Bug maakt wachtwoordoptie onzichtbaar op lockscreen Windows 11

Ho, het gaat hier echt om een fallback ten opzichte van biometrics. Je primaire, device-bound oplossing kan gewoon fingerprint, gezichtsherkenning of iets in die hoek te zijn.

Waarom zou het volgens jou (voor thuisgebruik) zoveel uit maken? Ik heb in een gesprek met mijn klant zeer overtuigende argumenten gekregen om het niet te doen.

Voor alles wat “online” is, moet je bovendien echt MFA forceren. Die PIN is vooral een workaround omdat Windows-login zelf geen fatsoenlijke ingebouwde MFA heeft en passwordless pas een recent dingetje is.

Heb je de PIN, dan kun je het device op, en op een doorsnee bedrijfslaptop is de kans groot dat je daarna zonder enige extra drempel zo doorloopt naar dingen als SharePoint, intranet en andere systemen met gevoelige informatie. Voor beheertaken zit daar gelukkig vaak nog een extra MFA-laag boven, juist omdat een code of wachtwoord op zichzelf helemaal niet veilig genoeg is, maar dit is ook pas recent iets wat Microsoft echt forceert. Daarvoor kon het ook prima zonder.

Belangrijk onderscheid:

• Heb je de PIN, dan kun je met dat device werken zonder het wachtwoord te weten.
• Heb je het wachtwoord, dan kun je in principe alles in die Windows-omgeving, en is die PIN irrelevant.
  
  In beide gevallen geldt: heb je goede MFA, dan heb je tegen beide een extra barrière.

Daar komt bij dat een wachtwoord afkijken (zelfs met slow-motion video) aanzienlijk lastiger is dan een simpele cijfercode. Een PIN is nu eenmaal veel makkelijker te “shoulder surfen”.

Mijn klant had daarom uitgebreide documentatie waarom dit in de praktijk helemaal niet zo’n goed idee is: je eindigt met het worst of both worlds-scenario.

• De PIN is veel makkelijker te stelen.
• Het wachtwoord wordt vaak hergebruikt voor andere diensten.

Heb je fysieke toegang tot het device, dan maakt het onderscheid nauwelijks meer uit. Die PIN geeft je indirect toegang tot het echte wachtwoord via SSO en sessies.

Standaard heeft Windows bovendien credential caching: zelfs op een uitgelogde machine staat de credential nog (gehashed) in het geheugen of op schijf, en kun je die met tools als Mimikatz uitlezen. Dat kan leiden tot:

• een pass-the-hash-aanval (zonder het wachtwoord ooit te hoeven kraken);
• of het offline bruteforcen van de hash om het wachtwoord alsnog te achterhalen.

Beide oplossingen hebben MFA en Full Disk Encryption nodig om echt veilig te zijn. Microsoft presenteert 6 cijfers als “veiliger”, maar zodra je kijkt naar forensische tools, zie je dat ze het juist triviaal maken om via die constructie alsnog het echte wachtwoord te achterhalen:

quote: https://support.passware....Acquired-Windows-Registry

Password recovery for Windows hashes is a brute-force process, which can be accelerated with GPU and distributed computing. An average speed on a single NVIDIA 2080ti is 19 billion passwords per second. Passware Rainbow Tables for Windows can also be used to decrypt the hashes and recover the passwords.

Windows systems starting from Windows 8 can be protected with PIN and Picture password in addition to the regular user password (Windows Hello options). In fact, these additional sign-in options undermine Windows security and allow instant recovery of the user password. Here’s what Passware Kit can do to recover user passwords depending on the sign-in options.

NOTE: For Windows 10 and 11, in case a PIN needs to be recovered, Passware Kit first detects whether it is fully numerical (default settings) or not. If the PIN contains numbers only, Passware Kit automatically recovers it with the predefined settings. If the PIN is a combination of letters and numbers, Passware Kit asks a user to customize the brute-force settings.

