Nieuws
image

Windows 10 biedt gebruikers inloggen met sms-code

donderdag 20 december 2018, 13:01 door Redactie, 8 reacties

Microsoft heeft een nieuwe optie aan een testversie van Windows 10 toegevoegd waardoor gebruikers met een via sms verkregen code op het besturingssysteem kunnen inloggen om hun account in te stellen. De softwaregigant wil op deze manier het gebruik van wachtwoorden terugdringen.

In een aankondiging van de nieuwe testversie van Windows 10 laat Microsofts Dona Sarkar weten dat gebruikers van wie het Microsoftaccount aan hun telefoonnummer is gekoppeld, een sms-code kunnen gebruiken om in te loggen en vervolgens hun account op Windows 10 in te stellen. Zodra het account is ingesteld kunnen gebruikers inloggen via Windows Hello Face, Fingerprint of een pincode.

Gebruikers die nog geen "wachtwoordloos telefoonnummeraccount" hebben kunnen dit aanmaken via een mobiele app zoals Word. Vervolgens kan dit account aan Windows worden toegevoegd en bij het inloggen worden gekozen. Vervolgens zal ook hierbij Windows Hello moeten worden gekozen om voortaan op het besturingssysteem in te loggen. De nieuwe optie is op dit moment alleen beschikbaar in de testversie van de Windows 10 Home-versie.

Tamper Protection

Een andere nieuwe optie in de testversie van Windows 10 is "Tamper Protection". Dit is een onderdeel van Windows Defender Antivirus. Wanneer ingeschakeld biedt het aanvullende bescherming tegen aanpassingen aan belangrijke beveiligingsinstellingen. Verder beschikt de testversie over de Windows Sandbox waarover gisteren al werd bericht. Wanneer de opties in de uiteindelijke versie van Windows 10 terechtkomen is nog niet bekend.

Image

Reacties (8)
20-12-2018, 13:22 door Anoniem
De bedoeling is vast goed, maar het is lastig te rijmen met het advies van NIST om SMS als authenticatiefactor niet te gebruiken:
NIST Special Publication 800-63B: Digital Identity Guidelines - Authentication and Lifecycle Management
https://pages.nist.gov/800-63-3/sp800-63b.html
20-12-2018, 14:03 door Anoniem
Naast de bestande gegevens die ze uit jouw Windows 10 installatie trekken, willen ze nu ook je telefoonnummer?
Je weet wat Facebook hiermee heeft gedaan?

Peter
20-12-2018, 15:29 door Anoniem
Door Anoniem: Naast de bestande gegevens die ze uit jouw Windows 10 installatie trekken, willen ze nu ook je telefoonnummer?
Je weet wat Facebook hiermee heeft gedaan?

Peter

Inloggen met Facebook als service mogelijk gemaakt?

The YOSH
20-12-2018, 16:58 door Anoniem
Door Anoniem: De bedoeling is vast goed, maar het is lastig te rijmen met het advies van NIST om SMS als authenticatiefactor niet te gebruiken:
NIST Special Publication 800-63B: Digital Identity Guidelines - Authentication and Lifecycle Management
https://pages.nist.gov/800-63-3/sp800-63b.html

SMS wordt inderdaad afgeraden, maar is enkel een risico als er daadwerkelijk een gerichte aanval op je wordt uitgevoerd. Bij wachtwoorden zijn ze nu gewoon aan het crawlen aan de hand van gehackte wachtwoordenlijsten. Een SMS authenticatiefactor is dus al een stap in de goede richting.
20-12-2018, 17:11 door karma4
Door Anoniem: De bedoeling is vast goed, maar het is lastig te rijmen met het advies van NIST om SMS als authenticatiefactor niet te gebruiken:
NIST Special Publication 800-63B: Digital Identity Guidelines - Authentication and Lifecycle Management
https://pages.nist.gov/800-63-3/sp800-63b.html
Het komt uit een policyframework met risico analyse voor bepaalde gebruikers. Met obneperkte toegang tot het telco gebeuren kun je inderdaad wat mee. Dus voor staatssacoren en staatszaken een goede overweging.
Voor huis tuin en keukengebruik minder van belang. Heb je de staatsveiligheidsdienst die gericht naar jou op zoek zijn dan speelt er wat anders. Not stirred shaken.
21-12-2018, 16:42 door Anoniem
Door Anoniem: De bedoeling is vast goed, maar het is lastig te rijmen met het advies van NIST om SMS als authenticatiefactor niet te gebruiken:
NIST Special Publication 800-63B: Digital Identity Guidelines - Authentication and Lifecycle Management
https://pages.nist.gov/800-63-3/sp800-63b.html

Klopt, maar het is ook wel een ander scenario: SIM swapping is vooral eng bij Online accounts die "overal" gestolen kunnen worden. In dit geval moet de aanvaller en je SIM hebben kunnen swappen en hij moet toegang hebben tot je PC.

Niet ondenkbaar, maar wel een beperkter scenario.
22-12-2018, 18:33 door Anoniem
Natte droom van elke politiestaat. Zo kunnen ze meer metadata verzamelen en zelfs je IP->PC->Telefoon->Locatie->Huidige Plek + gesprekken opslaan :) TOP!

Als Hitler dit in de jaren 1943 had dan zou het verschrikkelijk zijn afgelopen voor de mensheid.

De Politie (of een stagiair) zou dus met de huidige wetten in staat zijn om toegang te verschaffen tot je computer systeem, slechts door je telefoonprovider een mailtje te versturen.
23-12-2018, 15:04 door Anoniem
Door Anoniem: De bedoeling is vast goed, maar het is lastig te rijmen met het advies van NIST om SMS als authenticatiefactor niet te gebruiken:
NIST Special Publication 800-63B: Digital Identity Guidelines - Authentication and Lifecycle Management
https://pages.nist.gov/800-63-3/sp800-63b.html
Het advies om SMS niet te gebruiken stond in de concept versie van de norm. Dat is toen breed in het nieuws uitgemeten en na de nodige discussie heeft dat advies het niet gehaald in de defintieve versie.
Er zijn wel randvoorwaarden voor het gebruik van SMS als 2e factor en die staan netjes verwoord in de norm (paragraaf 5.1.3.3 https://pages.nist.gov/800-63-3/sp800-63b.html#pstnOOB). Belangrijk is dat je alleen GSM nummers registreerd en bv. geen VOIP of andere nummers. Op die manier blijft de 2e factor gekoppeld aan iets wat je hebt.. De gebruiker mag het nummer ook niet zelfstandig aanpassen. Verder moet je een risico analyse doen, maar dat zou je natuurlijk altijd moeten doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure