Gebruik beter de Authy app. Voordeel o.a. dat je je autorisaties kan opslaan.

https://authy.com/guides/microsoft/

Op het moment dat de app zoals je hem omschrijft gebruikt wordt i.c.m. een wachtwoord, lijken het mij 2 onafhankelijke kanalen en 2 verschillende type (kennis, bezit). Dat je zonder te ontgrendelen er bij kan doet niets af van het feit dat je fysiek de telefoon in bezig moet hebben.

Lijkt mij nog prima passen binnen een begrip als 2FA. Mocht je specifieke eisen stellen aan je inlogmethode waarbij het bezit van de telefoon alleen niet voldoende is kan je inderdaad naar iets anders kijken.

Binnen de nieuwe WebAuthentication standaard is het mogelijk om de authenticator te verplichten om te controleren op 'user presence' (fysiek een knop indrukken, onafhankelijk wie dit doet) of 'user verification' (pincode of vingerafdruk). Waarbij dat laatste dus aan een persoon gebonden is en het eerste alleen interactie vereist. Dit lijkt mij een nuttig onderscheid wat hier dus ook opgaat. Welke je nodig hebt hangt af van hoe 'veilig' je inlog moet zijn...

2 factor als in 'iets hebben' geeft invulling aan fysiek het device in handen hebben welke als tweede factor is aangemerkt, niet aan 'iets weten' dat is je toegangswachtwoord al. Pincode/fingeprint/faceId additioneel op het 2FA device is vanuit een gebruikersoogpunt onnodig, immers je hebt het toestel toch? (En daar geef ik gebruikers nog gelijk in ook)
Vergelijk het met timebased tokens, daar kun je een pincode voor vereisen maar dat komt voor een gebruiker als 'gebruikerstje pesten' over...
O,ja je hebt geen auto nodig om autorisaties op te slaan. Dat kun je met Google en Microsoft's authenticator ook. Waarbij de Microsoft variant nog extra opties biedt.

2 factor betekent volgens mij wat je weet en wat je hebt.
je weet je wachtwoord, en hebt je telefoon.
is beter dan alleen een wachtwoord, en is 2 factor.

alterantief is een authenticator sleutelhanger (RSA) die gratis unieke codes afgeeft,
precies even veilig als een foon, mits de foon altijd in je broekzak zit.

Grootste voordeel van 2FA is dat een remote hacker niks aan alleen je wachtwoord heeft.
je 2e FA ook nog extra beveiligen.... hm. beschermt je tegen je gezin en collega's, en plafond-ninja's.

Ik ben er heel erg te vreden over. Al mis ik erg dat je het niet op meerdere devices kan activeren. Een goede eigenschap, maar ook een gemis.

Ik weet niet wat voor een telefoon je hebt, maar ik moet toch echt mijn telefoon unlocken voordat ik de push notificatie kan bevestigen. Misschien een bug? Maar het werkt dus wel zoals het zou moeten moeten.

Daarom misschien een bug.... Want hij werkt toch wel wel zoals die moet werken. Ik ben nu bezig met een configuratie bij een bedrijf er mee. En daar is deze bug nog niet naar voren gekomen.

Goed product, werkt gemakkelijk en zeer gebruikers vriendelijk.

Alleen zo jammer dat die niet met Microsoft MFA overweg kan. Daarnaast Authy is security technisch minder veilig ivm opslaan, kan de complete MFA techniek omzeep helpen, omdat je zowel op je laptop nu de MFA als de inlog kan laten plaats vinden. Dus Nee je kan beter niet Authy gebruiken voor MFA. Maar Authy werkt wel heel goed.....

Push notifications zijn voor volgers.

"Ik heb een probleem met mijn Audi"

"Koop een Toyota"

Zucht, wat een "advies" zonder uberhaubt te weten waarom betreffende App gebruikt wordt.

Die RSA tokens zijn verre van gratis, ook voor de infrastructuur daar achter moet grof betaald worden.

Hmmmm.. Ik zat er naast waarschijnlijk... Laatste keer dat ik dit probeerde was de QR code niet geaccepteerd. Straks nog eens een keer testen met deze App.....

met Google werkte het uitstekend en met microshit thermaal niet

Werkt niet met de Office 365 MFA. Ik krijg de optie niet om een andere app the gebruiken.
Misschien werkt het wel met de home versie.

Wat is daar shit aan? Het werkt gewoon beter en heeft een paar beter eigenschappen dan de google versie. Push notificatie werkt een stuk gemakkelijk dan een code invoeren. Security technisch verbeteringen.

