Microsoft Authenticator maakt inloggen bij werk of school onmogelijk met root

Microsoft Authenticator is bezig het onmogelijk te maken in te loggen op een school- of werkaccount met een Android-apparaat met roottoegang. Volgens Microsoft is de stap nodig om scholen en bedrijven te beschermen.

Microsoft Authenticator detecteert nu al of gebruikers roottoegang hebben, meldt Microsoft. Eerst komt er een waarschuwing in beeld, maar is de app nog wel bruikbaar, daarna volgt een blokkade en uiteindelijk verwijdert Authenticator de accounts van het apparaat. Dat gebeurt over maximaal vier maanden.

Volgens Microsoft is dat nodig om bedrijven en scholen te beschermen tegen apparaten waarvan de software is aangepast. Andere apps voor het genereren van codes voor tweestapsauthenticatie blijven wel functioneren. Ook gebeurt er niets met privéaccounts en passkeys. Het is onbekend hoeveel gebruikers met Microsoft Authenticator root hebben en die apparaten gebruiken voor codes om in te loggen bij werk of school.

Microsoft Authenticator root — Microsoft Authenticator-root

Vorig nieuwsartikel Volgend nieuwsartikel

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 10-03-2026 15:16
187 • submitter: DevWouter

10-03-2026 • 15:16

Submitter: DevWouter

Lees meer

Proton patcht Authenticator-bug die 2fa-secrets opsloeg in lokale logbestanden

Proton patcht Authenticator-bug die 2fa-secrets opsloeg in lokale logbestanden Nieuws van 5 augustus 2025

Proton introduceert Authenticator-2fa-app voor smartphones en desktops

Proton introduceert Authenticator-2fa-app voor smartphones en desktops Nieuws van 31 juli 2025

Microsoft schrapt functies uit Authenticator-app, Edge neemt features over

Microsoft schrapt functies uit Authenticator-app, Edge neemt features over Nieuws van 5 mei 2025

Microsoft Authenticator verplicht number matching bij Microsoft-diensten

Microsoft Authenticator verplicht number matching bij Microsoft-diensten Nieuws van 10 mei 2023

Meer producten en artikelen

Smartphones Google Microsoft Android rooten

Reacties (187)

187

186

123

19

0

45

Wijzig sortering

Jensw19 10 maart 2026 15:29

Ik wordt hier niet blij van, eerst al dat Google rooten en (veilige apps) niet meer laat werken dmv de Google Play Integrity API, root al in moeilijkere termen dmv die checks die falen omdat bootloader niet gelocked is, maar men vergeet constant dat al die custom OSes zoals GrapheneOS, e/os niet zomaar een gelockte bootloader of überhaupt als genuine device gezien kunnen worden..

Als we in Europa af willen van die big tech bedrijven en niks mogen want "je privacy gemodificeerde en ingestelde telefoon voldoet niet aan onze regels" wordt het echt tijd om die alternatieve OSen en daarmee telefoons genuine labels te kunnen geven of gewoon stoppen met de veiligheidschecks, als je geroote telefoon gejat wordt en daarmee je bank wordt gehackt lijkt dat mij niet de schuld van Google.. leuk dat ze dat zo beschermen maar in de jaren dat ik wel rootte was het vooral om betere performance (of juist langere accuduur) uit mn telefoons te krijgen en custom fonts te installeren en adblock op systeemniveau, dat is dan bewust mijn keuze geweest.

Dennism @Jensw19 • 10 maart 2026 16:00

wordt het echt tijd om die alternatieve OSen en daarmee telefoons genuine labels te kunnen geven of gewoon stoppen met de veiligheidschecks

Ik zit al geruime tijd niet meer in het custom rom wereldje (denk dat de laatste keer begin 2010 was en toen stond het nog redelijk in de kinderschoenen), maar kan zo'n partij als GrapheneOS zich niet 'gewoon' (zal vast wat werk inzitten) laten certificeren voor / door MS voor deze applicatie? Als ik het goed begrijp uit posts hieronder en een korte blik op het wat andere sites is immers root / (permanent) unlocked bootloader niet nodig voor GrapheneOS.

FreezeXJ @Dennism • 10 maart 2026 16:30

Waarom zou Microsoft of Google hieraan meewerken? Dan gooien ze hun eigen glazen in. Het is ongeveer net als het gesodemieter met bootloaders op desktops / x86-machines, daar hebben grote distros ook hemel en aarde moeten bewegen om uberhaupt op te mogen starten op een moderne UEFI, want untrusted software. Inmiddels is de Linux-bootloader gesigned, en kun je dus netjes opstarten, maar ik herinner me nog dat je daarvoor zelf met hacks moest prutsen om uberhaupt een kansje te maken. Dus default BIOS-mode aan, want die deed niet moeilijk.

Ghoelian @Dennism • 10 maart 2026 16:53

Voor zover ik weet zou GrapheneOS Google Play Services standaard moeten installeren en toelaten om gecertificeerd te worden door Google. Je hebt wel de optie om play services te installeren, maar dat is dan een sandboxed variant wat Google waarschijnlijk ook niet goed zou keuren.

Hier heeft Microsoft overigens waarschijnlijk weinig mee te maken, ik vermoed dat ze gewoon Play Attestation gebruiken, dus dat is een lijst die Google zelf bijhoudt.

Jensw19 @Ghoelian • 10 maart 2026 19:03

Het gaat tegenwoordig bij Play Attestation/ Integrity ook om of je bootloader gelockt is of niet, scheelt dat GrapheneOS op Pixels dit dus kan, maar een OS zoals Lineage die mensen als alternatief op Android (bijv Samsung's OneUI) willen gebruiken, worden bij dit soort checks dus buitengesloten, want ja, je bootloader is niet gelockt..

Gezien het gigantische aantal telefoons op de markt, Google gaat echt geen drol geven om die verification van de populaire modellen, want waarom zou je dan een Samsung S26 kopen als je er toch e/os/ op wilt gooien? Nog even en we zitten op het punt dat we maar zelf telefoons zoals fairphone moeten gaan bouwen, en dan zeurt men weer over "ja maar prijs naar performance is slecht" of net wat dan ook, vrije hardware/software keuze hebben we gelukkig nog wel op onze PC's en de meeste laptops.. maar kom op, nog even en ook dat gaat ineens verboden worden als we aan dit soort dingen toe blijven geven..

Smartphones
Google
Microsoft

@Jensw19 • 10 maart 2026 15:41

GrapheneOS kan wel de bootloader relocken. e/OS niet. Lineage bijna nooit, CalyxOS soms. Edit; e/os wel dus, dat wist ik niet.

Dus het is niet zo heel zwart/wit. Maar ik vind het ook idioot dat alles dat je doet om je privacy te beschermen tegengewerkt wordt ja.

Als je maar braaf binnen de lijntjes van de grote big tech tekent is het prima, maar o wee als je iets doet als je iets doet om je gegevens tegen hen te beschermen.

[Reactie gewijzigd door Llopigat op 10 maart 2026 19:01]

Robkazoe @Llopigat • 10 maart 2026 16:40

/e/OS kan ook bootloader relocken bij Fairphone 6. https://doc.e.foundation/devices/FP6 En er zijn ongetwijfeld nog andere telefoons waarbij dat kan met /e/OS.

merethan @Robkazoe • 10 maart 2026 17:18

Kan zonder problemen op m'n FP4. Maar niet gedaan omdat ik m'n shit wil kunnen recoveren.

Heel stom natuurlijk, dat weet ik.

theredspecial @Robkazoe • 10 maart 2026 17:28

FP5 ook. Ligt het niet aan de fabrikant, meer dan het OS?

Jensw19 @Llopigat • 10 maart 2026 18:50

Ja echter het aantal supported devices bij GrapheneOS ligt dus puur bij "Heb je een Google Pixel?"

AnonymousGerbil

@Jensw19 • 10 maart 2026 23:52

Binnenkort ook modellen van motorola (lenovo).

Bron: nieuws: Motorola gaat smartphones geschikt maken voor custom Android-rom GrapheneOS

xenn99 @Llopigat • 11 maart 2026 01:28

Graphene OS is top hoor ik gebruik het zelf ook, maar het passed niet de strong play integrity check, zelfs niet met een gelockte bootloader, enkel basic.

Google
Google Android
Smartphones

@Jensw19 • 10 maart 2026 16:41

Maar het artikel boven dit artikel gaat nu net over "Belangrijke EU-advocatenadviseur: banken moeten phishingslachtoffers compenseren".

