image

Microsoft test wachtwoordloos inloggen op Azure AD met usb-sleutel

vrijdag 12 juli 2019, 14:42 door Redactie, 11 reacties

Microsoft is een open test begonnen waarbij organisaties die van Azure Active Directory (Azure AD) gebruikmaken hun gebruikers via een usb-beveiligingssleutel op apps en diensten kunnen laten inloggen. Dit moet het inloggen via wachtwoorden vervangen, want dat is volgens Microsoft geen effectieve beveiligingsmaatregel meer.

"Elke dag stappen meer en meer van onze klanten over op clouddiensten en -applicaties. Ze moeten weten dat de data in deze diensten veilig is. Helaas zijn wachtwoorden geen effectieve beveiligingsmaatregel meer", zegt Alex Simons van Microsoft. Hij wijst naar onderzoek waaruit zou blijken dat 81 procent van de succesvolle cyberaanvallen met gecompromitteerde gebruikersnamen en wachtwoorden begint.

"Het is duidelijk dat we onze klanten authenticatie-opties moeten bieden die veilig en eenvoudig te gebruiken zijn, zodat ze op vertrouwelijke wijze informatie kunnen benaderen zonder dat ze bang hoeven te zijn dat hackers hun accounts overnemen", gaat Simons verder. Wachtwoordloos inloggen moet volgens Microsoft het aantal gekaapte accounts aanzienlijk verminderen.

Azure AD-gebruikers kunnen nu van een FIDO2-beveiligingssleutel gebruikmaken om in te loggen, alsmede de Microsoft Authenticator-app of Windows Hello. De nieuwe inlogmethodes zijn via een public preview beschikbaar gemaakt. Beheerders kunnen via het Azure AD-beheerdersportaal gebruikers en groepen aangeven die via een FIDO-beveiligingssleutel en Microsoft Authenticator kunnen inloggen.

Om via de beveiligingssleutel op Windows 10-machines in te loggen moet wel de laatste versie van Microsoft Edge of Mozilla Firefox zijn geïnstalleerd. Simons merkt op dat Microsoft vier stappen volgt om wachtwoorden te elimineren. Door het aanbieden van wachtwoordalternatieven en vervolgens het overstappen op wachtwoordloos inloggen wil de softwaregigant een omgeving zonder wachtwoorden faciliteren.

Image

Reacties (11)
12-07-2019, 15:24 door ph-cofi
Is dit de oplossing voor het probleem? "Iets dat je weet" vervangen door "iets dat je hebt (verloren)", gaat nieuwe nadelen opleveren. De stelling lijkt me niet in alle gevallen waar:
zonder dat ze bang hoeven te zijn dat hackers hun accounts overnemen

Goedkoper alternatief? standaard wachtwoordpolicies instellen in AD (zoals eisen aan lengte, samenstelling, uniciteit, niet voorkomen in haveibeenpwnd, ...).

Is niet het gewenste bedrijfsbeleid, zeker ;)
12-07-2019, 18:12 door Anoniem
Nee Microsoft, de key moet niet het wachtwoord vervangen maar moet gebruikt worden als 2FA.
Sukkels.
12-07-2019, 19:02 door Anoniem
het zou opzich goedwerken maar MS zal wel weer de hoofdprijsvragen voor deze stick, ik heb al meer met dit soort beveiliging gewerkt, vaak moet je dan toch wel een code of iets dergelijk opgeven waar door je het systeem krijgt van een keten is net zo sterk als de zwaste schakel.
als je dit combineert met een vingerscan afdruk dan maak je weer een stap of een iris scan,
13-07-2019, 12:55 door Anoniem
Als iedereen zich nu eens inleest in de materie, in plaats van schuimbekkend te reageren op alles MS.

Dit soort keys worden al overal gebruikt, en werken prima waarvoor ze bedoelt zijn. En gezien wachtwoorden domweg niet werken bij gebruikers, zijn dit soort alternatieven alleen maar prima.

En nee, MS maakt deze keys niet zelf, en je kunt ze gewoon direct bij de fabrikant bestellen.....
15-07-2019, 09:00 door Anoniem
Door Anoniem: Als iedereen zich nu eens inleest in de materie, in plaats van schuimbekkend te reageren op alles MS.

Dit soort keys worden al overal gebruikt, en werken prima waarvoor ze bedoelt zijn. En gezien wachtwoorden domweg niet werken bij gebruikers, zijn dit soort alternatieven alleen maar prima.

En nee, MS maakt deze keys niet zelf, en je kunt ze gewoon direct bij de fabrikant bestellen.....

Juist.

Ik geloof ook dat deze oplossing een iets betere manier is dan wachtwoorden. Natuurlijk zijn er nog veel veiliger methodes, maar dit is een simpele manier om beetje veiliger te worden.

Over inbreken op accounts met verloren usb sleutels, dat is geen schaalbare aanval. Wachtwoorden geautomatiseerd aanvallen is dat wel.
15-07-2019, 11:06 door Anoniem
Het lijkt mij beter om juist minder naar de cloud (lees: iemand anders zijn computer) te gaan. Vervolgens kopieer je al je data op de servers van MS of Amazon oid. Wie zegt dat dat zo veilig is?

De enige die je kan vertrouwen met je data dat ben jezelf.
15-07-2019, 12:39 door Anoniem
Door Anoniem: Het lijkt mij beter om juist minder naar de cloud (lees: iemand anders zijn computer) te gaan. Vervolgens kopieer je al je data op de servers van MS of Amazon oid.
Is een mogelijkheid, maar dit artikel gaat alleen over inloggen. Dit kan net zo goed voor interne websites gebruikt worden. De data hoeft dus helemaal niet bij MS of Amazon geplaatst te worden.



Wie zegt dat dat zo veilig is?

De enige die je kan vertrouwen met je data dat ben jezelf.
Zie zegt jij dat jij dit allemaal beter kan doen dan een Microsoft, Amazon of Google?
15-07-2019, 14:42 door Anoniem
en als je je usb keystuk of kwijt bent mag je een nieuwe kopen lekker ze gaan lekker verdiennen
15-07-2019, 17:49 door Anoniem
Door Anoniem: en als je je usb keystuk of kwijt bent mag je een nieuwe kopen lekker ze gaan lekker verdiennen

Wie gaat hier aan verdiepen? Microsoft niet, aangezien die geen FIDO2 keys leveren.
Het zal dus voornamelijk bedrijfskosten zijn. Eigenlijk het zelfde als je een laptop of gewone USB stick verliest. Kost ook geld.
17-07-2019, 12:01 door Anoniem
Weet iemand welke USB keys allemaal supported zijn?
17-07-2019, 14:31 door Anoniem
Door Anoniem: Weet iemand welke USB keys allemaal supported zijn?
met FIDO2 ondersteuning?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.