Sinds de laatste update van de Authenticator app kan de app zelf ook worden beveiligd.

Kan je niet lezen, raar figuur? Het staat letterlijk in de post: "Ik ben benieuwd hoe mensen aan kijken tegen de MS Authenticator als zijnde een APP die aan Two Factor authenticatie doet." En daar zijn dus (goede) alternatieve apps voor. Als je niets zinvols te melden hebt dan reageer gewoon niet!

Het mag inderdaad wel iets minder, raar figuur..... Het is namelijk een valide opmerking.
Je geeft geen ervaring over de Microsoft Authenticator (audi), maar wel een mening dat authy (Toyota) beter is. Zonder enige extra informatie waarom die beter is.

De opmerking van Anoniem zijn dus gewoon valid....

Daarnaast Authy wordt niet ondersteund door Office 365 authenticatie, geeft geen push notificatie, wat geweldig werkt, en heeft backup mogelijkheden, wat een direct security issue.

Dus wat is beter, als het mogelijk niet werkt, geen push geeft, en mogelijk een security issue bied waarvoor je het juist wilt gebruiken?

Het gaat natuurlijk om de toon die 'Anoniem' aanslaat. Had je dat nou echt niet begrepen? Kan je dan echt niet zelf nadenken?


Die backup mogelijkheden zijn het enige wat je kan redden als het device waarop je je 2fa-app draait kapot gaat (en je geen 'nood codes' hebt voor dat soort calimiteiten). En natuurlijk is die backup (goed) beveiligd.


Wat nou 'mogelijk niet werkt' met 'office 365 authenticatie' (dat moet je dan bij Microsoft aankaarten, dat standaard 2fa-apps niet werken met hun diensten - als dat al zo is want je stelt zelf 'mogelijk' - zie: https://office365.uservoice.com/forums/289138-office-365-security-compliance/suggestions/19420618-add-3rd-party-authenticator-support-to-office-365). Wat nou geen 'push' (een niet standaard Microsoft dingetje). En wat nou 'security issue'? Die Authy backupfaciliteit is goed beveiligd hoor.

Hoe moet ik dat nu weten? Misschien moet je even nadenken voordat je iets post, dat iemand anders iets heel anders kan lezen dan dat jij had bedacht.

Om de bal even terug te spelen: Kan je dan echt niet zelf nadenken?

Dan zijn er nog steeds recovery methodes te bedenken. Dat heet een goede implementatie neer zetten.

Daarnaast kan ik als ik mijn telefoon niet meer gewoon een SMS of telefoontje ontvangen.
Dus geen argument voor een dergelijke backup. Het omzeilt in 1 keer ook grotendeels de MFA. Aangezien je code op je laptop kan staan via Authy, waarmee je ook inlogt op de website.

Net geprobeerd..... Invalid Formaat als ik dit uitvoer. Misschien staat het dicht hier. Aangezien dit een security issue is.
En waarom zou ik dit willen aankaarten? De huidige tool werkt goed zoals ik het zie en push werkt geweldig en een stuk sneller en gebruikers vriendelijker. Zeker voor niet computer specialisten, ofwel de gemiddelde gebruiker.
Ik zie geen argumenten om direct te veranderen. Zeker de push werkt heel mooi en bied extra security mogelijkheden. Door bijvoorbeeld door te zien waar je inlogt vs waar de MFA approved wordt. Als dit niet matched of niet mogelijk zou moeten zijn, dan kan er een risk event geactiveerd worden. Met 3de partij applicaties zou dit nooit mogelijk zijn, maar wel de veiligheid kan verhogen voor high risk accounts.

Het zou netjes zijn om dit wel mogelijk te ondersteunen, maar ik zie de noodzaak er niet direct van in De huidige bied meer mogelijkheden dan de 3de partij apps.

Of Apple.... Gebruikt de zelfde technieken. En zo zijn er nog een paar.
En werkt superieur vs invullen van getallen.

Ik gebruik ook Authy ook. En als ik nu op laptop inlog heb ik zowel mijn userid/wachtwoord en MFA code gegenereerd op 1 device. Eigenlijk geen MFA meer, alleen een dubbel wachtwoord.
Ben wel heel blijk met de oplossing hoor. Maar security technisch verre van optimaal.

Euh? Lezen misschien? (begrijpend). Als je dat niet kan dan houdt het op, nietwaar? Wat een simpele luitjes hiero!

Daar wil jij toch helemaal niet bijhoren?

Doei.

Wat nou? De simpele luitjes willen mij wegpesten? Ik snap het wel, dat is natuurlijk het enige wat ze kunnen.