Het is echt een dualistisch beleid, de banken worden overal verantwoordelijk voor gehouden maar als de banken eisen aan beveiliging stellen, dan komt men dat banken dat niet zouden mogen, alles maar moeten ondersteunen en dat rooten een keuze van de gebruiker is die de bank niet mag tegenwerken,

latka @wiseger • 10 maart 2026 19:58

Correct. Banken hadden security redelijk voor elkaar met de losse calculator. Maar wegens kosten zijn die weg gedaan. Geef je klanten dan gewoon de keuze: calculator en geen eisen aan het device of een gecertificeerde telefoon van enige reputatie oid. Die halfslachtige: ja, een Android telefoon. Maar alleen als je aan onze spelregels voldoet is irritant en klantonvriendelijk.

r2504 @latka • 10 maart 2026 21:57

De losse calculator (Digipass ?) lost helemaal niets op als mensen hun code gewoon via de telefoon doorgeven aan phishers.

Een losse calculator maakt van een geroote telefoon ook niet plots een veilige telefoon, dat zijn gewoon twee verschillende dingen.

bewerkers @r2504 • 10 maart 2026 22:11

Een calculator kan niet gehackt worden via internet, want deze hangt niet aan het internet. En klanten moeten weten dat ze nooit wachtwoorden moeten delen met anderen.

Een goede calculator laat op een scherm de ontvanger en het bedrag zien. Dus mensen weten wat ze bevestigen.

bytemaster460 @bewerkers • 10 maart 2026 22:16

In de praktijk worden telefoons ook niet gehackt om bankrekeningen van mensen leeg te roven. Dat gebeurt toch echt via phishing en het buitmaken van de 2FA codes. Dan maakt het niet uit of die uit een app of los apparaatje komen.

bewerkers @bytemaster460 • 10 maart 2026 22:18

Een goede calculator heeft geen losse codes. Dat was bij het oude TAN systeem. Elke transactie heeft een eigen code.

bytemaster460 @bewerkers • 10 maart 2026 23:00

Dat snap ik maar ik zie nog steeds niet waarom een los apparaatje veiliger is dan een app.

latka @bytemaster460 • 11 maart 2026 00:36

Het helpt niet tegen domme mensen, maar daar helpt een eis van "geen root" op je telefoon ook niet tegen. Het zijn 2 heel verschillende aanvals vectoren. Die van geroote telefoons dicht je af met een calculator. Domme mensen hebben we nog niets tegen gevonden.

bytemaster460 @latka • 11 maart 2026 08:25

Klopt, maar hierboven werd beweerd dat een nummergenerator op een los apparaatje beter was dan een app die een nummer genereert. Daar ging het om.

latka @bytemaster460 • 11 maart 2026 10:22

En dat is zo als het gaat om de attack vector geïnfecteerd apparaat.

AnonymousGerbil

@r2504 • 11 maart 2026 00:17

Bij een moderne qr scanner (dus niet de asn digipass voor particulieren) is de bevestigingscode afhankelijk van de transactie die je op het schermpje van dat kastje te zien krijgt.

r2504 @AnonymousGerbil • 11 maart 2026 12:39

Ja... maar als een domme gebruiker (en zo staan er dagelijks verhalen in de krant) gewoon die bevestigingscode op een phishing website intyped dan is alle moeite voor niets.

2FA, calculators, ItsMe, root, ... het heeft allemaal GEEN zin als mensen die dingen gewoon op simpel commando van een phisher uitvoeren en doorgeven.

latka @r2504 • 11 maart 2026 00:34

Op een pc met telebankieren in je browser eisen ze ook niets. Maar omdat 2fa in 1 apparaat niet zo lekker gaat moeten ze kunst en vliegwerk doen

William_H @latka • 10 maart 2026 21:55

Dit is precies wat ik in het andere artikel over het Europese alternatief voor Google Play Integrity schreef.

Het gaat om de decodeerapparaatjes.
En het feit dat banken die niet meer uit willen geven (in NL). Dat is de werkelijke rede van hun eis. Je telefoon als RandomReader (Rabobank) of Digipas (ASN). Wil je dat niet, dan blijft er, zover ik weet, bij ASN alleen de browsercode over.
MAAR, daarmee heb je een veel lagere limiet. Bij ASN kon je met je digipas wel tot tijdelijk daglimiet van 250.000euro gaan. Met je app is dat al niet hoger dan 25.000 of 50.000euro. Met browsercode nog eens een factor 10 lager, ik dacht 2500euro.

capykoffie @Jensw19 • 10 maart 2026 16:47

Je slaat de spijker op zn kop. Stukje bij beetje worden deze vrijheden ontnomen. Nog even en Android is meer dichtgespijkerd dan IOS. Whatsapp bijvoorbeeld is allergisch voor geunlockte bootloaders (in elk geval tijdens instellen) en komt dan met een aparte melding. Voor nu werkt LSposed (Magisk module) en de bootloaderspoofer app. De ms authenticator foppen zal vast mogelijk zijn, echter is het weer gedoe. Maar gelukkig zijn er andere apps, zelf gebruik ik Aegis. En in sommige gevallen krijg je een toestel van je werkgever wanneer je een Microsoft authenticator app nodig hebt.

[Reactie gewijzigd door capykoffie op 10 maart 2026 16:49]

Rataplan_ @capykoffie • 10 maart 2026 18:41

WhatsApp? Ik heb een unlocked bootloader, want LineageOS op een 8 jaar oude Sony telefoon. Geen root bv overigens. WhatsApp heeft wel melding over custom rom, maar verder niks vreemds.

Ik vind het overigens een slechte zaak. Ik heb nu al 8 jaar een telefoon waar ik nog steeds zeer tevreden mee ben. Updates van Sony zijn er al 5 jaar niet meer, maar ik heb patchlevel van december 2025. Lijkt me toch veiliger dan een gelockte telefoon met patchlevel van 2020... Of moeten we maar meer ewaste genereren om big-tech te pleasen? Mij niet gezien.

zanza006 @capykoffie • 10 maart 2026 20:58

Het is jammer dat Android niet zo open is zoals we gewenst zijn bij andere linux distro's.

baseoa @zanza006 • 11 maart 2026 10:53

"is", ja. Dat wàs het namelijk vroeger wel, en is ook de reden geweest voor de adoptie in de opensource/tweaking community, waar veel developers ook toe behoren die dan weer software voor het platform maken. Inmiddels kun je als normale burger nauwelijks meer om mobiele apps heen (succes met je leven als je geen DigiD, WhatsApp, of ten minste Signal geïnstalleerd hebt wat ook niet op desktops werkt zonder een mobiel apparaat ernaast)

Nu de samenleving zo veranderd is, komen Google en andere fabrikanten met steeds meer beperkingen over wat je met je eigen toestel mag doen. Dat is waarom ik dit kwalijk vind: welke keus hebben we nu nog?

bytemaster460 @capykoffie • 10 maart 2026 22:17

Die vrijheden werken natuurlijk twee kanten op. Microsoft heeft natuurlijk ook gewoon de vrijheid om deze eis te stellen.

jurroen @Jensw19 • 10 maart 2026 17:27

Google Play Integrity API is een gedrocht; het is verre van de enige manier om de integriteit van een device te verifiëren, maar helaas wel een populaire methode.

GrapheneOS heeft overigens geen root nodig. Sterker nog, om het OS te rooten zul je zelf een image/release moeten bouwen. Het is drastisch tegen de scope van het project, gezien het een device blootstelt aan risico's.

Jensw19 @jurroen • 10 maart 2026 19:16

Sowieso heeft geen enkel OS root nodig, want je moet voor Root altijd al een image wijzigen/bouwen, het probleem ligt m dan ook zoals je zegt bij het systeem die je device labeld als "Veilig" of niet, bij de andere OSen heb je JUIST Root nodig om van dat "Je device is niet veilig dus zoek t leker uit" op je apps af te komen, en dat zit mij enorm tegen, want dit houdt je tegen om op een veilige manier gewoon het systeem zoals op Linux en Windows PC's (als voorbeeld custom taakbalk op Windows met StartAllBack die voor mij fijner werkt dan het gedrocht van Microsoft) te kunnen tweaken naar wens, zonder dat je gelijk verbannen hoeft te worden van je bankzaken, fijn dat een Pixel dan met GrapheneOS hem legit kan locken en als veilig kan worden beschouwd daardoor, maar kom op.. als ik nu Lineage wil installeren wordt ik geforceerd om Magisk root erbij te nemen zodat mn bank en wallet stoppen met blokkeren omdat ik niet een veilig device heb, en beide op een Pixel..

jurroen @Jensw19 • 10 maart 2026 19:28

Ik gebruik al meer dan een decennium alleen maar GrapheneOS (sinds de Nexus era). Die melding krijg ik zelf niet - maar dat komt waarschijnlijk door mijn beperkte(re) gebruik.

Bankapps werken allemaal. Enige wat consequent niet werkt is NFC betalingen ("je mobiel als bankpas gebruiken") - maar daar kan ik persoonlijk mee leven.

Het zit 'm denk ik niet zozeer in GrapheneOS - maar dat LineageOS geen relocking van de bootloader ondersteund. Ook niet op devices die het wel kunnen.

