Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Windows 10 krijgt ondersteuning voor tweetrapsauthenticatie

Windows 10 krijgt ondersteuning voor two factor authentication, zo heeft Microsoft bekendgemaakt. Daarbij kan de pc of telefoon van een gebruiker als tweede factor worden gebruikt, naast een wachtwoord of vingerafdruk.

De veiligere loginmethode moet ervoor zorgen dat een aanvaller geen toegang krijgt tot een apparaat of webdienst als een aanvaller de gebruikersnaam en wachtwoord van een gebruiker in handen heeft, schrijft Microsoft. Tot nu toe leunden veel implementaties van tweetrapsauthenticatie op een wachtwoord en een code die werd ge-sms't of door een app werd gegenereerd, maar Microsoft heeft een andere implementatie in gedachten.

Een gebruiker zou ervoor kunnen kiezen om zijn Windows-pc als tweede factor te gebruiken om in te loggen op websites en diensten: hij hoeft vanaf die pc dan enkel zijn wachtwoord in te voeren of vingerafdruk af te geven. Ook kan de gebruiker ervoor kiezen om de telefoon als tweede factor te gebruiken: die laat webdiensten dan via bluetooth of wifi weten dat de gebruiker is wie hij zegt dat hij is. Dat is vergelijkbaar met de ondersteuning voor usb-sleutels die Google onlangs in Chrome introduceerde; hierbij neemt de telefoon de plek van de usb-sleutel in. Volgens The Register worden iOS, Android en Windows Phone ondersteund. Het is aannemelijk dat Microsoft daarvoor apps zal introduceren.

Verder versleutelt Windows 10 standaard bestanden. Als de pc of laptop over een trusted platform module beschikt, gebruikt het besturingssysteem die daarvoor, maar een tpm is niet noodzakelijk. Bedrijven kunnen bovendien voorkomen dat vertrouwelijke bestanden naar externe locaties worden gekopieerd. Bedrijven kunnen medewerkers daarbij laten aangeven of een bestand vertrouwelijk is, of alle bestanden als vertrouwelijk laten aanmerken. Ook kunnen ze aangeven welke apps de vpn-verbinding mogen gebruiken.

Windows 10 moet daarnaast pass the hash-aanvallen onschadelijk maken. Bij dat soort aanvallen gebruikt een kwaadwillende de versleutelde versie van het wachtwoord van een gebruiker om in te loggen. In Windows 10 kan dat niet meer: wachtwoorden en andere access tokens worden dan in een beveiligde container opgeslagen. Zelfs als een aanvaller de Windows-kernel weet te kraken, zijn de gegevens beveiligd, verzekert Microsoft.

Windows 10 moet volgend jaar op de markt komen. Microsoft heeft al een preview-versie uitgegeven, zodat gebruiker het nieuwe besturingssysteem al kunnen uitproberen.

Door Joost Schellevis

Redacteur

23-10-2014 • 08:45

95 Linkedin Google+

Reacties (95)

Wijzig sortering
Als momenteel een laptop niet meer opstart dan kun je in het ergste geval de HD eruit halen en via een andere pc je data nog benaderen vanaf die HD.

Nu lees ik dat W10 standaard gaat versleutelen. Kun je een thuisgebruiker dan niet meer helpen wanneer hij (uiteraard) geen backup heeft van z'n encryptiesleutels?
Oei, dat zou voor veel gebruikers erg onhandig zijn. Vaak genoeg komen mensen naar mij toe met de vraag of ik de bestanden nog terug kan halen nadat Windows zelf onwerkbaar is geworden.

Er komt waarschijnlijk wel een decrypt tool, maar deze stap maakt het niet makkelijker.
Ben bang dat die tool er niet zal komen. En als hij er wel komt, dan zal de encryptie wel sterker gemaakt worden.
Het lijkt mij dat Microsoft daar ook van op de hoogte is. Een waarschuwingsscherm bij de eerste keer opstarten lijkt mij het minste wat ze kunnen doen...
Er komt waarschijnlijk wel een decrypt tool, maar deze stap maakt het niet makkelijker.
Er wordt BitLocker gebruikt, wat 128 of 256-bit AES-versleuteling gebruikt. Daar kom je zonder het juiste wachtwoord (of backup key) niet omheen.