Je staat blijkbaar erg ver van de werkelijkheid.....
En weg pesten klint wel weer ergs, als ik ben beter en laat mij niet weg pesten. Maar juist die beter wetende personen zijn het ergst. Ze "denken" namelijk alles te weten.

Even een hint.... Dat ben jij....

Goed... En nu denk je ineens wel dingen te begrijpen? Ik heb slecht nieuws voor je: eens dom, altijd dom.

Je hebt het nu over je zelf neem ik aan? Dat is namelijk slecht nieuws voor je, dat je toch in eens niet zo slim bent als je dacht.... Soms zijn dingen nu eenmaal iets lastiger dan je dacht, en dan kan je inderdaad niet alles begrijpen.

Maar dat geeft niet, gewoon lekker van het weer genieten...

Maar de punten blijven zo. Auth werkt out of the box niet met Office 365 MFA, en de Microsoft MFA Applicatie bied voordelen die Authy niet heeft.
Zo heeft authy ook een zeer gemakkelijke backup functie, waarbij je over meerdere devices de MFA gemakkelijk kan gebruiken. Maar deze functionaliteit die wel het hele MFA eigenlijk om zeep helpt, want alles zit in eens op 1 device.

Zelfs dat heb je niet begrepen...

Kort lontje? Haal even rustig adem en probeer te snapen wat men bedoeld.

De vraag van TS: Ik ben benieuwd hoe mensen aan kijken tegen de MS Authenticator als zijnde een APP die aan Two Factor authenticatie doet.

Jij komt met antwoord: GEBRUIK beter de Authy app.

Dat antwoord is A: niet wat TS vraagt en B: je weet de use case van TS niet eens. Hoe kan je dan een alternatief bieden als je niet eens weet of je alternatief aan de voorwaarden van TS voldoet?

Daarna loopt het weer eens uit de hand met het niet kunnen of willen begrijpen wat mensen bedoelen met hun op- of aanmerkingen op je posting.

Voor normale gestandaardiseerde two factor authentication toepassingen is dat een goed advies. TS enig besef bijbrengen van het voordeel van je houden aan standaarden ook.

Nee, dat is geen goed advies als je niet weet wat de eisen zijn. Ik kan jou wel een Porsche 911 aansmeren maar als jij hovenier bent en je een aanhanger van 3 ton moet vervoeren gaat je dat alleen met een Cayenne lukken. Toch kan je normaal gesproken in beide auto's heel goed rijden.

RSA is ook een standaard en werkt niet met Authy.....

En Microsoft gebruikt onderwater ook gewoon de standaard......

En de Microsoft authenticator heeft veel meer voordelen en werkt een stuk gemakkelijker en heeft meer veiligheidsmaatregelen er zin zitten die voor professional gebruik veiliger zijn.

Maar je advies is gewoon Audi vs Toyota... .Beide zijn auto's maar totaal verschillend en afhankelijk wat je nodig hebt, heb je mogelijk niets aan de andere....
Het is gewoon Iets met requirements........

Maar beantwoord nog steeds TS zijn vraag niet.

Daarmee komen we weer terug bij het voordeel van een gestandaardiseerde oplossing gebruiken. Dan hoef je je niet druk te maken of een aangeboden oplossing wel werkt met jouw specifieke softwareomgeving.

lol

Of wel ik zoek een auto? Of een voertuig met 4 of meer wielen? Of gewoon ik zoek en voertuig.....

Nee.... Klopt niet wat je zegt of aanhaalt en gaat nergens over. En vooral het beantwoord TS zijn vraag niet.

Je zoekt een 2fa app die gestandaardiseerde protocollen gebruikt.


Nou, het gaat natuurlijk wel ergens over! Een goede alternatieve app voor gestandaardiseerde 2fa, mét een backup mogelijkheid.


Dat gemauw van jou wel zeker?

Zucht, moet dat nou weer zo?

Nee ik zoek een app die MFA vanuit Azure ondersteund, aangezien ik alles vanuit Azure neem inclusief de security maatregelen.

Backup van je MFA is vanuit security een beveiligings-issue. Immers backup kan gaan rond slingeren en heb je vanuit security geen controle over eventueel security van je backup en of die goed geregeld is.

Jij neemt en slikt natuurlijk alles...


Die backup slingert niet rond.

Nee hoor. Ik lees informatie, relativeer en werk er mee.

En waarom zou ik iets anders gebruiken, als Azure MFA perfect past binnen de meeste organisaties voor de eisen en wensen van de bedrijven?

