Azure AD ondersteunt nu wachtwoorden van 256 karakters
Microsoft heeft aanpassingen aan Azure Active Directory (AD) doorgevoerd waardoor nu wachtwoorden van maximaal 256 karakters worden ondersteund, inclusief spaties. Voorheen waren wachtwoorden van maximaal 16 karakters toegestaan. Dat laat Microsoft in een blogposting weten.
Azure Active Directory is een cloudoplossing voor identiteits- en toegangsbeheer, waarmee gebruikers toegang tot clouddiensten en applicaties kunnen krijgen. Door de aanpassing wil Microsoft het voor cloudgebruikers mogelijk maken om langere wachtwoorden en passphrases te kiezen. Eerder werd dit niet door de dienst ondersteund.
Een passphrase van 256 karakters die alleen uit kleine letters bestaat is niet mogelijk. Microsoft verplicht dat een wachtwoord minimaal 8 karakters lang is en drie criteria combineert, waarbij gekozen kan worden uit hoofdletters, kleine letters, cijfers en symbolen.
Reacties (12)
Oh wow! Daar stoorde ik me in 2000 al aan. Gelukkig hebben ze in Redmond 'ineens' het licht gezien. Beter een generatie later als niet, zal ik maar zeggen....
Zou wettelijk verplicht moeten worden zoiets. Ook voor websites. Maar nee, we krijgen een cookiewall van onze regering... Zucht.
Zou wettelijk verplicht moeten worden zoiets. Ook voor websites. Maar nee, we krijgen een cookiewall van onze regering... Zucht.
Door Rexodus: Oh wow! Daar stoorde ik me in 2000 al aan. Gelukkig hebben ze in Redmond 'ineens' het licht gezien. Beter een generatie later als niet, zal ik maar zeggen....
Volgens mij bestond AzureAD in 2000 nog niet. Toch interessant dat je je al ergens aan kan ergeren, zonder dat iets bestond. Je hebt verder wel een gewoon normaal leven? Immers misschien pakken ze je huidige irritaties ook pas in de volgende generatie aan.
Zou wettelijk verplicht moeten worden zoiets. Ook voor websites. Maar nee, we krijgen een cookiewall van onze regering... Zucht.
Waarom zou dit verplicht moeten zijn? Waarom zou de regering zich hiermee moeten bemoeien?Wachtwoord van 16 tekens is meer dan voldoende. Mooi is leuk, maar een nice to have feature. Zeker niet iets om vanuit een
overheid verplicht te maken. Totaal geen toegevoegde waarde.
En laat zien, dat je eigenlijk niet snapt hoe zo iets in elkaar zit of wat werkelijke de noodzaak is dit soort nice to have features. Zowel om iets vanuit een overheid te verplichten, of wat een werkelijke toegevoegde waarde is van een extreem lang wachtwoord.
Als een wachtwoord van 16 tekens is gebaseerd op 'n woordenboekwoord, of, om aan de complex-policy te voldoen, een straatnaam+huisnummer, waarvan de 1e letter een hoofdletter is, dan is het absoluut niet voldoende...
16-05-2019, 14:00 door
Bitwiper
Door Anoniem: Wachtwoord van 16 tekens is meer dan voldoende. Mooi is leuk, maar een nice to have feature. Zeker niet iets om vanuit een overheid verplicht te maken. Totaal geen toegevoegde waarde.
En laat zien, dat je eigenlijk niet snapt hoe zo iets in elkaar zit of wat werkelijke de noodzaak is dit soort nice to have features.
Kennelijk leef je al jaren onder een steen (met Microsoft, maar die heeft ondertussen wel het licht gezien) en heb je daardoor gemist dat experts al heel lang aanraden om pass-phrases te gebruiken?En laat zien, dat je eigenlijk niet snapt hoe zo iets in elkaar zit of wat werkelijke de noodzaak is dit soort nice to have features.
Door Bitwiper:
En hoeveel gebruikers gebruiken nu echt een wachtwoord van meer dan 16 tekens? Of anders geformuleerd, een pass-phrase van 16 tekens of meer? Dat zijn er toch echt niet zoveel. Door Anoniem: Wachtwoord van 16 tekens is meer dan voldoende. Mooi is leuk, maar een nice to have feature. Zeker niet iets om vanuit een overheid verplicht te maken. Totaal geen toegevoegde waarde.
En laat zien, dat je eigenlijk niet snapt hoe zo iets in elkaar zit of wat werkelijke de noodzaak is dit soort nice to have features.
Kennelijk leef je al jaren onder een steen (met Microsoft, maar die heeft ondertussen wel het licht gezien) en heb je daardoor gemist dat experts al heel lang aanraden om pass-phrases te gebruiken?En laat zien, dat je eigenlijk niet snapt hoe zo iets in elkaar zit of wat werkelijke de noodzaak is dit soort nice to have features.
MFA is een veel betere oplossing en is de toekomst. Passwords zijn van 1995, the future is now.
256 karakters?
Klinkt als werkverschaffing: ben je een halve dag bezig met intypen van je wachtwoord.