De bootloader locken zorgt ervoor dat er full verified boot mogelijk is. Ik snap je punt heel goed - jij wil niet dat een ander bepaald wat jij op jouw eigen device kunt doen.

Puur uit interesse: zou je bereid zijn om geen aanspraak te mogen maken op een vergoeding als je bankrekening wordt leeg getrokken omdat je device niet veilig was?

Jensw19 @jurroen • 10 maart 2026 19:39

de bankrekening die ik gebruik met NFC en mobiele betalingen heeft vaak toch alleen maar staan wat ik wil besteden, dus ik zie dan geen mogelijkheid dat mijn bankrekening leeggetrokken kan worden, en dan nog, zelfs als Google al die 3rd party APKs blokkeert en alles full lockdown in gooit, kan je alsnog gehackt, gephisht en andere situaties krijgen, het is nooit 100% veilig, op zo'n moment heb ik liever zelf controle over hardware die ik heb gekocht dan dat er vanalles wordt bepaalt voor mij en ik alsnog gehackt wordt..

En dan doel ik dus op het locken van bootloaders met andere OSen zoals GrapheneOS, want het niet kunnen of willen locken geeft zover ik weet alleen een extra opening voor mensen die fysiek bij je telefoon kunnen en niet per se alleen in je telefoon qua software al kunnen, kijk maar naar Windows met al hun security features (ook al is dat compleet anders dan Android, het zit ook bordevol features en security spul tegenwoordig.)

Bor Coördinator Frontpage Admins / FP Powermod @Jensw19 • 11 maart 2026 08:40

dat is dan bewust mijn keuze geweest.

En die keuze komt met consequenties. Die hoor je te overwegen voor je besluit een root actie uit te voeren.

Wanneer je een toestel root hangen daar gevolgen aan zoals het niet meer kunnen gebruiken van sommige toepassingen, ongeacht wat het doel van je root actie is zoals het kunnen installeren van custom fonts.

Die root actie brengt namelijk risico's met zich mee gezien root level access je toegang geeft tot diverse delen van het toestel die normaal niet toegankelijk zijn.

Diverse organisaties weren geroote telefoons en tablets actief en dat is niet voor niets.

[Reactie gewijzigd door Bor op 11 maart 2026 08:41]

SilentLucidity @Jensw19 • 11 maart 2026 14:29

ik root tegenwoordig nog om aan het kat en muis spelletje van Google Play Integrity te ontkomen. Ik heb het nergens meer voor nodig. Maar de rom die ik draai heeft net dat beetje extra: tap-to-sleep op de statusbar, touch-to-wake op het telefoonscherm en skippen van muziektracks met het scherm uit.

MehHuntah 10 maart 2026 19:10

Het probleem is niet alleen je eigen bank rekening of zo.. het gaat er om dat de authenticator niet weet of er met het OS gerommeld is, en de authenticator apps api calls naar het OS onderschept worden.

Hierdoor zou, (laten we even een hypothetisch geval nemen) je als werknemer van Odido gefopt kunnen worden met je 2 phase authentication, en ze je salesforce account kunnen hacken, en dan liggen ineens iedereen zijn gegevens op straat. Ik geef toe ver gezochte use-case maar je weet nooit hoe een koe een haas vangt

Tyrian 10 maart 2026 22:01

Op al mijn computers en mobiele apparaten heb ik root/administrator toegang. Al ben ik er niet altijd mee ingelogd om veiligheidsredenen. Als ik geen admin/root heb dan ben ik ook niet in controle over mijn apparaat en het besturingssysteem. Niets is zo vervelend als buitengesloten te worden op een apparaat waarvan je eigenaar zou moeten zijn.

Voor werk en school gebruik ik apparaten van werk en school. Daar heb ik geen root of admin voor nodig want die worden ondersteund door de betreffende systeem- of apparaatbeheerders.

In plaats van een MS Authenticator heb ik trouwens een beveiligingssleutel die eenmalige codes genereert. Dit werkt ook prima met een Microsoft account.

dasiro 10 maart 2026 22:34

Het al dan niet unlocken van de bootloader/rooten van je toestel is geen synoniem voor het compromiteren van de integriteit van de chip die verantwoordelijk is voor de opslag of encryptie van je keys.

Exhonor 10 maart 2026 15:21

Dit heeft ook gewoon helemaal niks te maken met veiligheid of welk ander slap excuus er wordt gebruikt.

Het gaat om controle. Niets meer, niets minder.

Als ze dit hadden geïntroduceerd als iets wat aan of uit kan worden gezet door een beheerder dan had ik het gesnapt, maar een blanket ban gaat echt te ver.

YoMarK @Exhonor • 10 maart 2026 16:51

Veel te kort door de bocht.

Er kleven wel degelijk security issues aan toelaten van ge-roote devices met de Authenticator app als toegang tot belangrijke of gevoelige bedrijfsgegevens.
Je kan bijvoorbeeld een screengrabber op het device draaien die niet detecteerbaar is en buiten alle Android permissies omfietst. Deze kan alles doorsturen naar andere partij. Je device gebonden 2e factor met code validatie is dan niets waard.
Overigens ondersteund Microsoft legio andere 2e factoren. Ook die via open standaarden als FIDO2/webauthm. Ook de meest uitlopen hardware keys worden ondersteund. Als je als organisatie medewerkers wil voorzien van een Yubikey ofzo, dan kan dat gewoon, en heb je helemaal geen App nodig.

Je kan als organisatie ook een stap terug doen en iets als TOTP gebruiken(wordt ook nog ondersteund, maar is minder veilig) . Dan kan je iedere TOTP app gebruiken. Ook SMS en phone auth kan voorlopig nog.
En even vanuit het perspectief van Microsoft en de Microsoft Authenticator: dit is feitelijk een BETAALDE dienst die ze leveren en klanten moeten ook kunnen verwachten dat het redelijk veilig is.

hackerhater @YoMarK • 10 maart 2026 19:14

Persoonlijk vind ik TOTP veiliger dan die push berichten.
Juist omdat TOTP je dwingt de code over te typen.
Je kan niet half slaperig authoriseren met een push melding

Microsoft
Google

@hackerhater • 10 maart 2026 19:40

Met een goed opgezette MS Authenticator waarin je Entra ID account staat ook niet. Op je computer krijg je een cijfer te zien en dat cijfer moet je dan intypen op je telefoon. En ja, dit is anders dan bij de consumentenversie waarbij je een cijfer in de authenticator app te zien krijgt en dan een selectie moet maken tussen 3 mogelijkheden op je computerscherm.

Als je vandaag nog halfslaperig een push melding kunt bevestigen met je Microsoft account in je MS Authenticator app, dan heeft de beheerder van je bedrijfsomgeving zitten slapen de afgelopen jaren.

En als je toch liever iets hebt waarbij jij altijd de actie moet initieren, dan moet je voor passkeys gaan, die zijn nog een stuk veiliger.

Met TOTP weet je bijvoorbeeld nooit aan wie je je token geeft, bij een push melding staat het erbij welke applicatie zich probeert te authenticeren terwijl bij een passkey het net jouw applicatie is die de authenticatie volledig afhandeld. De enige authenticatievorm waar een man-in-the-middle attack kan plaatsvinden is bij TOTP.

hackerhater @Blokker_1999 • 11 maart 2026 10:14

Dat is ook alleen maar gekomen nadat heel veel accounts gecompromized waren.

Het klopt dat een totp token niet zegt van wie het is, maar waarom zou je in vredesnaam een tijd gebonden token invullen op een pagina als je zelf niet een actie geinitialiseerd hebt?
Als je maar een paar seconden twijfelt is die code al ongeldig. En 6 cijfers overtypen vereist dat je een stuk meer wakker bent dan 2.
Verder: geen melding op je mobiel dus je zal niet wakker worden.

Ernaast heeft het 2 andere voordelen:
1) Niet gebonden aan een big tech als bijvoorbeeld Microsoft
2) Het werkt ook als je mobiel geen/slechte verbinding heeft. Alleen de PC moet internet hebben.

Persoonlijk geef ik de voorkeur aan de ubikey, maar als dat niet ondersteund wordt TOTP.
Er is een stuk meer in de wereld dan alleen de big tech spullen

[Reactie gewijzigd door hackerhater op 11 maart 2026 10:15]

YoMarK @hackerhater • 11 maart 2026 10:40

Het probleem met TOTP is dat het gewoon een hash is die je kan kopiëren naar 20 andere devices. Als ik je telefoon een minuutje heb, dan kan ik die gewoon naar mijn eigen telefoon kopiëren. Het is niet device gebonden.

