Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 37 reacties
Submitter: Doane

Microsoft komt met nieuwe beveiligings- en herstelopties voor Microsoft-accounts. Ook wordt het mogelijk om recente accountactviteit in te zien en om beveiligingsnotificaties te ontvangen. Wanneer de wijzigingen worden doorgevoerd, is nog onduidelijk.

Microsoft is van plan verbeteringen door te voeren aan de beveiligings- en herstelopties van zijn accounts, zo schrijft LiveSide.net. Een Microsoft-account kan gebruikt worden voor Xbox, Skype, Windows Phone, Windows 8 en andere diensten en producten van Microsoft. De laatste keer dat Microsoft zijn accounts bijwerkte, was toen het authenticatie in twee stappen toevoegde.

Dit keer wordt er meer veranderd. Zo zal er nu een overzicht komen van recente accountactiviteit. Hierin worden succesvolle aanmeldingen opgenomen, pogingen tot het herstellen van de account en andere accountgerelateerde acties. Gebruikers zullen bovendien in staat zijn om ip-adressen, datum- en tijdgegevens en gebruikte platformen en browsers van uitgevoerde acties in te zien. Verdachte activiteit kan gemeld worden door op de knop "This wasn't me" (Dit was ik niet) te klikken.

De mogelijkheden voor het herstellen van een account worden onder handen genomen. Herstelcodes worden toegevoegd: deze codes zijn willekeurig gegenereerd door Microsoft en moeten door de gebruiker bewaard worden. Ze kunnen gebruikt worden om de herstelprocedure in gang te zetten, indien het wachtwoord is vergeten. Naar verwachting zullen deze codes samen met een andere beveiligingsmaatregel gebruikt moeten worden, maar hoe dat precies in zijn werk gaat, is nog onduidelijk. De mogelijkheid om gebruik te maken van "security questions" zal snel verwijderd worden. Uit onderzoek blijkt dat deze vragen vaak de zwakste schakel zijn in het beveiligen van een account.

Er komen ten slotte mogelijkheden om veiligheidsnotificaties in te schakelen en te beheren. Zo'n notificatie kan bijvoorbeeld worden gegeven als een kwaadwillende de account probeert over te nemen. Standaard zullen deze notificaties naar het primaire e-mailadres van de gebruiker worden verzonden, maar er kan ook voor worden gekozen notificaties naar een mobiele telefoon of ander e-mailadres te sturen.

Het is mogelijk dat deze functies voordat ze live gaan nog aangepast worden. Het is nog niet duidelijk wanneer Microsoft de nieuwe maatregelen beschikbaar zal maken.

Nieuwe herstel- en beveiligingsopties Microsoft Account (LiveSide) Nieuwe herstel- en beveiligingsopties Microsoft Account (LiveSide) Nieuwe herstel- en beveiligingsopties Microsoft Account (LiveSide) Nieuwe herstel- en beveiligingsopties Microsoft Account (LiveSide)
Moderatie-faq Wijzig weergave

Reacties (37)

Hopelijk kan ik dan eindelijk mijn account een keer recoveren. Ik heb echt nog nooit zulke klantonvriendelijke support gezien rondom accounts als Microsoft hanteert. Echt bizar slecht.

Ik gebruikte al jaren een account totdat opeens de melding kwam dat het account preventief geblokkeerd was. Waarschijnlijk had een vriendelijke bot geprobeerd te vaak in te loggen.

