevatie naar admin-rechten nodig, dus 'iedereen' zette UAC gewoon maar uit, want die kwam veel te vaak langs en deed je dat niet, dan drukte je alsnog bijna automatisch op het allow/yes knopje.

MFA fatigue is hetzelfde probleem: als je MFA challenge te veel langs komt dan komt er een moment dat het zo normaal is dat je hem ziet dat je 'blind' accepteert.

Daarnaast verhoogt dat nummer invoeren de veiligheid, want het nummer wordt getoond op het device dat in wil loggen en moet ingevuld worden op je 2e factor voor een succesvolle challenge afhandeling. Is het device dat in wil loggen het remote systeem van de hacker dan weet de eigenaar van de 2e factor de challenge niet en kan die dus niet succesvol de challenge autoriseren.
In het oude scenario kon een hacker gewoon challenges blijven triggeren tot iemand op OK drukte (om van de challenge af te zijn, of omdat ongeveer op hetzelfde moment hij ook een actie deed waarvoor ie een challenge verwachtte... die ook wel kwam, maar dan net achter die van de hacker aan).

[Reactie gewijzigd door aikebah op 22 juli 2024 14:14]

Herbiek616 @muchu • 11 mei 2023 00:30

Je administrator kan ook het IP adres van je werklocatie opgeven als een veilige zone zodat je op die locatie in elk geval geen MFA hoeft te doen. Moeten ze er natuurlijk wel voor zorgen dat alleen eigen personeel vanaf die locatie het netwerk benaderd en niet een of andere gast vanaf de "openbare" wifi vanaf de parkeerplaats.

Henk-Bakker @Herbiek616 • 11 mei 2023 15:31

Daar stappen wij nu juist vanaf, moet je niet willen. Niet voor personeel, ook niet voor consultants, etc....

[Reactie gewijzigd door Henk-Bakker op 22 juli 2024 14:14]

Woohooo 10 mei 2023 16:36

Goed dat dit wordt verplicht, zeker ook omdat geen max aantal pushberichten ingesteld kon wordt per x seconden of minuten. Het is wel iets omslachtiger om in te loggen, duurt iets langer maar dan neem ik graag op de koop toe

xFeverr @Woohooo • 10 mei 2023 16:38

Je eigen computers en laptops staan toch als vertrouwd, dus zo heel vaak moet je dit niet doen. Tenzij je gedeelde computers hebt.

LostInNight @xFeverr • 10 mei 2023 16:46

Was dat maar zo. Binnen bepaalde beveiligde omgevingen moet ik elke keer authenticeren met MFA. Die scenarios heb je ook nog.

xFeverr @LostInNight • 10 mei 2023 16:51

Ja, maar dat moeten dan wel dingen zijn die veruit de meeste mensen binnen de organisatie vrijwel nooit moeten doen op dagelijkse basis.

Tuurlijk heb je taken en rollen met hogere bevoegdheid die zulke dingen vaker moeten doen, maar dat moeten de uitzonderingen zijn.

Gaitie @xFeverr • 10 mei 2023 17:22

Mijn werk (middelbare school) vereist mfa bijna op alle online diensten buiten het schoolnetwerk. Maar gezien ik en veel collega’s thuis ‘s avonds werken moet je voor alles continu mfa gebruiken. Helemaal met deze number matching is schijtirritant. Eerst kon ik op mijn Apple Watch even op een knopje drukken, nu helaas weer omslachtig

Cergorach

Beveiliging en antivirus

@Gaitie • 10 mei 2023 18:45

Je gaat om met gegevens om van kinderen, nogal wiedes dat men daar voorzichtig me omgaat. Er zijn zat oplossingen te bedenken die je leven makkelijker maken zonder dat het minder veilig wordt, maar dat is aan je IT organisatie.

xFeverr @Gaitie • 10 mei 2023 18:47

En dat is heel jammer, want dat hoeft dus niet. Misschien een keer om extra verificatie vragen als je voor het eerst op een andere locatie bent. Maar verder? Is alleen maar irritant en hinderlijk.

