Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Windows 10 krijgt ondersteuning voor tweetrapsauthenticatie

Windows 10 krijgt ondersteuning voor two factor authentication, zo heeft Microsoft bekendgemaakt. Daarbij kan de pc of telefoon van een gebruiker als tweede factor worden gebruikt, naast een wachtwoord of vingerafdruk.

De veiligere loginmethode moet ervoor zorgen dat een aanvaller geen toegang krijgt tot een apparaat of webdienst als een aanvaller de gebruikersnaam en wachtwoord van een gebruiker in handen heeft, schrijft Microsoft. Tot nu toe leunden veel implementaties van tweetrapsauthenticatie op een wachtwoord en een code die werd ge-sms't of door een app werd gegenereerd, maar Microsoft heeft een andere implementatie in gedachten.

Een gebruiker zou ervoor kunnen kiezen om zijn Windows-pc als tweede factor te gebruiken om in te loggen op websites en diensten: hij hoeft vanaf die pc dan enkel zijn wachtwoord in te voeren of vingerafdruk af te geven. Ook kan de gebruiker ervoor kiezen om de telefoon als tweede factor te gebruiken: die laat webdiensten dan via bluetooth of wifi weten dat de gebruiker is wie hij zegt dat hij is. Dat is vergelijkbaar met de ondersteuning voor usb-sleutels die Google onlangs in Chrome introduceerde; hierbij neemt de telefoon de plek van de usb-sleutel in. Volgens The Register worden iOS, Android en Windows Phone ondersteund. Het is aannemelijk dat Microsoft daarvoor apps zal introduceren.

Verder versleutelt Windows 10 standaard bestanden. Als de pc of laptop over een trusted platform module beschikt, gebruikt het besturingssysteem die daarvoor, maar een tpm is niet noodzakelijk. Bedrijven kunnen bovendien voorkomen dat vertrouwelijke bestanden naar externe locaties worden gekopieerd. Bedrijven kunnen medewerkers daarbij laten aangeven of een bestand vertrouwelijk is, of alle bestanden als vertrouwelijk laten aanmerken. Ook kunnen ze aangeven welke apps de vpn-verbinding mogen gebruiken.

Windows 10 moet daarnaast pass the hash-aanvallen onschadelijk maken. Bij dat soort aanvallen gebruikt een kwaadwillende de versleutelde versie van het wachtwoord van een gebruiker om in te loggen. In Windows 10 kan dat niet meer: wachtwoorden en andere access tokens worden dan in een beveiligde container opgeslagen. Zelfs als een aanvaller de Windows-kernel weet te kraken, zijn de gegevens beveiligd, verzekert Microsoft.

Windows 10 moet volgend jaar op de markt komen. Microsoft heeft al een preview-versie uitgegeven, zodat gebruiker het nieuwe besturingssysteem al kunnen uitproberen.

Door Joost Schellevis

Redacteur

23-10-2014 • 08:45

95 Linkedin Google+

Reacties (95)

Wijzig sortering
Jij hebt het misschien zo gedaan, de meeste mensen gebruiken zelfde login/password combo. Men hackt niet je MS of je Google account maar van 1 of andere webshop en gebruiken die credentials om in je mail te komen, als je dat hebt kun je overal password resets aanvragen etc.

2fact auth gaat gewoon helpen om eindelijk van passwords af te komen en zo een heel groot probleem aan te pakken (zoals phishing, etc).

Als dit 'standaard' wordt dan wordt het internet een betere plek voor iedereen,
Hoe helpt 2 factor authentication om van passwords af te komen? Dan neem je dus één van de twee facturen alweer weg, dat schiet niet op.

En dat er veel mensen te beroerd zijn om de implicaties van hun acties te erkennen of dat het ze gewoon geen fluit interesseert dat hun accounts kwetsbaar zijn betekent toch niet dat een ieder daar dan maar onder moet lijden? Een password-kluis gebruiken is dé oplossing voor het probleem; je bent niet meer afhankelijk van de beveiliging van elke willekeurige webshop en je hoeft ook geen onmogelijke wachtwoorden te onthouden, maar je hebt nog wel steeds de mogelijkheid om waar dan ook op al je accounts in te loggen zonder hulpmiddelen, anders dan een klein stukje software wat ik naast de Keepass-database op OwnCloud bewaar. En aangezien de encryptie van de Keepass-database zou je hem in principe net zo goed/veilig op Dropbox kunnen zetten, je bent nog steeds zelf nodig om de kluis te openen.