En precies dit is de reden dat Microsoft nu drive encryption standaard aan zet bij OEM machines waar een nieuw Microsoft account op wordt gemaakt. Die groep is alleen behoorlijk klein. Zelfbouw valt er sowieso niet onder. En dan nog, als je de pincode hebt kun je er wel bij.

Zelfs passwordless sign in is niet safe voor forensics (want je kunt om "god knows why" een account conversie afdwingen naar local) met speciale recovery software yay.

Als men dus wil dan komt men er wel in en dan maakt de pincode het alleen maar makkelijker. De enige opties die daadwerkelijk werken en iets toevoegen zijn MFA en disk encryption. Alle andere dingen maken de overall security niet noodzakelijkerwijs beter.

Voor bedrijven is het een afweging of ze een gestolen device en account snel genoeg kunnen blocken om de impact te minimaliseren, maar dat kan voor thuisgebruikers niet per se. Microsoft is hard aan de weg aan het timmeren, maar voor de volledige suite zijn er nog wel serieuze implementaties nodig om dit echt goed waterdicht te krijgen. voor de gemiddelde gebruiker zal het allemaal wel los lopen, maar Microsoft zou er beter aan doen om gewoon MFA te vereisen op ieder account of passwordless de default te maken waar het kan.

De pin is vooral convenience.

Het nadeel van een pin die lang moet zijn en ook letters mag/moet bevatten is dat gebruikers er dan vaak voor kiezen om als pin hun wachtwoord in te stellen. En dat maakt natuurlijk het gebruik van pin zinloos.

Is niet in te stellen dat de pin niet gelijk kan zijn aan het echte wachtwoord?

[...]
Een laptop logged doorgaans niet met SSO in. Je gebruikt SSO samen met sterke autheticatie van de user.

Oke dit had ik duidelijker op moeten schrijven, wat ik bedoel is dat de laptop vaak alle tokens en credentials voor SSO al in het geheugen heeft staan en dat als je de device pin hebt je niet ook nog het wachtwoord hoeft te hebben om bij bedrijfsgegevens en systemen te kunnen komen. In bedrijfssettings is het dus de vraag voor afdeling security of je dat al moet willen. SAML authenticatie doe je vaak eenmalig op de dag bij de eerste service die je wil gebruiken en dan door de dag veelal niet meer. Dus totdat de laptop als gestolen is gemarkeerd hebben mensen met de PIN feitelijk gewoon toegang tot je interne systemen. Hoeven ze het wachtwoord niet voor te weten.

Het daadwerkelijke accountwachtwoord is in de meeste organisaties niet relevant. Al was het alleen al maar omdat MFA je er toch niet in laat. De PIN omzeilt dat allemaal. En die lekt juist in het publieke domein sneller door dingen als shoulder surfing, hoeft niet eens bewust te zijn.

Alleen een wachtwoord is niet genoeg, je hebt ook nog MFA. Als fallback is dus wachtwoord met MFA respons ook prima wat dat betreft, mensen onnodig veel extra pincodes/wachtwoorden laten onthouden of managen is ook niet gewenst aangezien men dan weer makkelijk raadbare codes of wachtwoorden gebruikt of hergebruikt..

Dus je kan niet bruteforcen zoals je met een wachtwoord wel kan.

Nee maar inloggen met password kan altijd. Ook als Pin enabled is.

Pasword kit forensic zegt het volgende:

User/LiveID password + PIN (on TPM): Brute-force user password recovery

Dus dat de PIN op TPM staat is dan leuk, maar bij device access negeer je dat dus gewoon in zijn geheel.

Dat is wat ik ook aangaf met worst of both worlds. Als je 1 van beiden hebt, heb je alles, maar de ene is makkelijk af te kijken, de andere is weer te bruteforcen. Heb je ze allebei dan heb je dus ook beide nadelen.

https://support.passware.com/hc/en-us/articles/360058211414-Extracting-Passwords-from-the-Acquired-Windows-Registry

Hier iets naar beneden scrollen en dan zie je de tabel. maar zitten dus wel voorwaarden aan.