Ja, dat is voor een gebruiker zeker handig als deze b.v. een nieuwe telefoon krijgt. Kopieer gewoon alle TOTP codes naar mijn nieuwe telefoon. Je ziet het probleem niet vanuit het perspectief van een bedrijf(belangrijke bedrijfsdata)?
Wat houdt iemand tegen om gewoon een TOTP app op zijn Laptop te zetten, waar hij ook al zijn inlognaam en wachtwoord intypt om in de beveiligde bedrijfsomgeving te komen(tja, niets dus)? Lekker handig alles op één plek!
Wederom: Je ziet het probleem niet vanuit het perspectief van een bedrijf?

TOTP is op z'n best redelijk OK als je als gebruiker daar ook serieus mee omgaat.

De drang om te controleren vanuit big-tech is zeker een issue, maar in dit geval zijn een echt wel valide redenen voor MS om wat eisen te stellen aan het device waarop hun betaalde(!) MFA app staat. Ze ondersteunen en legio alternatieven, zoals ook hardwarekeys.

hackerhater @YoMarK • 11 maart 2026 11:00

Je denkt dat je die codes zo kan kopieren vanuit de apps op je telefoon? ROFL.
Als je root hebt op het device mischien, maar anders echt niet.
Die seeds zijn zwaar afgeschermd voor een goede reden, als ze niet al direct de TPM gebruiken.
De meeste TOTP apps gaan nog niet eens mee in een telefoon backup, laat staan transfer.

Er is niet voor niets dat je normaal nood-codes krijgt wanneer je TOTP activeerd op een website.
Als een bedrijf zo serieus hun data wilt beschermen, geef het personeel hardware tokens als ubikeys. Veel veiliger dan welke telefoon dan ook.

Kijk ik kan begrijpen dat MS dit als optie aan zou bieden voor bedrijven die root niet willen.
Maar in zo'n geval zou een bedrijf bedrijfs-telefoons moeten geven en niet hun personeel hun persoonlijke telefoon laten gebruiken.
Maar het afdwingen is weer hun typische controle dwang.

ManIkWeet @Exhonor • 10 maart 2026 15:27

Precies, nu kan ik op eens niet meer inloggen op mijn werk account, niet omdat m'n baas of sysadmin daarom vraagt, maar omdat Microsoft denk dat het beter is zo?

Daarbij moet ik sysadmin weer lastig vallen, want Microsoft verwijderd direct mijn account uit de app...

r0y89 @ManIkWeet • 10 maart 2026 15:37

Als sysadmin zou ik juist blij zijn dat deze functie er is. Je kunt er namelijk niet meer vanuit gaan dat het toestel veilig is. Een geroot toestel loopt simpelweg meer risico om kwaadaardige apps te draaien.

ManIkWeet @r0y89 • 10 maart 2026 15:40

Lever jij als sysadmin ook werktelefoons dan? Want dan kan ik me voorstellen dat dit een prima eis is.

Ik heb die Authenticator op mijn persoonlijke telefoon, want ik krijg geen telefoon van m'n werk. En mijn persoonlijke telefoon is op leeftijd, ik gebruik graag adblock, etc. etc.

En uh... een hele telefoon puur om alleen een login token te genereren is misschien een beetje overkill?

Pablo @ManIkWeet • 10 maart 2026 15:45

ik geef altijd de keuze;

Wil je de microsoft authenticator op je prive toestel zetten ?
Hoeft niet - mag wel.

Wil je dat niet, dan gaan we deze browser plugin installeren https://microsoftedge.mic...bibnalbgmbachknglpdipeoio

Geef je de eindgebruiker een keuze en zo onstaan er als het goed is geen of amper issues omtrent authenticators en hoef je ook geen yubi keys of hardware tokens aan te schaffen

FreezeXJ @Pablo • 10 maart 2026 16:33

Als die plugin op je werklaptop komt, prima. Als dat op prive-eigendom moet komen dan duw je alsnog Microsoft door de strot van je werknemers.
Ondertussen denk ik dat een yubi of soortgelijk token een prima oplossing is voor dit soort MFA, juist omdat die lekker fysiek zijn, en daarom 'logischer' voor mensen dan yet another app. Als ze nou nog iets ruimer en soepeler ondersteund worden (backup-yubi ergens aan koppelen is nog steeds lastig, Oracle!) is dat ook winst voor het ecosysteem. Hebben we die mobieltjes alleen nog voor prive-zaken.

Smartphones

@FreezeXJ • 10 maart 2026 16:46

Als ik kijk hoe vaak mensen de digitale sleutel van de deuren op het kantoor permanent kwijt raken, en vergelijk met hoe vaak ze hun telefoon permanent kwijt raken, dan is een Yubikey zakelijk geen succes.

indigo79 @Pablo • 10 maart 2026 16:56

Waarom die afkeer van Yubikeys en andere hardwaretokens? Ik heb daar een sterke voorkeur voor.

Thijs_Rallye @Pablo • 11 maart 2026 07:49

Hoezo denk jij enige zeggenschap te hebben over een prive device? Lever dan maar een telefoon waar het opstaat!

Pablo @Thijs_Rallye • 11 maart 2026 09:45

ik had er bij kunnen specificeren dat de plugin voor de browser een optie is voor de ZAKELIJKE laptop.
De MS authenticator app is een vrije keuze zoals ik had geschreven, dus ik denk of zeg geen enkel zeggenschap te hebben over een prive device , dat verzin je er nu echt zelf bij

Thijs_Rallye @Pablo • 11 maart 2026 10:31

Ik zal de slaap nog wel in de ogen hebben gehad

. Mea culpa!

Pablo @Thijs_Rallye • 11 maart 2026 10:55

Het was nog vroeg inderdaad

OkselFris @ManIkWeet • 10 maart 2026 19:27

Dan heeft je werkgever toch pech dan kan je niet meer inloggen vanuit werkplekken waar MFA is vereist. Jij kan ook niet van je werkgever eisen dat ze toegang vanuit een geroot toestel toestaan.

Ik ben eerlijk gezegd blij dat MS dit doet, een rooted toestel vertrouw ik per definitie niet.

@OkselFris • 10 maart 2026 23:32

Als je dan toch paranoide bent: Een prive toestel zou je dan hoe dan ook niet moeten vertrouwen, als school of werkgever. Nu, daar zit hem wel het échte pijnpunt: Een werkgever kan je nog van verwachten: Ik heb voor mijn werk toegang tot een account nodig, werkgever werkt met Microsoft en 2FA via de Authenticator: prima, dan lever ook maar een toestel daarvoor.

Maar als scholen/onderwijs instellingen dit net zo hard vereisen, wordt het een ander verhaal: Moet je als student/scholier je eigen telefoon meenemen, en moet die aan specificaties van de school voldoen? Kan/mag je dat van een scholier verwachten?

OkselFris @JayPe • 11 maart 2026 08:34

Student/scholier een totaal ander risico profiel, daar is geen enkele reden om hetzelfde van te verwachten. Een werkgever kan dit wel, bijvoorbeeld een minimum OS versie (niet EOL) of een niet rooted devices. Persoonlijke devices kan je nog beperken tot het alleen draaien van de authenticator en geen toegang tot company resources.

Inderdaad in jou geval zou de werkgever ook een toestel kunnen leveren of een andere benadering kunnen nemen, bijvoorbeeld jou alleen met trusted managed devices te laten werken, waar je geen MFA nodig hebt. Of een FIDO2 key.....etc. Er zijn legio oplossingen.

Het probleem met een rooted device zit hem naar mijn mening vooral in de passkey trust, passkeys waar we naar toe gaan en welke de MS authenticator ondersteund. Met een passkey ga je uit dat je het device waar de passkey veilig is opgeslagen, kan vertrouwen. Hoe zou dit nog rijmen met een rooted device?

@OkselFris • 11 maart 2026 10:02

Student/scholier een totaal ander risico profiel, daar is geen enkele reden om hetzelfde van te verwachten.

Ik quote maar even de topic titel:

Microsoft Authenticator maakt inloggen bij werk of school onmogelijk met root

OkselFris @JayPe • 11 maart 2026 11:42

Klopt en in het licht van passkeys is dat heel begrijpelijk. Eens kijken hoe de wereld schreeuwt wanneer MS dit niet doet en we plots compromised passkeys hebben.

Maar mijn gehele verhaal ging over opleggen vanuit school of werkgever en of zij jou een telefoon moeten leveren. Die scholier kan in de meeste gevallen gewoon een andere app gebruiken indien ze TOTP toestaan.

telenut @ManIkWeet • 10 maart 2026 15:51

Hier is het ook zo. Je hebt de MS Authenticator nodig als je van thuis uit wil werken.
Maar niemand is verplicht van thuis te werken... Dus wil je dit niet, kan je altijd gewoon naar het werk komen :-)

Wouterie @r0y89 • 10 maart 2026 15:44

Dat is waar, alleen vind ik het een verantwoordelijkheid van de organisatie om daar een beleid op in te stellen, niet van Microsoft. Zo ben ik ook van mening dat je eisen zou moeten stellen aan het updateniveau van de toestellen. En Microsoft levert de tooling hiervoor, maar dat ze meteen maar een beleid afdwingen vind ik wat ver gaan.