Gelukkig gebruik je dat account alleen maar voor .... alle Microsoft diensten, inclusief de diensten die in Windows 8 zijn opgenomen en dus integraal werken met dat account. Top!

stap 1:
Je kunt je account online resetten. Dus via https://account.live.com/ResetPassword.aspx. Het primaire adres bestaat niet meer omdat de ISP is opgeheven en daardoor kan ik geen activatie e-mail ontvangen. Maar gelukkig wist ik nog wel het secundaire adres, en daar komt vervolgens netjes een activatie link op binnen. Ik kan activeren wat ik wil, account blijft geblokkeerd bij een inlogpoging.

stap 2:
Na twintig links verder kom je tot de conclusie dat je twee opties hebt:
a) Via Microsoft online community. Als je inlogged met je Microsoft account (jaja! je bedenkt het niet als je geen toegang krijgt tot je account) kun je om hulp vragen. Dus ik maak een nieuw account aan maar op de vragen die je stelt komt 0,0 reactie. Als je vervolgens zoekt naar lotgenoten, idem dito, niemand krijgt een fatsoenlijk antwoord.

stap 3:
Vervolgens is er nog een verborgen recovery service. Daar moet je je accountgegevens invullen, je XBOX creditcard gegevens (die ik dus niet heb) en welke folders er in je mailbox zitten en met wie je hebt gemailed. Nou forget it, daar komt standaard aan dag later gewoon een auto-reply op dat ze alles niet goed hebben kunnen controleren.

stap 4:
Dan bel je dus met Microsoft support, jaja, telefonisch. Om vervolgens weer naar stap 1 te worden doorverwezen.

Onbegrijpelijk, het is gewoon niet mogelijk om bij Microsoft op een fatsoenlijke manier dit te doen. Eenmaal geblokkeerd ben je gewoon de sjaak.
offtopic: In plaats van dat ze een fatsoenlijke tech support opzetten en mijn Gamertag van mijn microsoft account verwijderen en niet steeds dezelfde standaard onzin oplossingen op sturen.

On topic: Prima ontwikkeling hoop dat ik in de toekomst hierdoor eindelijk wat makkelijker aan mijn backtrack info van mijn account kan komen. Nu maar afwachten of ze ook echt wat met die 'This wasnt me' mogelijkheid gaan doen.

Wat betreft die codes die gebruiken ze nu toch ook al? Zie dat nu niet direct als een verbetering eerder een verbreede toepassing.

wel handig dat die notificaties standaard, dus de meeste mensen zullen dit niet merken, naar het primaire emailadress verzonden worden |:( 8)7 |:( 8)7 |:( Zeker als dat nu net het account is dat aangevallen wordt :X
Nee erstaat dat er meldingen worden gemaakt als iemand je email adres wilt binnen dringen, of te wel je wachtwoord probeert te raden.

Het versturen van inlog codes wordt alleen naar je secundaire adres, je telefoon of de code Authenticator app gestuurd. Of te wel, je bent als gebruiker van alle aanvallen op de hoogte en bent beveiligd met een tweede laag authenticatie.

[Reactie gewijzigd door vali op 1 november 2013 13:56]

Ja dat snap ik das nu ook al met verificatie codes als je op een pub. comp probeert in te loggen.
Maar het volgende suggereert toch echt dat bij een poging tot inbraak dit in eerste instantie direct naar je prim. email wordt gestuurd. Mits je het zelf aanpast.
Standaard zullen deze notificaties naar het primaire e-mailadres van de gebruiker worden verzonden, maar er kan ook voor worden gekozen notificaties naar een mobiele telefoon of ander e-mailadres te sturen.
Hoeveel huis tuin en keuken gebruikers gaan hier naar opzoek en zien dat dit ook naar je mob of sec. email gestuurd kan worden. Das toch suf..

Ik bedoel er mee te zeggen iemand probeert, vraag me niet waarom, je email te kraken, poging 1 mislukt en doet direct poging 2 die lukt wel, a) heb je dus nooit bewijs en b) op die manier is je toegang ook mooi pleite.
zou juist logischer vinden als die notificatie naar je tel werd gestuurd (sms/whatsapp).
Misschien valt dit ook gewoon in te stellen, dat het niet hier op tweakers.net wordt vermeld hoef niet te zeggen dat het niet kan.

Tevens zou ik het knap vinden als iemand op mijn outlook account kan inloggen. Het wachtwoord is een flinkje jongen en mocht hij deze raden (wat ik zeer betwijfel), moet hij ook nog eens een code invoeren van mijn tweede authenticatie.