Jammer, want als MFA goed is ingericht heb je er eigenlijk geen last van in je dagelijkse gebruik.

Seal64 @xFeverr • 11 mei 2023 08:30

Mijn organisatie vereist MFA bij elke keer dat je via een VPN naar binnen wil. Je kunt zo vaak klikken op dat vinkje dat dat de komende 30 dagen niet meer gevraagd moet worden, maar de volgende keer vraagt hij het gewoon wéér.

Daarnaast zit er nog een timer op elke VPN connectie, waardoor na ongeveer 10 uur de verbinding automatisch weer verbroken wordt. Log je dan meteen weer terug in, mag je weer door de MFA heen.

Lekker, want mijn werkdagen zijn 10 uur. Met pauzes krijg ik dus elke middag die melding voor mijn neus dus ik mag minimaal twee keer per dag de app in om gewoon mijn werk te kunnen blijven doen.

En wee je gebeente als je dan in de tussentijd nog eens wil inloggen op de portal van personeelszaken (weer MFA), het e-learning portal (MFA) of één van de andere digitale loketten die we mogen gebruiken voor vanalles en nog wat. Overal MFA, en da's gewoon irritant. Maar ja, dat wordt door corporate geregeld en die vinden het wel best zo.

trisje @xFeverr • 11 mei 2023 10:43

behalve als je op een prive computer werkt buiten het netwerk om. en dan is het terecht dat er om gevraagt wordt want wie zit er nog meer op je prive computer ? en hoe goed is die beveiligd ? dus ja wat irritanter maar wel veiliger.

Henk-Bakker @Gaitie • 11 mei 2023 15:32

Nee hoor, kwestie van wennen en noodzaak snappen.

lenwar

Beveiliging en antivirus
Microsoft

@xFeverr • 11 mei 2023 07:59

Daar is niks algemeens over te zeggen. Stel dat je op een server inlogt met ‘lage privileges’ (tenzij je inloggen al als hoge privileges wil bestempelen, waar ik best in mee kan), dan zou je daar ook al MFA al kunnen toepassen. (Om gestolen wachtwoorden minder effectief minder krachtig te maken)

Dit, omdat men over het algemeen met lage rechten al zaken kan doen/zien.

Het is puur afhankelijk van hoe een organisatie er voor kiest om mee om te gaan. Nogmaals: Daar is niks algemeens over te zeggen.

rud @xFeverr • 10 mei 2023 16:51

Ik moet ook met Microsoft MFA inloggen. Weliswaar op verschillende devices (mobiel, laptop en desktop) maar toch moet ik meerdere keren per dag MFA gebruiken, zelfs op hetzelfde netwerk. Je wordt er knettergek van.

Als het nu voor een bepaalde tijd gekoppeld kon worden aan devices dan zou ik het niet zo'n probleem vinden. Maar kom op, mijn mobiel, die open ik met mijn vingerafdruk. Is het echt nodig dat ik daar iedere keer MFA moet gebruiken?

HKLM_

Microsoft

@rud • 10 mei 2023 17:29

Als het op de zaak is moet de beheerder het gewoon beter inrichten.

timothee @HKLM_ • 10 mei 2023 21:10

Hoe bedoel je dat?

Heel veel MFA pop-ups is idd niet wenselijk en mogelijk gevolg van slechte inrichting. Geldt zowel binnen als buiten je eigen netwerk. Maar helemaal geen MFA binnen je eigen netwerk (IP whitelist) is ook niet echt conform Zero Trust, want dan verklaar je je interne netwerk per definitie als veilig. Zou het wel moeten zijn, maar die garantie heb je niet. Dus dan maar beter - af en toe - een verificatie vragen.

HKLM_

Microsoft

@timothee • 10 mei 2023 21:44

Klopt, volledige whitelist van je netwerk is zeker niet aan te raden, maar met conditional access is er een hoop mogelijk om het de gebruiker binnen je netwerk zo makkelijk mogelijk te maken.