Bovendien helpt het ook nog eens niet tegen phishing, dat is net zo goed mogelijk met de huidige 2-factor-authentication die bij bankieren gebruikt wordt, er kan prima een imitatie van de website van je bank gemaakt worden die vervolgens je alsnog om je wachtwoord en TAN/random reader code vraagt. Dat is dan ook al vaker gebeurd. Het voorkomt hoogstens dat de kwaadwillende de buitgemaakte gegevens kan hergebruiken, de eigenaar is dan nodig om de login te bevestigen. Maar daar zijn genoeg slinkse manieren voor te verzinnen.
omdat de implementatie die MS gebruikt ook gebruikt kan worden om je aan te melden bij websites. Samenwerking met Google en facebook in de FIDO alliance moet daar ook bij gaan helpen.

Wat meer uitleg van Ed Bott http://www.zdnet.com/micr...th-windows-10-7000034963/

[Reactie gewijzigd door Matthijs Hoekstra op 24 oktober 2014 04:16]

Ik heb paar weken geleden een bericht gekregen onder Windows 8.1 dat ik mijn inloggegevens moest bijwerken. Vond het raar omdat ik het wachtwoord van mijn outlook account niet had gewijzigd. Eenmaal online ingelogd omdat ik me bleef irriteren aan die notificatie vroegen ze mijn telefoonnummer met een verhaal dat ik nu onveilig was. Dat was de enige reden dus dat ik steeds die notificatie kreeg. Misleidend en opdringerig. Voor zakelijk kunnen ze altijd een uitzondering maken net als met activeren.
Absoluut niet mee eens. Er zal hoe dan ook toch een soort van authenticatie plaats moeten vinden. Passwords kan ik volledig zo inrichten als ik zelf wil. Bij andere methoden zit het er dik in dat ik apps moet installeren, specifiek software moet draaien, mijn telefoonnummer moet opgeven, mijn vingerafdruk laten registreren of weet ik wat voor dingen ze allemaal kunnen verzinnen.

Het moet op zijn minst een optie zijn, als dit soort praktijken verder doorgevoerd worden. Gelukkig beheer ik de infrastructuur achter mijn belangrijkste accounts ook gewoon zelf.
het is ook een optie en jij bent wellicht de uitzondering op de regel maar feit is dat de meeste consumers dit wel doen en dus vatbaar zijn voor phishing of hacks van websites.

vinger afdruk 'registreer' je niet. Je gebruikt die op je device om je certificate te 'unlocken' daarna kan die gebruikt worden om je te authenticeren.
Bedenk wel dat tweetrapsauthenticatie wordt gebruikt om in te loggen over RDP, waar je toch al een internetverbinding voor nodig hebt. Zelfde geldt voor veel webdiensten die tweetrapsauthenticatie ondersteunen (Gmail, Dropbox, noem maar op). Dus ik wil maar zeggen: als je offline bent met je telefoon, ben je dat waarschijnlijk ook met je computer/laptop en kun je dus toch de dienst niet bereiken :)
het is de combinatie. Als je device 'enrolt' komt er een certificaat op te staan (bij voorkeur beschermt door een TPM chip) via een pincode of biometrics zoals fingerprint kun je de sleutel 'unlocken' waarna je authenticatie kunt doen. Dit is veiliger dan loginname/password omdat je fysiek toegang tot het device nodig hebt.
Maar Matthijs, het verschilt in essentie toch niet van reguliere 2-step authentication?
Het verschil zou zijn dat je telefoon iets slims doet via WIFI of BT, of via Fingerprint,
zoals in het bericht staat.
Enig idee hoe Microsoft het fingerprint gebeuren wil gaan inzetten?
nee het verschilt niet met 'reguliere' 2step authentication, het is precies hetzelfde, verschil is dat het nu standaard in Windows komt.

MS zet niets in. De hardware wordt gemaakt door OEM's en als die een fingerprint reader hebben kan deze standaard via Windows gebruikt worden voor 2step authentication (omdat het een basis onderdeel van Windows is geworden)

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Cartech

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True