Zou willen dat ze eens ophielden met pincodes als gebruiksvriendelijk te bestempelen.

Wat zou je dan willen gebruiken?

Pin codes zijn juist veel gemakkelijker en sneller te gebruiken. Ideaal juist....

Nee inloggen via facebook of google is een goed alternatief....

Ben best wel tevreden over via Hello inloggen.

Wachtwoorden.

En als ik biometrisch wil inloggen moet dat offline gebeuren en moet mijn gezicht als wachtwoord uitgedrukt worden.

Biometrische gegevens zijn en blijven ongeschikt als authenticatiemethode.

Wij hebben ervaring met WIndows Hello. Er is géén controle op gebruikte camera's dus kun je met een 2d camera (één camera in de laptop) en een foto heel gemakkelijk de inlog omzeilen.
Pas als alleen 3d camera's (2 camera's in de laptop) gecertificeerd gaan worden zouden we het kunnen overwegen.

Precies! Ze vervangen de gebruikersnaam maar zijn nooit een vervanger voor het wachtwoord!
Ik kan maar niet begrijpen dat er mensen zijn die zich security experts noemen en zich inzetten om biometrisch materiaal te gebruiken om te authenticeren.

Wat wordt er altijd gebruikt om een slachtoffer te identificeren?....... Precies! Biometrisch materiaal!

Neemt niet weg dat het een betere identificatie kan zijn dan de gebruikersnaam. Een gebruikersnaam is vrij eenvoudig te bepalen. Voor biometrisch materiaal ligt dat iets lastiger. Daartegenover staat dat je je gebruikersnaam kunt wijzigen en je biometrisch materiaal niet. Ligt je biometrisch 'materiaal' éénmaal op straat, dan kan het eenvoudig mis/gebruikt worden.

Zoals wij het doen; een pincode van 6 posities (cijfers en letters) om sleutel te kunnen gebruiken die geïnstalleerd staat op de apparaten die ik gebruik. De sleutel kan ik vervolgens alleen gebruiken om een VPDN verbinding te maken (de D staat voor één device in het bedrijfsnetwerk, in dit geval ons bedrijfsportaal). Om me aan te melden op ons bedrijfsportaal heb ik
een ID en een KEY gekregen. Na het invoeren hiervan, krijg ik via mijn mobieltje nog een 5 cijferige code. Pas dan ben ik aangemeld in ons bedrijfsportaal. Het bedrijfsportaal (een website) draait op een speciale portaalrouter die 'gewoon' op ons kantoor staat. Alle cloudtoepassingen en zelfs een Windows desktop zijn vanuit dit bedrijfsportaal te benaderen. Ik weet geen enkel wachtwoord van de meer dan 200 cloudtoepassingen die we gebruiken en ik heb geen enkel wachtwoord opgeslagen staan op de apparaten die ik gebruik. De clouddiensten (o.a. webshops van leveranciers) zijn voorzien van lange wachtwoorden, zo lang als ze dat toestaan en soms wel meer dan 48 karakters. Who cares; ik hoef ze toch niet te onthouden.

Raak ik een apparaat kwijt, dan kan de beheerder eenvoudig de sleutel van het betreffende apparaat ongeldig maken. Wat ik hoef te onthouden? Een code van de sleutel, een ID en een KEY.

Het zou nog mooier zijn als we de wachtwoorden op websites/clouddiensten automatisch kunnen wijzigen. Het portaal zou dan iedere dag (of zelfs ieder uur) de wachtwoorden automatisch kunnen wijzigen...

worden Windows Hello en Windows Hello for Business hier niet door elkaar gehaald?
Uiteindelijk gaat het erom dat je een enrollment doet, waardoor je enkel op 1 device kunt inloggen met die pincode/biometric
informatie. Je attack factor verplaatst zich dan naar 1 device.

Windows Hello for Business kent een enrollment process, waarbij je wachtwoord vervangt door pin of biometrie en device(via tpm) een andere factor is. Hierdoor heb je effectief multi-factor authenticatie gerealiseerd.
Bijkomend voordeel is dat keyloggers etc wel je key strokes kunnen afluisteren, maar hier niets mee kunnen tenzij het device(via tpm) ook gestolen wordt.


Daarnaast kun je kiezen om bijv device+pin+biometrie te verwijzen. Waardoor je effectief naar 3 factoren gaat kijken.

Biometrie kun je uiteraard uitschakelen als dat niet wenselijk niet. Dat verhoogt mogelijk de security.

Uiteraard moet je enrollment voorzien zijn van andere controls, mogelijk een andere MFA oplossing of een trusted location of iets dergelijks.

Biometrische gegevens zijn de enige die het ultieme voor authenticatie zijn.
Er is een wetenschap mee groot geworden. Het heet de forensische wetenschap. Vingerafdrukken DNA en veel meer om aan te tonen dat het wel degelijk de betreffende persoon is. Nooit iemand op zijn blauwe ogen vertrouwen tenzij met irisscan.


Waarmee je de overtuiging zelf geeft dat biometrische authenticate het beste is. Dat ze in het woordgebruik een verwarring scheppen naar ICT-ers die de context met de taal door elkaar gooien is wat anders.

Ben je nou zou dom ?!? Authenticatie en identificatie zijn twee verschillende dingen. Precies zoals je het zelf bevestigd. Waarom dan verwarring zaaien? Ben jij dan 'de' typische ICTer die niet weet wat het verschil is tussen identificatie en authenticatie? Dus een gebruikersnaam is hetzelfde als een wachtwoord of ga je die context ook door elkaar gooien?