Kiswum @rud • 10 mei 2023 18:35

Mail op je smartphone, dan moet je bij ons ook meerdere keren per dag inloggen. Ik heb daardoor mail van mijn smartphone afgehaald en kan men mij bellen of een Whatsapp bericht sturen als er iets belangrijks is buiten mijn werktijd.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Authenticatie

@xFeverr • 10 mei 2023 16:53

Je eigen computers en laptops staan toch als vertrouwd, dus zo heel vaak moet je dit niet doen.

Dit gaat om zakelijke omgevingen waar je veelal o.a. best practices hebt als Zero Trust ofwel; "Verify Explicitely", "Assume Breach" en "Use Least Privilege Access" als je de Microsoft definitie aanhoudt.

Computers en laptops staan vanuit dat oogpunt niet als vertrouwd, sterker nog; dat is direct tegen de best practices van Zero Trust in.

xFeverr @Bor • 10 mei 2023 17:15

Is dat zo? Microsoft geeft zelf aan dat je MFA prompts tot een minimum moet beperken. Als je in Azure AD de feature ‘remember multi-factor authentication’ (waar ik het dus over heb) lager dan 30 dagen zet, krijg je er zelfs een recommendation over te zien om het aan te passen.

Net zoals dat ze aangeven dat wachtwoorden die na x tijd verlopen geen goed idee zijn en dat je beter je energie kunt steken in andere strategieën, om maar wat te noemen.

Iemand die hele dagen in outlook zit en wat documentjes op Sharepoint bewerkt zou vrijwel nooit een MFA challenge moeten zien als hij op zijn eigen goed beveiligde laptop of desktop werkt.

Ook een goede quote uit de Microsoft documentatie:

The Azure AD default configuration for user sign-in frequency is a rolling window of 90 days. Asking users for credentials often seems like a sensible thing to do, but it can backfire. If users are trained to enter their credentials without thinking, they can unintentionally supply them to a malicious credential prompt.

Bronnen:

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Authenticatie

@xFeverr • 10 mei 2023 17:19

Het is en blijft een risico afweging. Een rolling window van 90 dagen kent ook nadelen. Compliancy rond bv de NIST vind hier doorgaans ook wat van. Het nooit wijzigen van wachtwoorden is nog steeds onderwerp van discussie omdat het ook nadelen kent. Advies of het idee van Microsoft is 1 maar er zijn meerdere partijen die hier iets over roepen wat niet altijd in lijn is met Microsofts advies.

Cergorach

Beveiliging en antivirus

@Bor • 10 mei 2023 18:43

Het is en blijft een risico afweging.

Natuurlijk! Maar je moet ook niet elke gebruiker over dezelfde kam strijken. Admin accounts beveilig je anders dan reguliere accounts. Binnen reguliere accounts beveilig je een directeur (die bv. betalingen kan doen/goedkeuren) ook anders dan de telefonist(e). En MFA is niet je enige line of defense, zaken zoals conditional access, identity protection, etc. Allemaal zaken om je omgeving belangrijker te maken, maar ook het in bepaalde gevallen gebruikers het leven makkelijker te maken. Je laat gebruikers immers niet elke 5min opnieuw aanmelden met MDA, daarin moet een gouden middenweg gevonden worden en die is afhankelijk van in welke branch je actief bent.

Pol039z 10 mei 2023 16:42

Goede zaak.
Laatst zijn er bij ons ook een aantal ethische hackers langs geweest om het e.e.a. te pentesten, en toen zijn er ook meerdere collega's geweest die na meerdere authenticator requests 'gewoon' op accept hebben geklikt. Dit zal ik als iemand met affiniteit met IT nooit begrijpen, maar de gemiddelde 50 jarige Gerda van de HR afdeling - die ik het overigens ook niet persé kwalijk neem - moet je gewoon tegen zichzelf in bescherming nemen.

IStealYourGun @Pol039z • 10 mei 2023 17:45

Genoeg verhalen bekend waar zelfs it'ers dat deden. Vooral s'nachts zou het redelijk succesvol zijn.