Een sterk wachtwoord zie ik niet iedere gebruiker doen, maar een tweede authenticatie zit net als de nieuwe optie die Microsoft gaat invoeren, op dezelfde pagina.

[Reactie gewijzigd door vali op 1 november 2013 14:19]

Nee das waar.
ach we gaan het wel meemaken.
Heb mijn Primaire e-mailadres toch echt op mijn telefoon toegevoegd staan en op mn MBP. Mocht dat mailtje toevallig verwijderd worden dan heb ik een klein probleem dat mn telefoon daar dan geen mailtje over krijgt (want exchange). Met POP3 ws wel aangezien die alles gewoon forward totdat deze op de cliënt wordt verwijderd (de host maakt niet uit. Verwijderde mail op mn account komt nog gewoon aan op het POP3- account op de mac. De gemiddelde huis-tuin-en-keuken gebruiker zal in vrijwel ieder geval een POp3 account gebruiken op een telefoon aangezien de activesync instellingen niet standaard worden overgenomen.
Lol kan niet anders dan je gelijk geven daarin. Niet eens bij stilgestaan inderdaad O-)
Als er ook een goede uitleg bijzit, prima. Anders zie ik het gebeuren dat veel mensen heel veel op Dit Was Ik Niet klikt. Omdat de gemiddelde gebruikers niet de wat technische achtergrond van Accountbeveiliging kennen... denk ik.

Mijn moeder weet niet wat opt out of opt in is bijv... en wat je moet doen met een recovery-code.
Ze moet al zo veel codes onthouden... dit soort gebruikers hebben niets aan extra beveiligingopties. Ze willen prettig kompjoeteren en verder geen lastige technische vragen en instellingen.

Misschien generaliseer ik iets te veel, maar let op mijn woorden: Hier komen veel klachten over!
Gebruikers die hun eigen account niet meer in kunnen, door dat er (in hun ogen) iets veranderd is aan hun account (door hunzelf) maar denken dat een ander het heeft gedaan!

[Reactie gewijzigd door qbig1970 op 1 november 2013 13:36]

Zo moeilijk zal het toch niet worden? Op dit moment heb ik ingesteld dat ik alleen mijn account inkan als ik de code invoer dat op mijn telefoon wordt gegereerd door een app (tevens kan ik ook nog voor de optie kiezen om hem te laten mailen of via sms/bel te laten sturen naar mijn telefoon).

Ik zie het straks voor me dat er een tijdelijke code naar je telefoon gesmst wordt en deze kan je weer invoeren bij de plek waar je opnieuw een wachtwoord kan maken. Dit is in mijn ogen stukken veiliger dan een veilig wachtwoord, sinds de meeste gebruikers er 1 hebben die veels te makkelijk te raden valt.

Ik heb persoonlijk bij websites een flinke lange string laten genereren door keeppass en deze met een screenshot bij de inlog code en wachtwoord opgeslagen. Zodoende kan niemand (inc ikzelf) het nooit raden.
Mijn moeder is ook een totale leek op computergebied, maar ik ben hier wel blij mee. Als er wat mee is ben ik toch altijd de sjaak, ze gebruikt Skype en Hotmail en al dat soort huismoeder-diensten, maar heeft eigenlijk geen idee wat ze doet. Vind het fijn dat ik nu iets meer controle kan hebben over haar accounts.
Goede zaak, ik merk vaak dat mensen bij het aanmaken van accounts niet even de tijd nemen om de herstelopties goed & volledig in te vullen. Dit is vaak vooral zo bij 'geheime vragen'. Het terug zien van activiteit vind ik ook zeer positief. Ik gebruik zelf vaak deze optie bij Gmail om m'n thuis ip adres (veranderd nog wel eens) te achterhalen als ik wil remote desktoppen
ik merk vaak dat mensen bij het aanmaken van accounts niet even de tijd nemen om de herstelopties goed & volledig in te vullen.
Doe ik ook niet, met een reden. Ik vergeet mijn wachtwoord niet en 'geheime vragen' is feitelijk niets anders dan een alternatief, doorgaans eenvoudiger te raden wachtwoord, dus daar ga ik niet aan beginnen.
Ik vergeet mijn wachtwoord niet
Ik onthou mijn wachtwoord niet.