En laten we even eerlijk zijn... Hoeveel Microsoft systemen draaien er standaard op een admin gebruiker? Het zou een leuke boel worden wanneer Microsoft gaat afdwingen dat je alleen maar mag inloggen met een standaardgebruiker.

@Wouterie • 10 maart 2026 16:49

Vraagje.... Ik heb zedker 10 Entra ID in mijn Microsodft Authenticator App staan. Wie moet deze App dan exact beheren?

Of wat als ik alleen TOTP codes er in heb staan?

Microsoft
Google

@Rolfie • 11 maart 2026 09:09

In de basis zou elke organisatie voor hun eigen accounts een minimum vereiste kunnen instellen. Voldoet je toestel daar niet aan, kan je dat account niet toevoegen aan je authenticator.

En TOTP tokens kan je natuurlijk in elke authenticator app en vele wachtwoordbeheerds opslaan. Ook 1 van de redenen waarom vele organisaties die Entra gebruiken TOTP tokens aan het uitfaseren zijn.

Calypso @r0y89 • 10 maart 2026 16:39

Klopt. Maar ik denk dat een geroot toestel dan weer minder kans op kwaadaardige apps heeft als een toestel met Android 8 - welke nog uitstekend werkt, maar al tig jaar niet meer geupdate wordt.

Dat was mijn situatie met mijn vorige toestel. Deed het prima, geen updates meer. CustomOS erop en dat werkte prima. Totdat Google besloot, natuurlijk midden in m'n vakantie, om de duimschroeven aan te draaien waardoor ik m'n lokale bankkaart niet meer kon gebruiken...

vlijmen @ManIkWeet • 10 maart 2026 15:33

Je kunt toch prima een andere Authenticator app gebruiken? Probleem opgelost zou ik zeggen.

ManIkWeet @vlijmen • 10 maart 2026 15:37

Een andere app voor een Microsoft werk/school account die via notificatiecodes werkt? Nee, denk ik niet...

[Reactie gewijzigd door ManIkWeet op 10 maart 2026 16:00]

Balloon @ManIkWeet • 10 maart 2026 15:56

Ik gebruik de Edge browserplugin genaamd 'Authenticator: 2FA client'. Werkt prima met MS werk en school accounts. Voor zover ik begrijp kan dat ook niet tegengehouden worden vanuit de M365/Azure omgeving.

edit:
Pablo geeft de link al hieronder, zie ik nu.

[Reactie gewijzigd door Balloon op 10 maart 2026 15:57]

Microsoft
Google

@Balloon • 11 maart 2026 09:11

Ik vind zulke plugins, van een onbekende bron, problematisch op zijn best. En op laptops van de zaak kan je dat wel tegengaan omdat beheerders controle kunnen nemen over welke extensies je wel of niet in je browser kunt gebruiken.

vlijmen @ManIkWeet • 10 maart 2026 15:39

Dat is dan toch de keus van jouw school of werkgever, Microsoft bied een extra beveilingslaag aan door deze stap te zetten (of dat wenselijk is of niet is een keus). Maar ze bieden gewoon een alternatief aan waar de klant gebruik van kan maken. Als de klant, jouw school of werkgever, jou als eindgebruiker deze optie niet geef, dan zullen ze daar hun redenen voor hebben. Maar dan kun je ook bij hun klagen ipv over Microsoft dat ze de beveiliging aanscherpen.

bytemaster460 @ManIkWeet • 10 maart 2026 19:46

Als de 2FA met TOTP werkt kun je iedere authenticator met TOTP gebruiken. De werkgever of school bepaalt zelf welke methode er gebruikt wordt. Niet Microsoft.

BLACKfm @ManIkWeet • 10 maart 2026 17:39

Waarom root jij je zakelijke toestel? Ik zou daar als werkgever niet vrolijk van worden...

deadinspace @BLACKfm • 10 maart 2026 18:28

Waarom denk je dat hij een zakelijk toestel root?

Ik denk dat hij het heeft over zijn privétoestel die hij gebruikte als 2fa voor zijn werk-login. Dat doen de meeste mensen, dus dat is de meest logische verklaring.

BLACKfm @deadinspace • 10 maart 2026 22:11

Het was als strikvraag bedoelt, want als het inderdaad het privétoestel is dan moet je dat als werkgever (en zeker als werknemer) niet willen. En als het een zakelijk toestel is lijkt het mij geen bedrijfsbeleid dat er met die toestellen wordt 'gekloot', al is het maar uit veiligheidsoogpunt.

Ieder zijn ding en ik vind het ook heel vervelend dat ik 2 telefoons heb (die verder voor telefoontjes gewoon is doorgeschakeld) en ik vervolgens om de 3 maanden moet aanslingeren (als de accu weer eens leeg is) om de authenticator app te gebruiken PRECIES op het moment dat ik dat ding niet bij de hand heb.

En ik ben zelf (ook) van het kaliber 'het zal zo'n vaart niet lopen' en 'dat overkomt mij niet', maar dat dachten al die andere waar het wel mis is gegaan waarschijnlijk ook. En voor je het weet sta je als een 'odido' voor joker.

Elijan9 @BLACKfm • 11 maart 2026 11:15

In de praktijk zijn de meeste werkgevers te zuinig om mensen een zakelijk toestel te geven, maar stellen vervolgens wel allerlei eisen aan jouw privé telefoon. Dat is sowieso een dubbele standaard. Of je nu knutselt met je eigen telefoon of niet, als iets onderdeel gemaakt wordt van de bedrijfsinfrastructuur, al is het een app, dan zul je als werkgever daar ook de verantwoordelijkheid voor moeten dragen en daar zelf de benodigdheden voor aan te leveren. Dus een zakelijke telefoon als je apps verplicht, al is het alleen MS Authenticator. Maar succes met overtuigen...

BLACKfm @Elijan9 • 11 maart 2026 12:16

Inderdaad, succes met overtuigen. Maar als de werkgever wil dat ik bereikbaar ben, een bepaalde app nodig heb of op enige wijze op een privétoestel iets moet laten of 'voorzichtig' moet zijn in relatie tot werkgerelateerde zaken, dan regelt deze maar een mobieltje.

En als je (uit jezelf), de mogelijkheid hebt om, zakelijke apps op je privétoestel te draaien dan is dat een risico die de werkgever moet dragen (En dus niet moet willen). Als de shit een keer aan de fan is door een hack/lek en ze komen er na (lang) onderzoek achter dat het komt omdat iemand een geroot toestel heeft en daarmee middels een vage app een troyan heeft binnengehaald die daarmee bij bedrijfsgevoelige informatie kon komen komt een werkgever niet weg met 'Ja, maar dat mocht eigenlijk helemaal niet dat de werknemer de privé apparatuur gebruikte voor deze doeleinden'.

Met vervolgens de discussies of de beveiliging van het bedrijf wel op orde was (waarom werkte die app/toegang op een privé toestel?) of waarom er geen zakelijke toestellen zijn uitgedeeld die je geheel onder eigen controle kunt hebben.

Het moeten inzetten van privé middelen voor zakelijke doeleinden _is_ geen discussie, dat moet je gewoon niet doen.

En ja, het is lekker makkelijk, maar het gevaar, hoe klein ook, zit juist in dat gemak.

Ik kan er ook mijn voordeel uit halen. Ik kan nu niet meer -vrijwillig- thuiswerken, waar ik eerder wel gewoon via de RDP kon inloggen en toegang had tot het bedrijfsnetwerk kan dat nu niet meer. Dan blijven sommige zaken dus gewoon liggen tot na het weekend (waar ik eerder mijzelf mee heb waardoor ik een uurtje eerder mijn bed uit moet om nog wat snel af te ronden/voor te bereiden).
Zelden neem ik de zakelijke laptop mee naar huis, waarbij ik dat uiteraard weer wel kan. Maar als dan weer nét dat moment is dat ik de authenticator app nodig heb kan ik nog niks, want ook dat zakelijke toestel blijft gewoon waar het hoort... op de zaak.

Ik heb ook gewoon een schijtheken aan al die moeilijkdoenerij omtrent IT veiligheid, maar zoals gezegd, wil je niet als de recente odido eindigen door dat soort gemakzucht. En dat begint al bij iets simpels als een zakelijke toestel voor alle zakelijke doeleinden en niks op/via privémiddelen doen/mogelijk maken.

En niet iedereen hoeft de 'Iphone pro max ultra super 25+ gold edition', voor een paar tientjes heb je ook een mobiel die prima geschikt is voor die bewuste doelen. Daar hoef je niet op te gamen, netflixen of snapchatten.

@Exhonor • 10 maart 2026 15:29

Dit heeft ook gewoon helemaal niks te maken met veiligheid of welk ander slap excuus er wordt gebruikt.