[Reactie gewijzigd door Rafe op 23 oktober 2014 09:25]

Daar zal het wel op neer komen, maar dat kun je (voor huis-, tuin- en keukengebruikers) natuurlijk voorkomen door de key aan een Microsoft-account te koppelen. Bedrijve zitten daar niet op te wachten, maar die hebben meestal wel backups. Grote kans dus dat geen probleem wordt.
Jep, maar dat is een actie vooraf en je bent er in dat soort gevallen vaak pas bij betrokken als het al mis is gegaan :)
Dan lijkt me dit HET moment om mensen er wederom maar eens mee te confronteren dat je voor backups moet zorgen.
Als je de juiste tooling gebruikt wel ja, en gezien het hier om een defect systeem en niet om een vergeten wachtwoord of key gaat zou dat het probleem wel degelijk verholpen zijn..
Ik verwacht eerlijk gezegd dat Microsoft het wel als standaard installatie-mogelijkheid zal aanbieden als ze het echt implementeren. Maar, dat gezegd hebbende, Neo_TGP heeft een punt; dan is nu de tijd om aan te geven dat ze backups van dat soort info moeten maken, desnoods hard copy.
Kun je een thuisgebruiker dan niet meer helpen wanneer hij (uiteraard) geen backup heeft van z'n encryptiesleutels?
Bij Bitlocker heb je de keuze om een backup sleutel op te slaan op een extern medium (USB Key) of bijvoorbeeld online (OneDrive). Mocht het nodig zijn, dan kan deze sleutel gebruikt worden om de boel te decrypten.
Jep, maar dat moet je vooraf doen. En bij zo'n type gebruiker roepen ze pas hulp in als de laptop al niet veel meer doet. Dat er vooraf een backup gemaakt had moeten worden van de encryptiesleutels weten ze niet, zelfs niet als ze daar een melding van gehad hebben.
Mijn surfaceRT werd ook standaart geencrypt en mijn encryptiesleutel kon ik via outlook.com inzien. Ik zie het probleem niet helemaal, het brengt gewoon meer veiligheid en misschien gaan mensen eindelijk wat meer nadenken over hun bestanden (hiermee doel ik op backuppen).
Ze hebben heel die software geschreven. Als je besluit die dus gebruikt is dat ook het vertrouwen aan Microsoft geven. Dan is de sleutel op hun servers maar een kleine verandering van veiligheid. Maar wel 1 die effectief is tegen de gauwdief.
Voor consumenten is het wel een doeltreffende manier om hun systemen te beveiligen. Ze kunnen er ook voor kiezen om op een usb stick op te slaan, maar omdat de meeste mensen vergeten een goede backup te maken, is het maar goed dat Microsoft het ook online opslaat.
Hoe kunnen ze in vredesnaam aansturen op dingen als two-factor-authenticatie en encryptie van de harde schijf als ze je ondertussen ook meer en meer proberen te bewegen alles in "de cloud" te zetten? Vooruit, dan kan het lastiger van je eigen apparaat gehaald worden maar is het des te toegankelijker omdat het allemaal op internet staat. Een beetje hypocriete ontwikkeling, wat mij betreft.

Het idee achter two-factor-authentication is leuk, maar het wordt te pas en te onpas gebruikt. Stel nu bijvoorbeeld dat Tweakers.net two-factor-authentication zou gaan instellen dan zijn ze mij kwijt als gebruiker. Voor onbelangrijke accounts (sorry, Tweakers ;) ) interesseert het me echt geen fluit dat er een kans is dat iemand er ongeoorloofd toegang toe krijgt. Zelfde geld voor mijn Facebook-account (wat ik toch al afgesloten heb), een Youtube account en eigenlijk alle andere diensten die Apple, Microsoft en Google aanbieden. Voor mijn bankrekening, ja, daar is het belangrijk.

Tja, en als je de naaktfoto's van je vriendin op je iCloud, Dropbox of weet ik wat zet is het natuurlijk je eigen stomme stomme stomme schuld dat het uitlekt, dat moet je ook gewoon niet doen. Een niet-cloud-enabled camera gebruiken, foto's rechtstreeks vanaf je SD-kaartje op een veilige lokale ge-encrypte locatie stallen en er daar je ding mee doen, als je er toch al aan wilt beginnen.

