image

Windows Hello gecertificeerd voor wachtwoordloos inloggen

dinsdag 7 mei 2019, 14:16 door Redactie, 10 reacties

Systemen met de Windows 10 May 2019 Update (versie 1903) zijn nu gecertificeerd voor wachtwoordloze authenticatie. Dat heeft de FIDO Alliance bekendgemaakt. De Fast IDentity Online (FIDO) Alliance, die uit allerlei techbedrijven bestaat, heeft zichzelf als doel gesteld om het wachtwoord te vervangen door authenticatiemethoden die "veiliger en gebruiksvriendelijker" zijn.

Via Windows Hello kunnen Windows 10-gebruikers door hun biometrische kenmerken of een pincode op het systeem en apps inloggen. Naast de FIDO2-certificering laat de nieuwste Windows 10-update Firefoxgebruikers via Windows Hello of FIDO-beveiligingssleutels op hun Microsoft-account inloggen of andere websites die de FIDO-standaard ondersteunen. Chromium-gebaseerde browsers, zoals Chrome en Edge on Chromium, zullen deze feature binnenkort ondersteunen.

Microsoft, dat een deelnemer van de FIDO Alliance is, roept bedrijven en softwareontwikkelaars op om aan een wachtwoordloze toekomst te werken door wachtwoordalternatieven zoals Windows Hello te ondersteunen.

Reacties (10)
07-05-2019, 14:40 door Anoniem
Zou willen dat ze eens ophielden met pincodes als gebruiksvriendelijk te bestempelen.
07-05-2019, 14:48 door Anoniem
Door Anoniem: Zou willen dat ze eens ophielden met pincodes als gebruiksvriendelijk te bestempelen.
Wat zou je dan willen gebruiken?

Pin codes zijn juist veel gemakkelijker en sneller te gebruiken. Ideaal juist....
07-05-2019, 14:55 door Anoniem
Door Anoniem: Zou willen dat ze eens ophielden met pincodes als gebruiksvriendelijk te bestempelen.

Nee inloggen via facebook of google is een goed alternatief....

Ben best wel tevreden over via Hello inloggen.
07-05-2019, 15:02 door Anoniem
Door Anoniem:
Door Anoniem: Zou willen dat ze eens ophielden met pincodes als gebruiksvriendelijk te bestempelen.
Wat zou je dan willen gebruiken?

Wachtwoorden.

En als ik biometrisch wil inloggen moet dat offline gebeuren en moet mijn gezicht als wachtwoord uitgedrukt worden.
07-05-2019, 17:06 door Anoniem
Biometrische gegevens zijn en blijven ongeschikt als authenticatiemethode.
08-05-2019, 00:04 door Anoniem
Wij hebben ervaring met WIndows Hello. Er is géén controle op gebruikte camera's dus kun je met een 2d camera (één camera in de laptop) en een foto heel gemakkelijk de inlog omzeilen.
Pas als alleen 3d camera's (2 camera's in de laptop) gecertificeerd gaan worden zouden we het kunnen overwegen.
08-05-2019, 01:39 door Anoniem
Door Anoniem: Biometrische gegevens zijn en blijven ongeschikt als authenticatiemethode.

Precies! Ze vervangen de gebruikersnaam maar zijn nooit een vervanger voor het wachtwoord!
Ik kan maar niet begrijpen dat er mensen zijn die zich security experts noemen en zich inzetten om biometrisch materiaal te gebruiken om te authenticeren.

Wat wordt er altijd gebruikt om een slachtoffer te identificeren?....... Precies! Biometrisch materiaal!

Neemt niet weg dat het een betere identificatie kan zijn dan de gebruikersnaam. Een gebruikersnaam is vrij eenvoudig te bepalen. Voor biometrisch materiaal ligt dat iets lastiger. Daartegenover staat dat je je gebruikersnaam kunt wijzigen en je biometrisch materiaal niet. Ligt je biometrisch 'materiaal' éénmaal op straat, dan kan het eenvoudig mis/gebruikt worden.