Terwijl juist de Microsoft Authenticator de core is voor veel beveiligingen en toegang..

Het gaat om controle. Niets meer, niets minder.

Het gaat inderdaad om controle, maar over een ander type controle dan sommige denken.

Het gaat er om, dat je goede controle hebt over de Microsoft Authenticator App, zodat daar geen data uit gekopieerd of gemanipuleerd kan worden.

Als ze dit hadden geïntroduceerd als iets wat aan of uit kan worden gezet door een beheerder dan had ik het gesnapt, maar een blanket ban gaat echt te ver.

Spreekt dit je eerdere statement niet tegen, over controle?

Dus als men achter meer inzichten krijgt, of dat dit momenteel actief misbruikt (kan) worden, moet men dit maar negeren?

Ik denk dat we wel kunnen constateren, dat tegenwoordig maar heel weinig gebruikers hun toestel zullen rooten.

Wouterie @Rolfie • 10 maart 2026 15:45

Vanuit het oogpunt van de organisatie snap ik dat je risico's wilt uitsluiten, alleen zou het een keuze en beleid van de organisatie moeten zijn, niet vanuit een club als Microsoft. Microsoft kan de tooling aanbieden en organsaties/bedrijven zelf hierin keuzes laten maken.

@Wouterie • 10 maart 2026 16:46

1/2 mee eens. Nadeel is dat niet iedere organisatie dit dan weer goed en veilig inricht, met alle risico's vandien.

Meestal laat MS veel over aan beheerders icm controle. Maar hoe zie je dat precies, als ik 5 verschillende Entra ID in mijn App heeft staan? Wie mag dan de beslissing nemen? Want geen van deze bedrijven beheerd deze applicatie op mijn telefoon.

BLACKfm @Wouterie • 10 maart 2026 17:46

Je wurmt jezelf als organisatie ook gewoon een heel ecosysteem in. De vraag is meer of je dát moet willen enkel onder het mom van 'gemak'.

Ik moet er mee werken, maar ik heb er 0 voordeel aan. Er zijn legio andere (gratis) middelen om te bereiken wat je allemaal met software van Microsoft kan doen.

'Vroeger' had je gewoon een ICT-er binnen het bedrijf, nu heb je misschien een interne helpdesk die 'rechten' hebben. Maar als het maar een beetje complex wordt dan tikken ze zelf ook gewoon mee op google of chatgpt. En de enige reden waarom ik de ICT nodig hebt is omdat ik zelf de toegang niet heb tot bepaalde zaken.

Iets simpels als het aanmaken van projecten binnen teams (om bestanden te kunnen opslaan e.d.) moet via de afdeling ICT. Het gaat relatief snel, maar voor elke poep of scheet zit er weer een tussenpersoon bij.

Daar had je bij een gewone (lokale) fileserver geen last van.

@BLACKfm • 11 maart 2026 09:54

Iets simpels als het aanmaken van projecten binnen teams (om bestanden te kunnen opslaan e.d.) moet via de afdeling ICT. Het gaat relatief snel, maar voor elke poep of scheet zit er weer een tussenpersoon bij.

Dit is gewoon beleid, wat je kunt instellen. hier kunnen we gewoon heel gemakkelijk Teams sites aanmaken als gebruiker.

Daar had je bij een gewone (lokale) fileserver geen last van.

Bij hadden op lokale fileservers ook vaak ingericht, dat nieuwe folder structuren, t/m het 2 of 3 de nivo ook altijd via de SD moest gaan, ivm het goed neer zetten van de rechtenstructuur.

Microsoft
Google

@Wouterie • 10 maart 2026 19:36

Microsoft is in 2023 begonnen met het Secure Future Initiative waarbij men steeds meer instellingen automatisch opzet met veiligheid eerst in plaats van gebruiksgemak. En dat vind ik net positief. Te veel bedrijven zetten hun systemen op op een onveilige manier.

Beheerders in Entra worden vandaag al verplicht van MFA te gebruiken, ergens in de toekomst wordt dat verplicht phishing-resistant MFA. En wat MS hier met de authenticator doet hoort daar wat mij betreft ook gewoon bij. Stop met het aanbieden van minder veilige oplossingen als standaard. Wil je minder veilige opties toch mogelijk maken, wat nog altijd kan met bijvoorbeeld TOTP tokens in je authenticator app, dan moet je dat als beheerder expliciet gaan opzetten in je omgeving.

Dus ja, als je echt je gebruikers de optie wenst te geven om MFA te doen op een rooted apparaat, dan kan dat. Maar dan wordt het een bewuste keuze die je moet maken.

Google
Google Android
Smartphones

@Rolfie • 10 maart 2026 15:40

Sowieso welke controle heeft hij het over, als er iemand meer controle krijgt is het niet MS maar juist Google want die jailbreak betreft het OS!

Dus @Exhonor wat heeft MS er aan dat Google meer controle krijgt? Waarom zou MS hun concurrent (op veel vlakken) helpen? En wat hebben hun er dan zelf aan?

Als je daar nou valide argumenten op hebt kan het inderdaad om controle draaien, anders is het gewoon een kwestie tbv veiligheid

[Reactie gewijzigd door watercoolertje op 10 maart 2026 15:41]

Enjoyer @Exhonor • 10 maart 2026 15:22

Precies dit. Microsoft wordt steeds lelijker.

OkselFris @Enjoyer • 10 maart 2026 19:30

Tot het moment dat je realiseert dat MS Authenticator niet alleen voor MFA codes wordt gebruikt, maar ook voor het opslaan van Passkeys, gebruikt wordt voor toepassen van MAM policies (broker) op unmanaged smartphones etc.

Enjoyer @OkselFris • 10 maart 2026 19:39

Dat zegt me eigenlijk allemaal niks behalve passkeys, en die gebruik ik niet, zover ik weet in ieder geval. Want ik annuleer altijd de vraag of ik passkeys wil maken. Ik vertrouw die shit niet. Ik maak mijn eigen wachtwoorden en sla ze op een local password manager.

OkselFris @Enjoyer • 10 maart 2026 20:13

Jij misschien niet, maar voor bedrijven is het misschien wel de meest eenvoudige manier om gebruikers over te laten stappen naar passkeys. Sommige gebruikers zullen alleen Passkeys in de MS Authenticator toestaan i.p.v. synced passkeys van andere apps. Veel bedrijven zullen dit shit van jou niet vertrouwen en die synced passkey in jouw passwordmanager niet toestaan.

Men kan wel lekker foeteren op MS .... maar zo simpel is het niet. daarnaast richt de MS Authenticator zich vooral op bedrijven

SuperDre @OkselFris • 10 maart 2026 21:54

Maar daar blijft het nog steeds voor werken. Het gaat hier om die functie waarbij als je inlogt op een ms account je op je telefoon moet bevestigen of jij dat bent.

Overigens is de forcering van passkeys tegenwoordig een doorn in mij oog.

OkselFris @SuperDre • 10 maart 2026 22:29

Dat is incorrect, de passkey functie komt ook te vervallen op een rooted device. Het wordt namelijk opgeslagen in dezelfde account registratie als je MFA OTP. Je moet eerst MFA OTP activeren voor je account alvorens een passkey te enforcen.

Passkeys is misschien voor jou een doorn in het oog, maar voor bedrijven bijna een must gezien de traditionele MFA code zeer eenvoudig te onderscheppen is. Passkeys is een zegen tegen al die AiTM aanvallen.

gimbal @Exhonor • 10 maart 2026 15:30

Die controle komt impliciet met je smartphone mee. Je moet hem niet voor niets handmatig jailbreaken... het is geen ondersteunde feature. Het is niet de bedoeling dat je het doet, dus als je het wel doet dan moet je niet opkijken van gevolgen.