Simple vraag...
Heb jij als bedrijf die de MFA forceerd / verijst controle over de backup of de mogelijkheden van de backup? Hoe deze bijvoorbeeld opgeslagen is/wordt?

Kan jij garanderen (of regelen) dat de MFA authenticatie niet op meerdere devices actief is? Inlucsies dus eventuel hackers?
Kan jij garanderen (of regelen) dat de MFA altijd op een telefoon uitgevoerd wordt en dus niet op de laptop / desktop?

Bij Authy heb je al deze mogelijkheden niet. Nog afgezien het Office 365 MFA niet altijd ondersteund, dus mogelijk geen oplossing is voor TS.

:-)


Nooit kiezen voor niet gestandaardiseerde oplossingen. Dat leidt alleen maar tot vendor lock-in, met alle gevolgen van dien.


Zwaar beveiligd. Had je zelf kunnen opzoeken: https://support.authy.com/hc/en-us/articles/115001932768-Authy-Backups-Password-Retrieval


Waarom zou ik dat willen? Het is juist handig dat je het op meerdere apparaten kan uitvoeren. En de veiligheid is daarbij gegarandeerd omdat er een wachtwoord op staat.


Wie wil er nou niet gestandaardiseerde Office 365 MFA oplossingen? Die tot vendor lock-in leiden, met alle narigheid van dien.

Heb je ook een alternatief voor Azure AD met alle mogelijkheden en integratie hiervan, tegen een mooie en nette prijs zoals Azure het kan aanbieden?
Of je moet een MFA oplossing hebben die in Azure AD kan functioneren? Tegen de zelfde prijs en mogelijkheden natuurlijk.
Ik zou alleen google even snel kunnen bedenken in de schaalbaarheid en geavanceerde beveiligings technieken. DUO misschien?

Ik lees graag de oplossing.

Dat is niet goed antwoord. Heb ik als bedrijf ook controle over je lengte en periodiek aanpassen van de backup?
Je wilt vanuit security oogpunt ook niet dat je dit kan backupen. Ben je hem kwijt moet je gewoon een nieuwe aanvragen.

Security? Als ik een keylogger op je laptop krijg, kan heb ik dus je userid / wachtwoord en je MFA toegang. Weg 2FA....

Ik denk even iets met Keyloggers?
Bij een goede MFA vraag je gewoon meerdere MFA token aan, gewoon voor ieder device 1.
Daarnaast hoe zorg je er voor dat een hacker ook niet een device kan toevoegen? Een backup van dit soort data moet je niet willen en is ook niet noodzakelijk. Je moet dan gewoon een nieuw token aanvragen en de oud intrekken zodat een oud token nooit ergens kan blijven zweven.

Ik roep even iets met security en auditability. We hebben het wel over een security oplossing. Daar moet je goed over nadenken. En dan zijn dit gewoon risico's die je moet benoemen en eventueel bij je requirement verwerken.

Omdat er betere features in zitten. Meer security mogelijkheden bied en je gebruikt Azure AD al dus integreert perfect in de Azure stack inclusies 1 beheers omgeving, zit bij de kosten inbegrepen eenvoudig en goed werkt.

Daarnaast je gebruikt Azure AD.... Kan is eigenlijk al een vendor lock-in, maar er zijn ook geen alternatieven die deze techniek, schaalbaarheid tegen deze kosten kan aanbieden. Dus vendor locking is het eigenlijk al.....
Eigenlijk zelf niet. Want Azure AD bied gewoon SAML authenticatie voor federation, dus geen vendor locking, maar een totaal plaatje. Je kan alles weg migreren natuurlijk. Maar werkt het beter / goedkoper?

Waarom zou je dan nog een extra omgeving actief willen hebben, wat alleen maar extra kost en minder aan security bied?

Maar het hangt van je requirements.... Of Vendor lock-in een keiharde requirement is. Als je daarnaast kosten/beheer en integratie naast legt, dan is het voor een bedrijf al snel gedaan. Je krijgt het er namelijk bij met de juiste licentie, welke bijne elk bedrijft heeft wie in Azure AD gaat zitten.
Wil je het toch een specifiek non verdor lockin, dan schaf je toch iets non vendor specifiek aan? Dit is ook gewoon een mogelijkheid met Azure AD. Kost je alleen veel extra geld.

We gebruiken hier ook safeword (dus geen vendor locking, maar wel dedicated app) tokens icm Azure AD of Radius. Maar migreren gelukkig naar Azure MFA. Bespaart gruwelijk veel geld voor het bedrijf.

Sterkte gewenst daarmee (met die Microsoft vendor lock-in en de toekomst).

Gelukkig wordt dit bijna overal tegenwoordig gebruikt omdat het zo goed werkt.