[Reactie gewijzigd door MadEgg op 23 oktober 2014 09:31]

als ze je ondertussen ook meer en meer proberen te bewegen alles in "de cloud" te zetten?
Encrypted data die je extern hebt opgeslagen is (zolang je niet bij diezelfde provider ook je key op slaat) natuurlijk prima veilig.
Stel nu bijvoorbeeld dat Tweakers.net two-factor-authentication zou gaan instellen dan zijn ze mij kwijt als gebruiker.
Die two-factor authentication hoeft natuurlijk geen verplichting te worden, maar ik kan me voorstellen dat voor bedrijven dit toch wel erg handig kan zijn. Verder ziet het er (tenminste, volgens het artikel) naar uit dat dit een soort automatisch two-factor proces is waardoor jij als gebruiker helemaal geen last hebt van de extra stap, maar waardoor er wel een stukje extra veiligheid wordt toegevoegd.
Die two-factor authentication hoeft natuurlijk geen verplichting te worden, maar ik kan me voorstellen dat voor bedrijven dit toch wel erg handig kan zijn. Verder ziet het er (tenminste, volgens het artikel) naar uit dat dit een soort automatisch two-factor proces is waardoor jij als gebruiker helemaal geen last hebt van de extra stap, maar waardoor er wel een stukje extra veiligheid wordt toegevoegd.
Niet helemaal. Wel als je vanaf je eigen PC werkt die als tweede factor dient. Maar wat nou als ik op de laptop van een collega even in wil loggen op mijn account? Dan dient mijn PC dus niet meer als tweede factor en zal ik op een andere manier dit moeten opvangen.

In feite heb ik die tweede factor al doordat ik compleet ononthoudbare wachtwoorden van 32 willekeurige karakters gebruik die ik on een KeePass database heb opgeslagen. Die KeePass database is mijn eerste en tweede factor: als ik die niet heb krijg ik geen toegang tot mijn accounts. Grote verschil is dat ik hierbij volledig zelf de controle heb over hoe ik inlog en wat ik daarvoor nodig heb, in plaats van dat ik verplicht wordt om, bijvoorbeeld, mijn telefoonnummer af te geven.
Niet helemaal. Wel als je vanaf je eigen PC werkt die als tweede factor dient. Maar wat nou als ik op de laptop van een collega even in wil loggen op mijn account? Dan dient mijn PC dus niet meer als tweede factor en zal ik op een andere manier dit moeten opvangen.
Ik doelde meer op dit stukje:
Ook kan de gebruiker ervoor kiezen om de telefoon als tweede factor te gebruiken: die laat webdiensten dan via bluetooth of wifi weten dat de gebruiker is wie hij zegt dat hij is. Dat is vergelijkbaar met de ondersteuning voor usb-sleutels die Google onlangs in Chrome introduceerde; hierbij neemt de telefoon de plek van de usb-sleutel in.
Je telefoon als tweede factor is dan vrij eenvoudig. Vooruit, als het over Bluetooth moet, dan moet je hem wel pairen voordat het werkt.
In feite heb ik die tweede factor al doordat ik compleet ononthoudbare wachtwoorden van 32 willekeurige karakters gebruik die ik on een KeePass database heb opgeslagen.
Het feit dat jij zelf een extra wachtwoord nodig hebt maakt het nog geen two-factor authentication. Mocht het lukken om dat ene wachtwoord van 32 tekens te kraken of te onderscheppen, dan is die KeePass database leuk, maar kan men nog steeds gewoon inloggen. Ik vind zelf de Authenticator app van MS best prima werken (werkt ook gewoon samen met Google's two-factor algoritme): je voert je username en wachtwoord in in de app, en het ding genereert iedere 60 seconden een nieuwe one time key. Zonder de username/wachtwoord combi en de key kan je niet inloggen. Alleen een username/wachtwoord combi (ongeacht waar deze zijn opgeslagen, zelfs al was het een KeePass database, in een hidden TrueCrypt volume, op een encrypted HDD) is minder veilig dan wanneer je nog om iets anders gevraagd wordt (= niet alleen iets weten, maar ook nog eens iets hebben (telefoon, RSA token)).
Het wachtwoord kraken geef ik je te doen. Dan mag je zelfs mijn bankrekening erbij hebben. Onderscheppen, dat is een andere verhaal. Dat zou kunnen, inderdaad. Daarom zou ik het ook niet voor mijn bankrekening willen gebruiken, en een paar andere toepassingen zoals DigiD / eHerkenningsmiddel. Maar voor praktisch elke andere toepassing zijn de gevolgen dermate mild dat ik er echt niet wakker van kan liggen.