Of een smartphone met een dergelijke controle laag wenselijk is dat is zeker een waardige discussie. Maar verandert niets aan het feit dat het nu by design aanwezig is en wel degelijk onderdeel is van een gevoerd security beleid. Of je het er nu mee eens bent of niet.

baseoa @gimbal • 11 maart 2026 15:39

Je DVD-speler komt ook niet met root, daar zitten namelijk geheime sleutels in om inhoud te decoderen en als jij controle had over het apparaat, zou je het die sleutels kunnen laten weergeven

Bij een smartphone gaat het niet om een DRM-apparaat dat dichtgetimmerd moet zijn om inhoud bij rechthebbenden te houden; het gaat om zo ongeveer alle belangrijke communicatie en gegevens binnen jouw leven: van paspoorten en visum-apps tot bankieren en helpdesks bereiken, je kan zonder dit ding niet normaal deelnemen aan de samenleving

Toch kun je er zonder technische ingrepen geen reservekopie van maken, en dat heeft niks met veiligheid te maken. De fabrikant houdt er de controle over en derden vertrouwen dat, net als de fabrikant van de DVD-speler die vertrouwd wordt door de media-industrie. Het gaat om die controle door derden (partijen wiens toestel het niet is)

Dat tante Truus niet zo makkelijk malware kan installeren is een bijkomstigheid die ook anders opgelost kan worden. Immers zijn de ontwikkelaarstools al verstopt, dus kun je de root terminal daar ook neerzetten. In de hardware-backed keystore sla je dan geheime tokens op (die is daar daadwerkelijk voor bedoeld). In desktops of servers heet dat een TPM, HSM, of smartcard, afhankelijk van de variant, maar in alle gevallen kun je met jouw hardware doen wat je wilt behalve binnen deze module. Je scheidt zo de twee delen van het systeem, waarbij je dus alleen dingen wegstopt die de eigenaar van de hardware daadwerkelijk niks aangaan, en je kan als eigenaar dan zien welke operaties erop worden uitgevoerd (maar niet met welke sleutels). Als Microsoft Authenticator dit zou gebruiken, zou je kunnen zien dat de CPU aan de hardwaremodule de opdracht geeft om een 2FA-challenge te signeren, maar niet met welke sleutel. Zo hou je controle over je eigen data en wat ermee gebeurt (je kan zien wat er van jou naar de module wordt doorgestuurd en vervolgens het netwerk op gaat). Deze hardware zit al in je telefoon. Maar dat wil Microsoft schijnbaar niet gebruiken

[Reactie gewijzigd door baseoa op 11 maart 2026 15:42]

ID5 @Exhonor • 10 maart 2026 15:34

Inderdaad.

Ben al bezig met al mijn accounts uit Microsoft Authenticator te halen, beetje jammer dat het werk deze ook gebruikt...

En zo wordt de controle van big tech alleen maar groter, en of het veiliger wordt is maar de vraag, dit soort geforceerde 'verbeteringen' (leed lock-in in big tech) mogen wel eens stoppen.

Ultraman Moderator VB 10 maart 2026 15:28

Gelukkig heb je vrijwel nergens de Microsoft Authenticator voor nodig. Pak een alternatief.

YoMarK @Ultraman • 10 maart 2026 16:59

Juist! Feitelijk hebben ze zelfs een punt. MS Authenticator is gewoon een bepaalde dienst en app, en die is eigenlijk helemaal niet zo veilig op een geroot device (die bij wijze van onder controle staat van een hacker en Rusland alhoewel de Auth requests netjes uit nederland komen).

Microsoft ondersteund echt enorm veel 2e factoren voor MFA. Open standaarden als FIDO2/WebAuthM en legio hardware-keys. Als bedrijf kan je alle kanten op, ook voor medewerkers met een geroote telefoon.

iqcgubon @Ultraman • 10 maart 2026 15:44

Behalve voor Microsoft hun eigen bazaar natuurlijk... Al mijn 2FA codes zitten in Aegis maar AFAIK is het niet mogelijk om aan te loggen op pakweg Azure zonder die MS Authenticator.

Oon @iqcgubon • 10 maart 2026 16:33

Ik log in Azure (ook als admin) gewoon in met TOTP..

Microsoft
Google

@Oon • 10 maart 2026 19:43

Slechte gewoonte, en gaat verdwijnen. Ga maar eens in de conditional access policies kijken. Kans is groot dat er reeds een Microsoft managed policy klaarstaat om in de toekomst phishin-resistant MFA af te dwingen.

OkselFris @Oon • 10 maart 2026 19:34

Dat is een policy, men kan instellen om alleen de MS Authenticator toe te staan of ook andere SoftwareOTP. Dus in sommige organisaties werkt dat niet.

Smartphones
Google
Microsoft

@Ultraman • 10 maart 2026 15:38

Dat is alleen als je het voor TOTP (die 6/8-cijferige codes die steeds veranderen) gebruikt. Dan kan je een alternatief pakken ja.

Maar als je inlogt op iets van MS zelf dan gebruikt het popups e.d. en die werken absoluut niet in een andere app. Op zakelijke MS365 accounts is TOTP bijna nooit toegestaan.

Caelorum @Llopigat • 10 maart 2026 16:35

Wij kunnen gelukkig tegenwoordig vaak passkeys gebruiken en die kunnen in elke willekeurige password manager wel worden opgeslagen.

Oon @Llopigat • 10 maart 2026 16:33

Nog nooit meegemaakt dat TOTP niet als alternatief is toegestaan. Ik durf mijn hand er voor door het vuur te steken dat 9/10 organisaties zelfs SMS nog toestaat (wat expliciet onveilig is) en TOTP ook als fallback, alleen niet als standaardmethode.

Microsoft
Google

@Oon • 10 maart 2026 19:42

Bij ons werken ze op dit moment nog wel, maar dat zal in de toekomst verdwijnen, net omdat TOTP veel vatbaarder is voor phishing en social engineering.

Sissors @Llopigat • 10 maart 2026 16:42

Nu heb ik niet zo'n lange lijst zakelijke accounts, maar de twee die ik heb, beide bij grote multinationals, kan je gewoon met TOTP inloggen.

daanb14 @Ultraman • 10 maart 2026 15:30

Helemaal mee eens! Zelfs bij een Microsoft Account is het mogelijk om gewoon TOTPs te gebruiken. Bij een organisatie is dat echter helaas afhankelijk van wat een admin toestaat in Entra ID en zou een admin ervoor kunnen kiezen om TOTP niet toe te staan en number matching met Microsoft Authenticator wel.

frankivo @Ultraman • 10 maart 2026 15:57

Behalve Microsoft accounts voor m'n werk. Tijd om werk en prive fysiek te gaan scheiden qua hardware.

YoMarK @frankivo • 10 maart 2026 17:00

Dan ga je naar je werk, en vraag je of ze een Yubikey ofzo kunnen ondersteunen.

i7x @Ultraman • 10 maart 2026 16:22

Voor werk heb ik het altijd nodig, of via sms. Dus ik ontvang sms, want ik ga niet een extra authenticator installeren enkel voor MS. Ik heb alles netjes in iCloud, maar MS moet moeilijk doen. Kan niet zeggen dat het zo'n fijne gebruikservaring is, maar weinig aan te doen helaas. Ik had nog Phone Link geprobeerd; dan zou je sms notificaties in Windows kunnen ontvangen, kun je ze meteen copy-pasten in het authenticatiescherm had ik zo bedacht. Maar in de praktijk werkt het maar de helft van de tijd heb ik gemerkt, dus heb dat ook maar verwijderd.

TigerXtrm 10 maart 2026 17:06

Sodemieter sowieso op met dat hele MS Authenticator. Laat me zelf een app kiezen, stel eikels. Waarom moet dat percé met hun eigen app?

Microsoft
Google

@TigerXtrm • 10 maart 2026 19:53

Omdat andere apps alleen TOTP doen. En dat is kwetsbaar voor onder andere man-in-the-middle aanvallen of kan ook kwetsbaar zijn voor andere aanvallen zoals bij social engineering.

Met de authenticator app krijg je, in combinatie met bedrijfsaccounts, de kans op push meldingen waarbij ook wordt aangegeven welke applicatie probeert te authenticeren en vanuit welke regio. Bijkomend ben jij diegene die de cijfers moet intypen vanuit de applicatie op je scherm, waardoor MITM aanvallen een heel stuk moeilijker worden.

Maar wil je nog veiliger, dan ga je voor passkeys op een hardware token, en dan ben je opnieuw verlost van de MS Authenticator app.

En in een bedrijfsomgeving moeten gebruikers niet zelf een app kiezen. Dat moet bepaald worden door de IT diensten in combinatie met de Security afdeling wat zij als veilig genoeg aanschouwen.

SPee @Blokker_1999 • 11 maart 2026 11:21

Die push meldingen zou prima in een open standaard kunnen. Dat wat MS Authenticator doet is echt niet spannend.

gybe @TigerXtrm • 10 maart 2026 18:49

Dit is gewoon mogelijk, voor je office (werk)account kan je gewoon een andere authenticator kiezen. Microsoft stelt vanzelfsprekend wel altijd eerst hun eigen authenticator voor maar er is gewoon een optie om een andere authenticator te kiezen. Wat ik overigens ook altijd adviseer. De Microsoft Authenticator is ook een van de lastigste om codes te exporteren (zeker naar een andere app), vrijwel onmogelijk.

[Reactie gewijzigd door gybe op 10 maart 2026 18:50]

pang-frang-punk 10 maart 2026 15:51

De hele idioterie hier is dat het eigenlijk een toggle hoort te zijn aan de admin portal kant, waarin je dan kunt kiezen om dit wel of niet af te dwingen, maar op deze manier ontneemt Microsoft je dus die optie.

Weer een stukje zelfstandig beheer ontnomen.