(of het moet op 1 of andere manier geautomatiseerd zijn)
Klinkt als werkverschaffing: ben je een halve dag bezig met intypen van je wachtwoord.
(of het moet op 1 of andere manier geautomatiseerd zijn)
16-05-2019, 15:54 door
Bitwiper
Door Anoniem: En hoeveel gebruikers gebruiken nu echt een wachtwoord van meer dan 16 tekens? Of anders geformuleerd, een pass-phrase van 16 tekens of meer? Dat zijn er toch echt niet zoveel.
MFA is een veel betere oplossing en is de toekomst. Passwords zijn van 1995, the future is now.
Dat de meeste gebruikers "12345" als wachtwoord gebruiken, vind ik geen reden om verstandige gebruikers, ook al zouden dat er maar weinig zijn, te beperken in de manier waarop zij hun accounts willen beveiligen tegen o.a. brute force attacks - temeer daar er serverside geen fundamentele bezwaren zijn.MFA is een veel betere oplossing en is de toekomst. Passwords zijn van 1995, the future is now.
En met "12345" als wachtwoord kun je ook niet echt meer van 2FA spreken als je daarnaast een andere factor gebruikt.
Microsoft's clouddiensten hebben in toenemende mate last van account takeover attacks waarvan er veel te veel slagen. Daar zitten ook steeds meer accounts bij die met MFA beschermd zijn. Een van de problemen van MFA is, vergelijkbaar met "wachtwoord vergeten", dat die tweede factor ook wel eens niet werkt (bijv. smartphone vergeten of in de plee gevallen). Lastig is het daarbij om onderscheid te maken tussen de echte account-eigenaar en een cybercrimineel: als de beheerder dan weer terugvalt op vragen naar je geboortedatum ter "authenticatie", is het voorspelbaar hoe zoiets kan aflopen.
Zodra de quantum computer los gaat vallen er heel wat bomen in het bos. Maar goede zet van Microsoft. Dank u!
Bedenk een woord of zin en genereer daar een SHA256 controlegetal van met behulp van een HashCalculator. Om het nog sterker te maken versterk dit woord of zin met een HMAC (Hash Message Authentication) sleutel, en het nieuwe wachtwoord bestaande uit 64 karakters is onkraakbaar met de huidige techniek. Hoewel het controlegetal bestaat uit a-f en 0-9 is totaal 16 karakters zijn er 16 tot de macht 64 (16^64 ) mogelijkheden. Het woord of de zin kan je in combinatie met een steeds veranderende HMAC sleutel op meerdere wachtwoorden toepassen. Voorwaarde is dat het wachtwoord door selecteren, kopiëren, en plakken mag worden ingevoerd.
De hier zo geroemde MFA (Multi Factor Authentication) is veilig, maar heeft een hoog irritatie gehalte.
De hier zo geroemde MFA (Multi Factor Authentication) is veilig, maar heeft een hoog irritatie gehalte.
En nog steeds de misvatting, dat een sterk wachtwoord onder- en bovenkast moet gebruien, en cijfers, en "speciale" tekens. Leer eens iets ober entropie, en realiseer je dat een wachtwoord, bestaande uit 23 enen een hogere entropie heeft, dan "Go6757JH)(*ghOH54". En ook nog eens te onthouden.
Hogere entropie = veiliger
Hogere entropie = veiliger
Door Anoniem: De hier zo geroemde MFA (Multi Factor Authentication) is veilig, maar heeft een hoog irritatie gehalte.
Dat ligt eraan hoe MFA geimplementeerd wordt.Stel, ik loop 's morgens het kantoorpand binnen, en moet met mijn pasje de sluis, of deur, of lift ontgrendelen. Dàt, plus het feit, dat mijn bedrijfstelefoon in het gebouw aanwezig is, zijn alvast twee factoren, die duidelijk maken, dat ik hoogstwaarschijnlijk in het gebouw ben. Als ik vervolgens op een bekend (mijn werkstation) IP-adres met alleen een wachtwoord inlog, dat heb ik MFA (multi is indit geval 6) die niet lastig is.
Als ik vervolgens drie uur later vanuit Oeganda probeer in te loggen, dan krijg ik verzoek om mijn hardware token (Ubikey) te gebruiken, en mijn telefoon te ontgrendelen. Zo snel vanuit NL naar Oeganda reizen is vrijwel onmoglijk, vandaar extra acties.
Oh - en de zes factoren zijn: tijd ('s morgens), locatie (kantoor), aanwezigheid geldige security pas, aanwezigheid terlefoon, locatie (IP adres), wachtwoord.
Door Anoniem: 256 karakters?
Klinkt als werkverschaffing: ben je een halve dag bezig met intypen van je wachtwoord.
(of het moet op 1 of andere manier geautomatiseerd zijn)
Klinkt als werkverschaffing: ben je een halve dag bezig met intypen van je wachtwoord.
(of het moet op 1 of andere manier geautomatiseerd zijn)
Mensen snappen niet dat software zoals KeePass dat voor je genereert en dat je soort van copy+paste doet om je wachtwoord in te voeren. Dat is het essentie achter het verhaal waarom Azure dit nu wel ondersteund.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