Zoals wij het doen; een pincode van 6 posities (cijfers en letters) om sleutel te kunnen gebruiken die geïnstalleerd staat op de apparaten die ik gebruik. De sleutel kan ik vervolgens alleen gebruiken om een VPDN verbinding te maken (de D staat voor één device in het bedrijfsnetwerk, in dit geval ons bedrijfsportaal). Om me aan te melden op ons bedrijfsportaal heb ik
een ID en een KEY gekregen. Na het invoeren hiervan, krijg ik via mijn mobieltje nog een 5 cijferige code. Pas dan ben ik aangemeld in ons bedrijfsportaal. Het bedrijfsportaal (een website) draait op een speciale portaalrouter die 'gewoon' op ons kantoor staat. Alle cloudtoepassingen en zelfs een Windows desktop zijn vanuit dit bedrijfsportaal te benaderen. Ik weet geen enkel wachtwoord van de meer dan 200 cloudtoepassingen die we gebruiken en ik heb geen enkel wachtwoord opgeslagen staan op de apparaten die ik gebruik. De clouddiensten (o.a. webshops van leveranciers) zijn voorzien van lange wachtwoorden, zo lang als ze dat toestaan en soms wel meer dan 48 karakters. Who cares; ik hoef ze toch niet te onthouden.

Raak ik een apparaat kwijt, dan kan de beheerder eenvoudig de sleutel van het betreffende apparaat ongeldig maken. Wat ik hoef te onthouden? Een code van de sleutel, een ID en een KEY.

Het zou nog mooier zijn als we de wachtwoorden op websites/clouddiensten automatisch kunnen wijzigen. Het portaal zou dan iedere dag (of zelfs ieder uur) de wachtwoorden automatisch kunnen wijzigen...
08-05-2019, 09:52 door Anoniem
worden Windows Hello en Windows Hello for Business hier niet door elkaar gehaald?
Uiteindelijk gaat het erom dat je een enrollment doet, waardoor je enkel op 1 device kunt inloggen met die pincode/biometric
informatie. Je attack factor verplaatst zich dan naar 1 device.

Windows Hello for Business kent een enrollment process, waarbij je wachtwoord vervangt door pin of biometrie en device(via tpm) een andere factor is. Hierdoor heb je effectief multi-factor authenticatie gerealiseerd.
Bijkomend voordeel is dat keyloggers etc wel je key strokes kunnen afluisteren, maar hier niets mee kunnen tenzij het device(via tpm) ook gestolen wordt.


Daarnaast kun je kiezen om bijv device+pin+biometrie te verwijzen. Waardoor je effectief naar 3 factoren gaat kijken.

Biometrie kun je uiteraard uitschakelen als dat niet wenselijk niet. Dat verhoogt mogelijk de security.

Uiteraard moet je enrollment voorzien zijn van andere controls, mogelijk een andere MFA oplossing of een trusted location of iets dergelijks.
08-05-2019, 17:27 door karma4 - Bijgewerkt: 08-05-2019, 17:30
Door Anoniem: Biometrische gegevens zijn en blijven ongeschikt als authenticatiemethode.
Biometrische gegevens zijn de enige die het ultieme voor authenticatie zijn.
Er is een wetenschap mee groot geworden. Het heet de forensische wetenschap. Vingerafdrukken DNA en veel meer om aan te tonen dat het wel degelijk de betreffende persoon is. Nooit iemand op zijn blauwe ogen vertrouwen tenzij met irisscan.


Door Anoniem: ...
Wat wordt er altijd gebruikt om een slachtoffer te identificeren?....... Precies! Biometrisch materiaal!
...
Waarmee je de overtuiging zelf geeft dat biometrische authenticate het beste is. Dat ze in het woordgebruik een verwarring scheppen naar ICT-ers die de context met de taal door elkaar gooien is wat anders.
09-05-2019, 00:12 door Anoniem
Door karma4:
Door Anoniem: Biometrische gegevens zijn en blijven ongeschikt als authenticatiemethode.
Biometrische gegevens zijn de enige die het ultieme voor authenticatie zijn.
Er is een wetenschap mee groot geworden. Het heet de forensische wetenschap. Vingerafdrukken DNA en veel meer om aan te tonen dat het wel degelijk de betreffende persoon is. Nooit iemand op zijn blauwe ogen vertrouwen tenzij met irisscan.


Door Anoniem: ...
Wat wordt er altijd gebruikt om een slachtoffer te identificeren?....... Precies! Biometrisch materiaal!
...
Waarmee je de overtuiging zelf geeft dat biometrische authenticate het beste is. Dat ze in het woordgebruik een verwarring scheppen naar ICT-ers die de context met de taal door elkaar gooien is wat anders.

Ben je nou zou dom ?!? Authenticatie en identificatie zijn twee verschillende dingen. Precies zoals je het zelf bevestigd. Waarom dan verwarring zaaien? Ben jij dan 'de' typische ICTer die niet weet wat het verschil is tussen identificatie en authenticatie? Dus een gebruikersnaam is hetzelfde als een wachtwoord of ga je die context ook door elkaar gooien?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.