SunnieNL

@Pol039z • 10 mei 2023 18:28

Ik moet zeggen dat ik het ook wel eens per ongeluk heb gedaan omdat ik mijn telefoon al aan het gebruiken was (net zoals je per ongeluk op een button kan klikken die ineens op je desktop naar boven komt in een melding en je daar net klikte met je muis om wat anders te selecteren).
En ik ben over het algemeen toch wel redelijk kritisch op waar ik tik/klik.

cyco_nico

10 mei 2023 17:47

Eigenlijk wist je bij MFA zonder number matching ook niet altijd waar je goedkeuring voor gaf. Als ik op m’n werk soms inlog op m’n laptop na een langere periode, bijv. na vakantie, dan vragen Teams, OneDrive en Office soms tegelijk om authenticatie. Zie dan nog maar eens uit te vogelen of daar niet iets raars tussen zit.

Ik krijg nu al een tijdje de number matching en het valt me op dat nu ook een naam van de applicatie wordt genoemd die om goedkeuring vraagt. Geen overbodige luxe.

timothee @cyco_nico • 10 mei 2023 21:04

Het tonen vd App naam staat feitelijk los van de Number Matching optie en is een aparte configuratie optie bij de Authenticator policy onder AAD Authentication methods.

Standaard staat die optie uit, maar heb hem toevallig bij ons gisteren ook ingeschakeld omdat het wel meerwaarde heeft (i.t.t. de optie om de geo locatie te tonen, aangezien die IP gebaseerd is en dus vaak niet juist is - dus contraproductief).

Herbiek616 @cyco_nico • 11 mei 2023 00:27

Je administrator kan zelfs aangeven dat er ook een kaartje getoond moet worden zodat je een idee krijgt vanaf welke locatie er toestemming gevraagd wordt. Dat is niet altijd even precies. Soms zie ik een locatie van mijn internet provider (die nog wel eens wisselt). Maar neem aan dat je in elk geval wel het juiste land te zien krijgt.

rko4u 10 mei 2023 19:06

Ik mis even of dit betekent dat bij Microsoft inlog ook op een of andere manier verplicht microsoft authenticator gebruikt moet gaan worden. TOTP is namelijk uitwisselbaar en dus krijg je met google authenticator dezelfde code.

peddler @rko4u • 10 mei 2023 20:36

Alleen voor Microsoft authenticator icm approve/deny login requests neem ik aan.
Niet voor de overige TOTP apps waarbij je 6 cijferige code moet ingeven.
MFA-fatigue is alleen van toepassing op notificaties waarbij je de login request goedkeurt. Niet voor het zelf ingeven van de TOTP code. Daar krijg je geen notificatie van en je moet de app zelf open voor de TOTP code.

Sando 10 mei 2023 16:42

Als je twee cijfers moet overtypen, dan kan je toch 100 keer proberen met het nummer 42? Statistisch gezien moet je dan één keer het juiste nummer hebben gekozen.

Caelorum @Sando • 10 mei 2023 16:43

Als je het verkeerd invult moet je een nieuwe request doen. Teveel gefaalde inlogpogingen en je krijgt een temp lockout (soms). De accounteigenaar krijgt als het goed is ook een melding van verdachte activiteit en in sommige gevallen zal er ook een permanente lock komen. Er zijn in ieder geval genoeg checks beschikbaar om precies dat te voorkomen.

[Reactie gewijzigd door Caelorum op 22 juli 2024 14:14]

XephireUK @Sando • 10 mei 2023 16:51

Begrijp je opmerking niet. Dit is niet waar een telefoon een nummer genereert dat je op de website moet intypen, maar de website genereert het nummer dat je op de telefoon moet intypen. Als dat klopt ga je verder, anders niet. Je krijgt niet 100 keer een pop-up op je telefoon en blijft 42 intypen. Als je een verkeerd nummer intypt wordt of een nieuw nummer gegeneerd, of je login disabled (weet het niet precies, is me nog niet overkomen, we hebben het al een tijdje hier op het werk). Het idee is dat de hacker misschien je username/password weet, maar geen toegang heeft tot je telefoon, dus dat is de MFA.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Authenticatie

@Sando • 10 mei 2023 16:54

Als je twee cijfers moet overtypen, dan kan je toch 100 keer proberen met het nummer 42? Statistisch gezien moet je dan één keer het juiste nummer hebben gekozen.