Het was al perfect mogelijk om op company owned devices de root/jailbreak te laten resulteren in non-compliant device. Maar dit is een stap te ver eigenlijk.

TomONeill @pang-frang-punk • 10 maart 2026 15:58

Dit wilde ik dus ook reageren. Het slaat nergens op dat nu heel aggressief de accounts verwijderd gaan worden. Ik heb veel persoonlijke accounts erin staan en ik heb er vrede mee dat mijn telefoon geroot is.

Vooralsnog root gewoon gehide wat werkt. Maar moet toch maar op zoek naar een alternatief denk ik.

jurroen @TomONeill • 10 maart 2026 17:30

Aegis is een goede, veilige TOTP app. Het is open source en ondersteund encrypted backups. Bij mij zet ie de backup op Nextcloud neer, maar ook Google, OneDrive etc kunnen als een target worden ingesteld.

blinchik @jurroen • 10 maart 2026 17:56

Ik gebruik de Microsoft Authenticator ook niet, maar ze zijn enorm bezig om dit in 365 af te dwingen / forceren.

jurroen @blinchik • 10 maart 2026 19:18

Ik weet het. Vooralsnog wel mogelijk om het TOTP secret als een QR code te tonen.

Weet niet zo goed wat de default instelling is in nieuwe O365 tenants, kan zijn dat de admin nog een vinkje moet plaatsen om dat toe te staan (of mag standaard misschien al).

Idealiter gaat het zo hard met prijzen die omhoog gaan, enshittification, etc dat organisaties vanzelf elders gaan kijken. Een flink deel is al elders verkrijgbaar, maar soms nog wat te "scattered". Mail, cloud opslag etc kan heel goed elders (of zelf), maar bijvoorbeeld voor Intune heb je weer iets anders nodig. Evenals voor het gruwelijke PowerBI.

TomONeill @jurroen • 10 maart 2026 18:21

Dank je wel, @jurroen! Ik ga mijn data overzetten. Een back-up was wel een must idd.

jurroen @TomONeill • 10 maart 2026 19:20

Ja same, voor mij ook. Authy komt ook wel Eems voorbij, maar is niet mijn ding:

Het is closed source (dat weiger ik voor fundamentele zaken die te maken hebben met gevoelige data of toegang daartoe),
Het heeft backups, in hun cloud - en een export van de TOTP secrets lijkt niet mogelijk. Althans niet zonder externe tooling.

Microsoft
Google

@TomONeill • 10 maart 2026 19:47

En al die persoonlijke accounts blijven ook gewoon in je authenticator staan. Het gaat hier expliciet om accounts van bedrijven en scholen, met andere woorden vanuit omgevingen die Entra ID gebruiken.

Microsoft
Google

@pang-frang-punk • 10 maart 2026 19:46

Jij kan in het admin portaal perfect aangeven dat je TOTP tokens wenst toe te staan, dan kunnen die in elke authenticator app opgeslagen worden.

Maar wanneer je kiest voor push meldingen, dan kan ik me voorstellen dat MS heel die stroom beter wenst te beveiligen.

En ja, je kan een rooted device als non-compliant markeren, maar dat heeft dan weer geen enkel effect op de authenticator. Enkel op apps die data verwerken vanuit je bedrijf.

pang-frang-punk @Blokker_1999 • 10 maart 2026 21:40

Maar dat is precies m'n punt. Als global admin / partner / verantwoordelijke / ... vul in ... whatever, hoor je die ownership te kunnen nemen in plaats van dat ie stiefmoederlijk wordt afgepakt.

Andros 10 maart 2026 15:55

Tja, ze doen maar aangezien dit toch iets voor bedrijfstelefoons is. Mensen moeten toch eens stoppen privé toestellen voor het werk te gebruiken, gewoon werk en privé gescheiden houden. Als de baas geen toestel levert kan ik geen authenticator gebruiken, simpel zat.

pang-frang-punk @Andros • 10 maart 2026 16:02

Het hele idee van die authenticator app is een standalone manier om een tweede factor te bewijzen die in feite niet hoeft te staan op een company device. Ik heb collega's gehad met vergaande administratieve rechten op stukken van de omgeving die zich, als het fossiel dat ze zijn, hebben verscholen achter het HR beleid dat het inderdaad niet verplicht kan worden om iets persoonlijks te gebruiken voor bedrijfsdoeleinden.

En dat heeft grotendeels te maken met het onbegrip rondom hoe authenticator werkt. (mits normaal ingesteld, want ik weet ook wel dat je met GPS gelockte conditional access bvb de exacte locatie te weten kunt komen in het entra portal....)

Het blijft een lastig onderwerp

Andros @pang-frang-punk • 10 maart 2026 17:52

Nee hoor, er is iets niets lastigs aan. Het is gewoon het simpele verschil tussen mijn spullen en andermans spullen. Bij een bedrijf voer je werkzaamheden uit voor een werkgever, je wordt betaald voor arbeidsprestaties. Een werkgever voorziet daarvoor ook de benodigde materialen als computer, printer, koffie en ga zo maar door.

Ooit begon het met BYOD onzin en nu wordt er maar van werknemers verwacht dat een PRIVÉ telefoon vol privé data maar gebruikt wordt voor authenticators, email en chat (bereikbaarheid!), foto's maken tijdens veldwerk en het gaat steeds verder en verder. Heel simpel, als de werkgever een taak verwacht voorziet die werkgever daar gewoon een toestel voor, punt.

We zijn al zo ver gekomen dat er wetgeving nodig is voor recht op deconnectie omdat bedrijven hun personeel in weekenden en vakanties berichten werkgerelateerde berichten sturen. Met een werktelefoon zet je die gewoon UIT bij thuiskomst en ga je geen privé gegevens vermengen met werk. Je kunt het framen als "fossiel" etc hoe je wil maar ik snap serieus niet waarom een werkgever alles kan voorzien voor de job maar waarom een smartphone er dan te veel aan is, echt niet.

[Reactie gewijzigd door Andros op 10 maart 2026 18:22]

i7x @Andros • 10 maart 2026 16:25

Nogal irritant een extra telefoon te hebben enkel en alleen om bij MS in te loggen. Zware overkill en onpraktisch. Als je voor werk veel belt ofzo, ok, maar ik zou het voor niets anders gebruiken dan inloggen alleen, dus dan mogen ze die telefoon houden.

Andros @i7x • 11 maart 2026 09:35

Begrijp ik ook en als dat jouw keuze is moet je dat ook kunnen doen. Het wordt een groter probleem als bedrijven dit soort authenticators vragen en er zelf geen toestel voor voorzien, "zet maar even app x en y op je telefoon" wordt mij iets te vaak gevraagd door derden voor het werk. En wie vergoedt schade/diefstal/dataverlies als je je eigen toestel voor een ander gebruikt?

markg85 @Andros • 10 maart 2026 16:04

Oja?

Zoals ik het artikel lees doen ze om die type accounts te "beschermen". En is het middel om de hele Authenticator feitelijk te blokkeren als je root heb. Die Authenticator kan je ook gebruiken voor totaal andere accounts die je dan ook niet meer kan bereiken.

Het kan ook zijn dat ik een stukje ergens mis. Maar zoals het er staat lees ik het als root = Authenticator onbruikbaar.

ReTechNL 10 maart 2026 15:25

Hierdoor wordt het ook direct onmogelijk gemaakt om Microsoft Authenticator te gebruiken op custom ROM's of je nu root toegang hebt of niet. Bijvoorbeeld als je gebruik maakt van GrapheneOS wat volledig gebouwd is voor privacy en veiligheid op een Google Pixel, dan is het niet meer mogelijk om gebruik te maken van de Microsoft Authenticator.
Bron: https://www.heise.de/en/news/GrapheneOS-Microsoft-Authenticator-does-not-support-secure-Android-OS-11200495.html

[Reactie gewijzigd door ReTechNL op 10 maart 2026 15:29]

The Realone @ReTechNL • 10 maart 2026 15:38

Je zegt eerst heel stellig dat het nu "direct onmogelijk wordt gemaakt" maar komt dan met een artikel aanzetten waarin wordt gesteld dat allemaal nog onzeker is.

Microsoft
Google

@ReTechNL • 10 maart 2026 15:56

Hierdoor wordt het ook direct onmogelijk gemaakt om Microsoft Authenticator te gebruiken op custom ROM's of je nu root toegang hebt of niet.

Als het enkel het detecteren van root is zonder gebruik van iets als Google Play Integrity, dan is er gewoon omheen te werken. Root is softwarematig prima te verbergen.

YoMarK @ReTechNL • 10 maart 2026 16:32

Dat staat er niet. Er staat dat Microsoft GrapheneOS zelf niet ondersteund.

Maar als GrapheneOS niet ge-root is, dan is de kans groot(geen wishful thinking) dat deze ook niet als ge-root wordt aangemerkt.

Om te kunnen reageren moet je ingelogd zijn