Toegang tot mijn servers is wel belangrijk, maar daarvoor is dan ook een private key in aanvulling op mijn wachtwoord nodig, dus daar heb je niet genoeg aan alleen een wachtwoord.

[Reactie gewijzigd door MadEgg op 23 oktober 2014 10:09]

Het gaat ze niet om de beveiliging maar om je telefoonnummer. Zie Google, two factor authentication is niet verplicht, maar zonder telefoonnummer kun je geen Gmail meer aanmaken.
MS heeft al jaren two-factor identification op z'n online diensten en je bent geenszins verplicht om je telefoonnummer op te geven. Je kan gewoon gebruik maken van de authenticator app die op geen enkele manier contact maakt met de MS servers. Ik kan me niet voorstellen dat ze nu gaan verplichten om een telefoonnummer in te vullen, geen bedrijf dat daar in trapt. En laat de corporate markt nou de markt zijn waar MS z'n geld vandaan haalt.
Windows 10 krijgt ondersteuning voor two factor authentication
Dus ik neem aan dat het optioneel is.

Omdat de bron van je data in een datacentrum staat wil niet zeggen dat je
- lokaal geen kopieen hebt (sync)
- bij elke toegang tot je online data de authenticatie opnieuw wilt uitvoeren

Is het je niet duidelijk dat gebruikersnaam/wachtwoord authenticatie niet helemaal ideaal is? :?
Is het je niet duidelijk dat gebruikersnaam/wachtwoord authenticatie niet helemaal ideaal is? :?
Voor zeer specifieke toepassingen is het niet helemaal ideaal. Zoals bankieren. Voor de rest is een veilig wachtwoord meer dan voldoende.
men gebruikt niet overal veilige wachtwoorden. De simpele webshop wordt gehackt en de volgende stap is je mail account, daarna password reset aanvragen.

Beste oplossing is gewoon geen passwords meer.
Nee, ik onthoud ze dus niet, ik zet ze inderdaad in een kluis, welke ik via internet kan benaderen op een OwnCloud instance op mijn eigen server. Het kost iets extra tijd, maar niet meer (minder zelfs) dan mijn telefoon opzoeken om de two-factor-authentication uit te voeren.
Ik gebruik zelf voor mijn eigen server/diensten Duopush. Ik krijg dan een notificatie op m'n telefoon en moet op "approve" drukken om iemand toegang te geven. Een stuk sneller dan elke keer een extra code invoeren en net zo veilig.

Overigens ben ik een groot voorstander van twofactor authentication en met zaken als Duopush is het geen groot obstakel meer.
Ik gebruik Duo Push (van Duo Security) zelf ook voor mijn RDP verbindingen. Werkt uitstekend. Daarnaast kan er ook een SMS worden verzonden indien je op dat moment niet over een internetverbinding beschikt op je mobiel (echter kost dit wel geld) - Duo Push is gratis (tot 10 gebruikers).
Hoe werkt dat als je telefoon batterij leeg is of je telefoon stuk gaat?
Of als je op een plek zonder telefoon bereik zit (bv een vliegtuig)?

[Reactie gewijzigd door 80466 op 23 oktober 2014 11:28]

Dat is een standaard risico met Two-Factor authentication.
Wat als je een hardware authenticator kwijt- of leeg raakt? (bijvoorbeeld van je bank) Of als je je wachtwoord vergeet?

Het enige risico wat ik hier zie is dat het online moet (als je geen smsjes kan gebruiken) wat je met een offline-authenticator dan niet hebt.

Allemaal risico's, maar minder erg dan het alternatief van misbruik!
Microsoft heeft met zijn Azure MFA eenzelfde soort oplossing, je kunt je dan laten bellen, een SMS laten sturen of inderdaad via een App een 'Approve' geven. Dat soort zaken werken inderdaad veel makkelijker dan elke keer een code in moeten voeren.
Fijn dat het een mogelijkheid is en niet door onze strotten geramd wordt. Wel weer iets waarvan ik had gedacht dat ze het (nog) niet zouden implementeren. Maar ik ben wel echt benieuwd inderdaad naar de remote support zoals @Jimbo123 aangeeft. misschien dat ook shares niet ge-encrypt worden. wat gaat dit ook doen met performance mbt uitpakken van compressed archives.
Mobiele devices koppelen (gaan die ook versleuteld?) backup maken van devices.. alles eerst kopieren en dan ook nog encrypten elke keer?
Over het algemeen hebben alle nieuwere CPU's en in sommige gevallen ook de disken zelf hardwarematige ondersteuning voor encryptie, dus daar merk je op je in de performance niet schokkend veel van..
Mooi dat ms wat meer doet aan de beveiliging. Wat mij betreft mag het na w10 wel weer even stil worden rondom nieuwe OSen. De hele tijd het gezeik van updaten voor marginale verbeteringen is de moeite en de kosten gewoon niet echt waard. Heel veel bedrijven moeten bovendien weer al hun systemen updaten zodat deze werken binnen alle browsers, want BYOD heeft de toekomst. Waarschijnlijk is dat ook de reden dat ms deze functie toevoegt.
BOYD had dan al het heden moeten zijn. Dat zal niet veel meer veranderen. Ik zie bij menig klant ook al dat er minder OD toegelaten worden.

En weer updaten? Kijk je naar de stats dan zitten heel veel bedrijven nog op XP of 7.
Dus dat 'steeds updaten' valt wel mee.
Ik zie in dit artikel meerdere keren het woord vingerafdruk staan. Dat vind ik vreemd want Microsoft heeft verificatie met vinger juist afgezworen (de fingerprintreader wordt al lang niet meer ondersteunt).
Ja precies.
De hele discussie hierboven over wel of geen nut laat ik maar even aan me voorbij gaan.
Ben benieuwd of MS nu ook gaat inzetten op figerprintreaders.
Werkt lekker op mijn iOS device (unlock mijn telefoon en Passwordmanager) en zou het heerlijk vinden zo'n ding naast mijn PC te hebben.
Google authenticator werkt voor nu flawless voor die diensten waar je het voor wilt inzetten.
Nadat je een device 'getrust' hebt valt het met dat ongemak trouwens best mee.
Ah, meng ik me er toch in... 8)7
Zou die TPM er ook voor zorgen dat het openen van bestanden langer gaat duren? Nou doe ik niet zoveel interessants met mijn PC. Maar als ik het zou activeren om alles als vertrouwlijk te bestempelen. Hoe gaat window dan om met gamedata? Als hij een level moet laden uit een versleuteld bestand. Zou dit aanzienlijk langer gaan duren?
TPM is een ingebouwde module die gemaakt is voor encryptie; als je CPU hierover beschikt, dan kost (theoretisch) het encrypen/decrypten geen tot weinig capaciteit. In de praktijk moet ik zeggen dat ik nog nooit verschil gemerkt heb of het aan of uit staat, het is gewoon een goede (en relatief simpele) manier om te encrypten.

Ter info: ALLE bestanden zijn dan versleuteld, maar voor zover ik weet wordt het in principe in een container gegooid en moet je de gehele container in een keer decrypten. Je moet niet denken dat er per bestand een losse encryption op zit. Er wordt ook in een keer een hele partitie ge-encrypt.
Dat klinkt als een hoop functies die het bedrijfsleven met open armen zal ontvangen!
Vooral die privacygevoelige bestanden die wel of niet de computer mogen verlaten al dan niet via VPN.

2factor weet ik nog zo niet of ik dat als consument zal gaan gebruiken. vind het meestal maar omslachtig en daarnaast... hoeveel boeit dat op een desktop pc? (mss leuk op LAN parties ;)
Zelf gebruik ik Windows Azure Multi factor authenticatie. Werkt super goed! Ik ben er heel erg tevreden over.
1. hij hoeft vanaf die pc dan enkel zijn wachtwoord in te voeren of vingerafdruk af te geven.
2. Ook kan de gebruiker ervoor kiezen om de telefoon als tweede factor te gebruiken: die laat webdiensten dan via bluetooth of wifi weten dat de gebruiker is wie hij zegt dat hij is

1 een wachtwoord invoeren gebeurd nu ook al ? daar is niet veel tweetrapsauthenticatie aan
2 kan ook al in windows je kan via sms , email , of verificator app een code invoeren als er naar gevraagd word . alleen moet je tweetrapsauthenticatie natuurlijk wel in je microsoft account ff instellen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True