En daarom zijn er natuurlijk aanvullende controles en maatregelen en kan je niet zomaar nummers in het wilde weg gaan gokken. Het is een aanvulling of wijziging op het eerst alleen maar moeten goedkeuren van een authenticatie popup. Daarbij is de authenticator device gebonden, die zal je dus ook moeten hebben.

markvankampen @Sando • 10 mei 2023 19:01

Ik maak uit je opmerking op dat je denkt dat het gaat over een nummer dat je intypt op het apparaat waarop je inlogt (laptop). Maar het gaat juist over het apparaat wat je gebruikt als tweede factor (telefoon + authenticator app).

Deze maatregel is bedoeld om te voorkomen dat je een inlogverzoek goedkeurt dat niet door jou is geïniteerd, maar door een hacker die jouw inloggegevens of authenticatietoken (session hijacking) heeft. Je ziet na het inloggen een nummer, vervolgens krijg je een pop-up in je authenticator app en moet je daar hetzelfde nummer invoeren. Zie uitleg hier: https://learn.microsoft.c...n/how-to-mfa-number-match

Het gaat dus om de kans dat jij het nummer invoert dat hoort bij de inlogpoging van de hacker.

comecme @Sando • 10 mei 2023 22:39

Als je 100 keer een getal gokt heb je statistisch een kans van 37% dat je nog niet het juiste nummer hebt gehad.

De kans dan je het verkeerde nummer gokt is 0,99 omdat er 99 waardes zijn die niet de juiste zijn. De kans dat je de tweede keer verkeerd gokt is ook weer 0,99.

De kans dat je twee keer na elkaar verkeerd gokt is 0,99×0,99=0,98. Voor 100 pogingen is de kans dan 0,99^100 = 0,37.

Tenminste, als ik mij de statistiek wiskunde goed herinner.

Sando @comecme • 10 mei 2023 22:43

De kans dat je twee keer na elkaar verkeerd gokt is 0,99×0,99=0,98. Voor 100 pogingen is de kans dan 0,99^100 = 0,37.

Haha, dit is verrassend leerzaam!

+2!

[Reactie gewijzigd door Sando op 22 juli 2024 14:14]

Raymond Deen @comecme • 10 mei 2023 23:31

Bijna goed: als het aantal mogelijke waarden net zoveel is als het aantal pogingen dan is de kans op goed raden bij een niet veranderend getal namelijk 100%.
Bij een wel wisselend getal klopt het.

koppie 10 mei 2023 16:34

Hopelijk lukt het gebruik ook door mijn blinde collega’s. Deze stap werkte tot voor kort erg slecht met schermlezer icm app.

Luchtbakker 10 mei 2023 16:41

Ik wist niet eens van de test af, want ik ken het al 3 maanden zo. Ik vind dit een goede zaak.

Murazor4096 10 mei 2023 16:42

Hopelijk gaat het wat beter samenwerken met andere apps op dezelfde telefoon, ik open Teams nu alleen nog in noodgevallen door alle wachtwoord- en nummerpingpong.

XephireUK @Murazor4096 • 10 mei 2023 16:53

Geen problemen mee, alleen als ik mijn VPN aan heb staan doet die soms lastig als ik in moet loggen. VPN op pause voor 5min, inloggen en verder met de VPN.

Murazor4096 @XephireUK • 10 mei 2023 18:07

Het zal wel in te stellen zijn per bedrijf. Voor mij is het eerst bedrijfswachtwoord, dan krijg een nummer in app 1, die moet ik dan zelf in app 2 invoeren (inclusief een 'Hide this window, I can't see the number'-knop

), dan een Android unlock en dan vervolgens nog een passcode van Teams.

Op dit item kan niet meer gereageerd worden.

Microsoft Authenticator verplicht number matching bij Microsoft-diensten

Lees meer

Vergeet je wachtwoord

Reacties (183)

Sorteer op:

Weergave: