Microsoft voegt passkeyondersteuning toe aan persoonlijke accounts

Microsoft voegt ondersteuning voor passkeys toe aan accounts voor consumenten. Daarmee is het een van de grootste diensten waarvoor de wachtwoordloze inlogmethode beschikbaar komt. Gebruikers kunnen inloggen met hun gezicht, vinger, pincode of beveiligingssleutel.

Microsoft schrijft op een ondersteuningspagina dat gebruikers in de toekomst op hun persoonlijke Microsoft-account een passkey kunnen aanmaken. Met passkeys is het mogelijk om in te loggen zonder wachtwoord. In plaats daarvan wordt een keypaar aangemaakt dat wordt gekoppeld aan een fysiek apparaat en het account. Tweakers schreef eerder een achtergrondartikel over hoe dat werkt.

Volgens Microsoft kunnen gebruikers zelf een passkey aanmaken en die beveiligen met een gezichtsscan, vingerafdruk, pincode of fysieke beveiligingssleutel. Dat zijn dezelfde beveiligingsmethoden als bij Windows Hello, waarmee gebruikers nu al op hun lokale Windows-pc's kunnen inloggen. In de toekomst kan dat dus ook op lokale apparaten en bij onlineaccounts.

Het inloggen geldt voor Microsoft-apps en -websites. Microsoft noemt specifiek Microsoft 365 en Copilot, maar voor de mobiele versies van applicaties komt passkeyondersteuning pas in de komende weken.

Passkeys

Door Tijs Hofmans

Nieuwscoördinator

03-05-2024 • 14:15

43

Submitter: wildhagen

Reacties (43)

43
43
16
3
1
24
Wijzig sortering
Ehm, dit was toch al gewoon beschikbaar? Ik gebruik dit al een hele tijd….sinds november vorig jaar op m’n privé account en iets daarvoor op m’n werkaccounts.

[Reactie gewijzigd door MarcelG op 22 juli 2024 13:18]

Dat was geen passkeys, maar passwordless met MS Authenticator, passkeys zijn standaard en werken ook met andere apps.
Je kon je persoonlijke Hotmail altijd al via Windows Hello for Business en met een Yubikey configureren. Beiden phishing resistant en feitelijk gelijk aan passkeys.

Microsoft hanteert drie niveaus:
Password + MFA = onveilig
Passwordless push = iets veiliger, maar nog wel suspektiebel voor phishing
WHFB of Yubikey = phishing resistant, veiligst

Er is dus niets veranderd.

[Reactie gewijzigd door ibmpc op 22 juli 2024 13:18]

Sinds wanneer wordt MFA gezien als onveilig?
Sinds evilginx2.

MFA is allang achterhaald en absoluut niet veilig meer. Het aantal evilginx2 aanvallen is geexplodeerd sinds Entra Security Defaults als minimum heeft, omdat evilginx gewoon om MFA heen werkt. Mijn bank heeft bijvoorbeeld nog MFA en ik heb dus geen keuze dan vaak mijn wachtwoord wijzigen, wat nog steeds maar minimaal helpt. Het leuke van evilginx is dat iedereen het kan gebruiken. Je neemt een gratis Azure of Amazon subscription, je zet er een evilginx in en je kunt los gaan.

Wij zijn hard bezig om Authentication Strengths te implementeren zodat MFA niet meer wordt geaccepteerd. We willen er zo snel mogelijk vanaf. Gelukkig wordt MS Authenticator binnenkort phishing resistant, je kunt de preview al inschakelen in Entra.

[Reactie gewijzigd door ibmpc op 22 juli 2024 13:18]

Ja dat was ook mijn gedacht, ben al een tijdje wachtwoordloos op mijn consumer MS account met passkeys (fingerprint op mijn mac bv).
Klopt. Zowel via Windows Hello als met hardwarekeys.
Kun je andere inlogmethodes ook uitzetten en alleen een passkey gebruiken?
Je kunt sowieso je wachtwoord verwijderen van je account, dat scheelt al heel veel.
Valt er tegenwoordig dan niets meer om?
Eerder waren er nog diensten die daar niet mee overweg konden, zoals de xbox360.
Eh, je kunt nog steeds 'App Passwords' aanmaken. Die staan los van je 'normale' wachtwoord en werken volgens mij nog steeds. Heb zelf geen 'legacy' devices meer die niet overweg kunnen met de password less authenticatie.
Dit kan volgens mij alleen als je de Microsoft Authenicator App aan je account hebt gekoppeld. Zonder deze koppeling mag je het wachtwoord niet verwijderen. Zou wel fijn zijn als dat mogelijk wordt gemaakt, maar twijfel of Microsoft dat mogelijk gaat maken.
Met een security key heb je geen MS Authenticator nodig, als je de app niet wilt installeren.
Zelfs als dat zou kunnen, zou ik het nog niet doen. Wel kan je de 'andere' inlog methode zo veilig mogelijk maken door daar de mfa aan te zetten en strak in te richten. Gewoon voor het geval dat: Bijvoorbeeld op papier in de kluis voor je nabestaanden of zo.
Ik las recent dat passkeys vaak worden ingezet om gebruikers vast te houden op het platform. Vraag me af of Microsoft dat hier ook doet?
Nee, want je kunt eenvoudig een Passkey maken op iOS, Android of in een wachtwoord manager zoals bv. 1Password.
Je zit wel 'vast' aan de aanbieders van de passkeys, tot op zekere hoogte.

Er lijkt me in dat opzicht dan weinig verschil tussen het aanmaken van passkeys bij MS, Google of Apple. Met misschien als (enige?) kanttekening dat Apple eigen hardware vereist voor bepaalde zaken.

[Reactie gewijzigd door epoman op 22 juli 2024 13:18]

Nu, als je met aanbieders van Passkeys de aanbieders van wachtwoordmanagers, of native passkey ondersteuning in Windows, iOS/macOS/iPadOS of Android bedoelt dan is klopt dat tot op zekere zin wel. Alleen kan een passkey (blijkbaar) ook nog gekoppeld zijn aan een specifiek device (zoals bv nu de preview van MS Werk accounts heeft) en dat werkt dan blijkbaar voor nu alleen i.c.m. de MS Authenticator.

Voor de rest is een Passkey (dus degene die je eigenlijk op veel plekken kunt aanmaken) wel geschikt/bedoelt om te roemen tussen devices en die kun je dus i.i.g. bij Apple en een wachtwoord manager als 1Password gewoon opslaan.

Je kunt passkeys niet over zetten van iOS naar bv. 1Password. Je zult dan (correct me if i’m wrong) dus voor elk account wel een nieuwe Passkey moeten aanmaken als je wilt ‘migreren’ van bv. Apple naar Android.
Ik kan het verhaal van die blog niet volgen. Het matched in ieder geval niet helemaal met hoe ik passkeys kan gebruiken. Ik heb net een passkey voor Microsoft aangemaakt in mijn iCloud Keychain en in Dashlane. De ene gebruik ik op mijn Apple devices, de andere op mijn Windows devices. In ieder geval één van die passkeys is dus niet opgeslagen bij één van de grote techbedrijven.
een Passkey wordt sowieso niet ‘opgeslagen’ bij een bedrijf. wat wel kan is dat een Passkey dus gebonden is aan het device waarmee je hem hebt aangemaakt. Die kan dus niet roamen tusssen je devices en kun je dan dus (logisch?) ook niet opslaan in een app die dus roamen ondersteund.
Ik dacht dat er zeker wel een stukje (public key) opgeslagen werd bij een bedrijf (waar je inlogt dus), alleen dat van die device specifieke keys snap ik niet. Wat gebeurd er als ik een passkey aanmaak (op pc) via bitwarden en die ik dan op bijvoorbeeld mijn telefoon wil gebruiken? Werkt diezelfde key dan niet? Hoe wordt dit serverside gecontroleerd?
Het spijt me, maar zowel Apple als Dashlane hebben passkeys zo opgeslagen dat ze niet aan één device gekoppeld zijn. De passkeys worden gesynchroniseert zodat ik ze op ieder device van mij beschikbaar heb. In wezen is ieder device waar ik ben ingelogd in mijn password manager een yubikey (ook al is het technisch heel anders).

Ik maak al mijn passkeys in iCloud Keychain aan op mijn MacBook, en gebruik ze op mijn iPhone. Meestal maak ik de passkey ook meteen aan in Dashlane, en gebruik ze op mijn Windows laptops. Dat werkt super.
Tuurlijk, maar dat is bij mij ook bij 99% van de Passkeys het geval. Die kan ik dus opslaan in mijn password manager (iCloud Keychain of 1Password), maar bij de Passkeys voor Entra ID Accounts (je werk account dus) kan dit dus (nog) niet. Die Passkeys zijn device-gebonden. Je kunt die passkeys dus ook niet opslaan in 1Password (althans ik kreeg het niet voor elkaar) en alleen in de Authenticator app (op dit moment).
Check. Ik had niet door dat jij het over zakelijk had. Ik heb nog geen passkeys geprobeerd bij mijn zakelijke Microsoft account. Geen idee of mijn IT dat al mogelijk heeft gemaakt, of dat dat zowiezo al kan, passkeys aanmaken.
Als je de passkey laat attesteren dan kunnen ze niet worden gesynchroniseerd en zijn ze devicegebonden. In principe moet je attestatie altijd aan laten staan, maar in sommige gevallen kun je niet anders.
Heeft iemand anders het meegemaakt dat de 2fa via de yubikey stilletjes is uitgezet? De account van mijn wederhelft heeft er twee geregistreerd. Ik kan ze netjes terugzien op de beveiligingsinstellingen, maar de 2fa niet aan zetten of nieuwe sleutels registreren.

Worden die na de invoering van die passkey niet meer ondersteund?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:18]

Microsoft is wel 1 van de laatste die ik gat vertrouwen met passkeys. Zelf heb ik daar iets te veel verschillende accounts die ik liever niet bij elkaar zie. En microsoft heeft een in mijn ogen iets te slechte reputatie met het samenvoegen van verschillende accounts.

Ook gaat microsoft nogal vreemd om met accounts van andere organisaties. Zo heb ik bij microsoft nog steeds accounts gebaseerd op oude werk omgevingen. Daar werken die accounts nog zoals de dat toen ook deden maar een aantal van die organisaties zijn al lang opgedoekt en zo.

Allemaal in het kader van 'wat automatisch gaat, gaat ook automatisch fout.'
Microsoft is wel 1 van de laatste die ik gat vertrouwen met passkeys. Zelf heb ik daar iets te veel verschillende accounts die ik liever niet bij elkaar zie. En microsoft heeft een in mijn ogen iets te slechte reputatie met het samenvoegen van verschillende accounts.
Je hebt duidelijk de klok wel horen luiden maar weet niet waar de klepel hangt ;) Dit heeft helemaal niks met elkaar te maken.
Organisatie accounts zijn niet Microsofts probleem, maar van de betreffende organisatie.

Je verhaal heeft heel weinig met passkeys en persoonlijke accounts te maken.
Geen idee waar jij het nu over hebt. Maar Passkeys hebben daar werkelijk niets mee te maken.
Dat ligt niet aan Microsoft maar aan jouzelf. Je kunt niet verwachten dat een derde partij accounts van jou gaat opruimen bij een andere partij (de oude werkgevers), sterker nog dat druist tegen alle privacy maatregelen in en zou je niet eens moeten willen.

Waar het misgaat is bij jezelf en/of jouw oude werkgevers. Normaliter hanteren werkgevers een protocol bij het uit dienst gaan van personeel. Zo zou je je personeelspas, leaseauto en tankpas en nog veel meer moeten inleveren als je uit dienst gaat. Bij goed werkgeverschap zouden ook al jouw accounts netjes afgesloten moeten worden en uiteindelijk door de werkgever verwijderd moeten worden (aan het tijdstip van verwijderen hangt overigens ook weer een bepaalde procedure aan, maar dat terzijde).

Wat Microsoft hier dus doet is dus juist geheel correct!
Ik heb al jaren een ms account @ hotmail. Maar na een aantal berichten over dat bij vermeend verkeerd gebruik je account gesloten wordt en je met geen mogelijkheid in contact kunt komen met Microsoft om het probleem op te lossen en je dus een flink probleem hebt., weet ik niet of ik nog wel zo'n gratis account wil (Of heeft een betaald account andere voorwaarden ) Ik heb het namelijk overal voor in gebruik apple id overheid etc.

Ik ga alles maar overzetten naar een eigen domein.

[Reactie gewijzigd door rammes op 22 juli 2024 13:18]

Niet echt relevant, maar kan email via een eigen domein alleen maar aanraden. Als je provider er mee stopt, of je bent er niet meer blij mee, verander je in vijf minuten de DNS records en zit je ergens anders. Top
Passwordless inloggen is toch al mogelijk met de authenticator app? Wat voegt dit nu precies toe?
Hiermee kan je inloggen zonder dat je je email adres of wachtwoord moet invullen. Het werkt hetzelfde als met de yubik key, maar dan met je smartphone.
Bij phising resistant wordt er ook een check gedaan naar het adres waar de aanvraag naartoe gaat. Dus stel je connect naar de phising url en die doet vervolgens een login naar de 'echte' url. Dan zal de authenticatie failen omdat je Yubikey, passcode of helloid kijkt naar welke url de signin is en deze niet matched.
Werkt heerlijk!
Enkel als je via een browser op je telefoon wilt aanmelden weet hij niet het verschil tussen een persoonlijke en een business MS account.
Waarom zou hij dat verschil niet weten? Heb zowel persoonlijke als Zakelijke accounts en heb daar geen problemen mee, gaat eigenlijk altijd goed.
Hopelijk betekent dat dan echte passkey ondersteuning waarbij je zelf vrij bent om te kiezen hoe je de passkey wilt beheren.
Ik gebruik de wachtwoordmanager KeepassXC. Deze heeft sinds een recente update de mogelijkheid om passkeys te gebruiken. Dat werkt voor de meeste sites goed. Als ik op een site een nieuwe passkey genereer, detecteert de manager dat en slaat deze op in zichzelf. Maar als ik op mijn Microsoft account dat probeer (Add a new way to sign in or verify - Face, fingerprint, PIN or security key), dan komt toch iedere keer hardnekkig Windows Hello op om de passkey af te vangen. De wachtwoordmanager krijgt niet eens de kans. Het lijkt op dit moment dus wel alsof Microsoft een eigen implementatie gebruikt die direct gekoppeld is aan Hello ipv zich te houden aan de volledige specificatie van de passkey standaard.
Met Passkeys ben je vrij om te kiezen hoe je de passkey beheert :)

Het klinkt alsof in jouw geval aanmelden via FIDO2 wel mogelijk was (en al werd ondersteund m.b.h.v. bijvoorbeeld een hardware key), maar dat Passkeys zelf nog niet werden ondersteund.

Passkeys werken bovenop FIDO2, waarbij Hardware Keys met FIDO2 werken. Echter kan het dus wel zijn dat een website hardware keys ondersteund via FIDO2, maar strikt genomen niet de nieuwere passkeys ondersteunen. Daarbij kon Windows Hello als FIDO2 authenticator werken (een soort virtuele hardware key). In de praktijk lijkt die situatie sterk op het gebruik van een passkey. Echter kunnen passkeys roamen over meerdere apparaten, van meerdere providers, waar dat met Windows Hello & FIDO2 niet kon (Windows Hello bestaat niet op android, ios of mac).

Zo lang je jouw passkeys op slaat in een vault die roaming mogelijk maakt, zoals 1Password of Dashlane, of zoiets, dan wordt je niet verplicht gebruik te maken van één hardware/software platform. Er zijn ook passkeymanagers die roaming proberen tegen te houden. Die zou ik zelf niet gebruiken.

Hoewel in de praktijk simpel om te gebruiken, vond ik het hele concept achter passkeys ingewikkeld om te begrijpen. Na testen, lezen en vragen stellen aan experts ben ik redelijk overtuigd dat het inderdaad beter is dan wachtwoorden met TOTP, hoewel het niet perfect is. Ook met bovengenoemde kunnen Passkeys niet gemakkelijk roamen tussen hardware/service platformen. Via losse passkeymanagers, zoals bovengenoemde, kan je in ieder geval wel gebruik maken van passkeys over al je OS’en: Windows, Mac, Linux, iOS, Android, etc, maar switchen tussen de managers is nog lastig. Als je er voor kiest om je passkeys in, bijvoorbeeld, iCloud Passwords op te slaan, dan zit je wel vast aan Mac & iOS (iCloud Password voor windows heeft v.z.i.w. nog geen passkey ondersteuning, en bestaat helemaal niet op Android of Linux).

[Reactie gewijzigd door Coffee op 22 juli 2024 13:18]

Er zijn zelfs Passkeys die niet kunnen roamen naar andere devices, dat zijn zogenoemde device-bound Passkeys : https://passkeys.dev/docs...rms/#device-bound-passkey
Werkt prima met Proton Pass.
In Entra ID krijg ik het niet voor elkaar. (ik ben admin)
Je hebt wel de Preview Feature ingeschakeld? Ohw en waar probeer je je Passkey in op te slaan, (blijkbaar) moet dat in de Authenticator App. Aangezien het gaat om een Device-bound passkey: https://techcommunity.mic...oft-entra-id/ba-p/4062702

Device-bound Passkeys: https://passkeys.dev/docs...rms/#device-bound-passkey

[Reactie gewijzigd door TheVMaster op 22 juli 2024 13:18]

Op dit item kan niet meer gereageerd worden.