Veel veiliger.
Dit vind ik een opmerkelijke uitspraak:

Stelling: Het wachtwoord kan beter in je hoofd zitten.

Voor: Dan kan je op elk apparaat inloggen en staat het nergens beschreven wat het wachtwoord is.

Tegen:
Als het vooraf is ingevuld kan je maar op één (misschien twee) apparaten inloggen en kan iedereen die toegang heeft tot het betreffende apparaat inloggen.
Een kort antwoord dan maar even, aangezien het een topic is waar je eindeloos over door kan discussieren:

Eén wachtwoord hebben en dit op meerdere sites gebruiken (met hier en daar een variatie) is gewoon erg gevaarlijk. Voorbeeld: Als jij op tweakers.net en op je webmail hetzelfde [makkelijk te kraken] wachtwoord gebruikt, kan iemand die op t.net inbreekt en jouw wachtwoord achterhaalt ook op je mail inloggen en van je leven letterlijk een hel maken. En aangezien je website-beheerders over het algemeen op hun mooie ogen moet geloven als zij zeggen dat ze jouw wachtwoord hashen vind ik het niet veilig [meer] om zomaar op alle sites hetzelfde wachtwoord te gebruiken.

Daarom gebruik ik nu een password manager die mijn wachtwoorden opslaat. Dezelfde password manager genereert ook mijn wachtwoorden, die zijn bijvoorbeeld als volgt: 7q$jk%5p''e-MDO6v&\zc%av. Op deze manier hoef ik nog maar één wachtwoord te onthouden, dat van de password manager.
En die password manager heb je altijd bij je, via een cloud oplossing o.i.d.?
Oftewel behoorlijk afhankelijk van techniek.
Ik heb een een password manager, maar dat is meer om de variatie van wachtwoorden te onthouden (sommige gebruik ik amper dus..) en om de logins te onthouden. Voordat je het weet heb je namelijk overal een account, dus dat wil ik graag bijhouden.
Ik heb die bijvoorbeeld in dropbox staan. ik onthoud dus
- wachtwoord laptop
- wachtwoord PW manager
- wachtwoord dropbox

Daarnaast heb ik een geprinte versie van mijn wachtwoorden (de meeste password managers hebben wel een export functie)
en je acht dropbox veilig, dropbox gehackt gegevens alsnog bemachtigd?

-- offtopic
wat op dropbox staat wordt op amerikaanse servers opgeslagen (voor een groot deel) de wet daar geeft aan, wanneer dit het geval is per direct hun ook auteur van de data zijn?
uiteraard worden de passwords door mij password manager (keepass http://keepass.info/help/base/security.html) ge-encrypt.
het staat natuurlijk niet in plaintext in mijn dopbox.

Als je er van uitgaat dat dit gekraakt kan worden dan heeft het überhaupt geen zin want dan kun je er ook wel van uitgaan dat SSL niet veilig is en dat ze op die manier aan je password kunnen komen.
Ik gebruik een lijst van wachtwoorden die ik random heb laten genereren. 24 karakters lang, hoofdletters, kleine letters en cijfers. Dit is vaak meer dan voldoende voor een sterk ww wat lastig te kraken is. Nadeel is wel dat het heel slecht te onthouden is. Hier gebruik ik echter geen PWmanager voor, maar een foto van de lijst met 15 PW's. (Waarvan ik er slechts enkele gebruik en dan heb ik ook nog eens verschillende foto's. De eerste drie/vier karakters kan ik wel onthouden en herken ik zodra ik de foto zie. Dan kan ik hem handmatig invoeren. Deze foto's staan alleen opgeslagen op de drie apparaten die ik dagelijks gebruik en absoluut nooit uit het oog verlies. Bij diefstal van een van de drie kost het me slechts 5 minuten om ze alledrie te wissen en te blokkeren. En bij heractivatie is ook een sterk wachtwoord nodig dat ik niet heb opgeschreven.
En die password manager heb je altijd bij je, via een cloud oplossing o.i.d.?
Ik wel, offline op mijn telefoon die synct met de cloud, maar gewoon inloggen op de online versie werkt over het algemeen makkelijker (ivm copy/pasten ;))
Oftewel behoorlijk afhankelijk van techniek.
Duh, het zijn over het algemeen wachtwoorden van websites. Dus op het moment dat je zo'n wachtwoord nodig hebt dan werk je op een apparaat met een internetverbinding 8)7

[Reactie gewijzigd door .oisyn op 1 november 2013 14:37]

Ik neem aan dat Ramon bedoelt dat hij niet de optie "onthoudeb" aanklikt. Ik kan het fout hebben.
Waarom zou het veiliger zijn? Dat kun je niet rechtpraten zonder bepaalde aannames gedaan te hebben over mijn wachtwoordgebruik.

Ik gebruik echt niet voor elke site hetzelfde wachtwoord bijvoorbeeld. Alleen voor alle zwaar onbelangrijke dingen gebruik ik wel eens hetzelfde wachtwoord, voor belangrijkere dingen gebruik ik voor elke dienst een ander wachtwoord.
De mogelijkheid om gebruik te maken van "security questions" zal snel verwijderd worden.
Het zal eens tijd worden, het is 2013, niet 1997. Die vragen heb ik altijd zo achterlijk gevonden, want of je vult ze "juist" in, dus met de echte naam van je Opa of je favoriete huisdier en het is binnen 3 minuten te achterhalen voor iemand die kwaad wil, of je vult onzin informatie in en kan zelf ook niets meer met die mogelijkheid voor password reset. Bij dat laatste is het helemaal naar als blijkt dat je pas een resetmailtje krijgt nadat je de resetvraag hebt beantwoordt.
/rant

Blij dat het wordt afgeschaft!
Mijn antwoord was en is altijd standaard: "blabla"

Letterlijk.
Ik heb inderdaad nooit gesnapt dat mensen dit serieus invullen.
Klopt, eenvoudig te kraken. Soms MOET je dit echter invullen, dan doe ik altijd iets als:
sdafjeSDAfrehj324$34r23jhdf4$fdj als antwoord:P
Valt nooit te raden haha.
Eindelijk, zat hier al echt lang op te wachten.

Wel een pluspunt dat ze dit nu doen, vele mensen gingen over naar gmail omdat ze daar verdachte activiteiten op hun account konden zien.

Hopelijk gaat deze update snel de lucht in.
Goed dat die beveiliginsvraag eruit gaat, vond ik altijd een domme manier van controleren en het viel zo te achterhalen wat het antwoord was. De rest van de aanpassingen lijkt me ook zeer mooi. :) Ben benieuwd wanneer het online komt.
Wat ook fijn zou zijn, is dat de te gebruiken tekens over de accounts heen ook eens gelijk worden getrokken. Zo mag je bijv.. geen spaties gebruiken in je Microsoft account terwijl je dat in een lokaal account wel mag op een Windows 8 machine, wat inhoudt dat wachtwoordzinnen incl. spaties juist in een online account niet mogen, terwijl dit meer veiligheid zou kunnen bieden op de plek waar de kans op misbruik een stuk groter is.
Klinkt allemaal best wel goed. Die beveilingsvraag was ook maar een lachertje. Als je de persoon in kwestie enigszins kent, zijn deze vaak wel te raden, lijkt me. Ben benieuwd wanneer het live gaat.
Betekent dit dat ik dan eindelijk zonder gezeur in kan loggen op mijn Xbox? Wordt regelmatig uitgelogd direct na het inloggen met een pop-up dat ik mijn account veiliger moet maken. Terwijl ik een verificator, mobiel nummer en app-wachtwoorden gebruik. 8)7

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True