Dus dat gaat wel lukken... Het is de toekomst bij menig bedrijf.
Dus bedankt...


Heb je trouwens nog alternatieven? Die dit Azure AD / met al dan niet MFA kunnen vervangen?

Want beide zijn namelijk geen vendor locking. Je kan ze beide vervangen of mixen. Dus ik weet niet precies hoe je dit als Vendor Locking zou zien?
Dat de app niet multi vendor is? Klopt trouwens ook niet helemaal want de Microsoft Authenticator app kan wel andere MFA QR codes aan.

En ook Azure MFA kan je aan niet SAML authenticaties hangen. Maar Azure AD kan je ook tegen andere MFA solutions hangen. Mooi stukje multi vendor mogelijkheid, toch? Zo zie je het toch graag? Kan allemaal samen werken, of het efficienter en gemakkelijker is/wordt is een tweede.
Kost namelijk veel extra geld aangezien dit soort oplossingen een extra kosten boven op de kosten die je al maakt op Azure AD.

Microsoft is natuurlijk de vendor lock-in die je zoekt. Trap nooit - zeker niet als bedrijf - in de valkuil van vendor lock-in door propriëtaire software, protocollen of bestandsformaten.

Waarom blijf je kijken met oogkleppen? En kom je net met de standaard antwoorden zoals "valkuil, propriëtaire software, protocollen of bestandsformaten". Het blijkt dus, dat je eigenlijk geen enkel idee hebt waarover je praat.
AzureAD werkt met veel standaarden en een geweldige techniek.
Azure MFA ondersteund ook gewoon radius en is dus gewoon te integreren met andere leveranciers.
Azure AD kan ook gewoon met andere MFA providers overweg.

Je hebt duidelijk is geen enkel idee waarover je praat, wat bedrijven eigenlijk nodig hebben of hoe bedrijven eigenlijk werken.
Je laat het klassieke gedrag zien, alles van Microsoft is slecht omdat bla bla bla en ik heb altijd gelijk, omdat Microsoft evil is.

Ik heb een bedrijf en ik werk voor (hele grote) bedrijven. Ik zie dagelijks de ellende van vendor lock-in en vastzitten aan inferieure software. En ik heb dagelijks te maken met van die nitwits aan de zijlijn, die zonder enige visie koste wat kost bij het bestaande en bekende willen blijven.

Dat is mooi dat je voor hele grote bedrijven werkt, maar je laat duidelijk niets van zien dat je in een Enterprise werkt of dat je een idee hebt wat een bedrijf of de business eigenlijk wilt en nodig heeft. Je bent alleen maar aan het schoppen, want "jij" weet het beter.

Je laat juist het gedrag zien, waarom het zo vaak fout gaat. En eigenlijk oplossingen aanbieden of opdringen waar men helemaal niet op zit te wachten, maar de basis voor al dit soort "ik weet het beter" statements van dit soort personen is "Microsoft is Evil". Terwijl ze geen idee hebben wat business echt nodig heeft om hun werk te doen.

De bedrijven waarvoor ik werk gebruiken vaak geen Windows of andere propriëtaire software. Dat heeft te maken met professionaliteit en visie. En lef, om niet de gebaande paden te volgen en daarmee ontzaglijk veel geld te besparen en vendor lock-in ellende te voorkomen.


Altijd de kleine mensjes op de werkvloer die het denken te begrijpen.

Dat is een mogelijkheid, er is ook veel goede software die je hiervoor kunt gebruiken. Of het geld bespaart hangt van een hoop factoren af, net zoals professionaliteit of visie.
En daar kan je juist een verschil in maken...... Je denkt in hokjes zoals jij je hier bent aan het profileren.

Ik behoorlijk wat bedrijven die heel professioneel zijn, een zeer goede visie hebben, maar bijna volledig zonder problemen op volledige Microsoft technologie draaien waar het mogelijk is. Van MKB tot multinational of Enterprise of wereldwijd opereren met meer dan 100.000 gebruikers.
Daar draait meestal vanalles. De meeste denken niet in hokjes, maar kijken wat het beste is voor hun en vaak is dat een Mix.

Kijk dat is nu precies, wat bij mijn vorige statements past. Bedankt voor de bevestiging.

Iemand die geen enkel idee heeft wat een bedrijven nodig heeft, maar hij komt wel even vertellen wat er nodig is. Zonder ook maar enig idee te hebben wat men echt nodig heeft.

Doet mij denken aan klaverblad reclame. Past precies bij je, kan ik wel zeggen.

Alsjeblieft zeg!