Door souplost: Microsoft probeert de aandacht de verleggen. Het grootste probleem is een unattended drive-by download. Zo'n beetje elke infectie begint hiermee. Laten ze dat eerst onmogelijk maken en natuurlijk het updatemechanisme fixen . Of te wel hand in eigen boezem steken want het ligt niet aan de gebruikers.
Heeft natuurlijk helemaal niets met dit artikel te maken en dus geen enkele toevoeging. Maar we hebben het hier over "souplost" en deze opmerking was te verwachten.
Sommige zien nu eenmaal meteen een rode vlag bij alles van Microsoft en duiken er altijd direct op. Zie hier een prachtig voorbeeld ervan.
Trouwens dienst waarbij het misbruikt gedaan was, is ook een web-based variant, dus browser en OS onafhankelijk. Dus is ook platform afhankelijk. Nu werkt Office 365 cliënt wel het beste met Windows, maar er is ook een Mac cliënt (al werkt die wel iets anders). Dus een drive by download zoals je er bij haalt, heeft hier niets mee te maken.
Door Anoniem: Waarom moet het e-mail adres ook de gebruikersnaam zijn.
Meeste bedrijven hebben de e-mail adressen van medewerkers op hun website.
Stap 1 gebruikersnaam is dus makkelijk.
Die stap haal je m.i. weg door een andere inlognaam te moeten gebruiken.
Lost niet zoveel op, maar kan technisch wel.
Maar hoe meer iemand moet onthouden, hoe complexer het is/wordt. SSO maakt het juist allemaal een stuk veiliger.
Tegenwoordig gebruikt men juist dit soort centrale / cloud diensten tegen een centrale authenticatie bron via bijvoorbeeld SAML. Het domain is dan juist de identifier naar welke tenant of organisatie de authenticatie gaat. @mijndomain.nl is dus van groot belang en moet uniek zijn in de omgevingen.
Nu kan het natuurlijk zijn, dat mijn email adres: pietje.puk@mijndomain.nl is, maar mijn inlognaam is 964532@mijndomain.nl. Maar dit is een erg gebruikers onvriendelijke manier van werken, maar technisch kan dit wel.
Door Anoniem:
jij bent veel te optimistisch over de zinnigheid van organisaties. als dingen MFA worden bij een gemiddelde organisatie, dan is het niet alleen een 2e factor die erbij komt; maar zal je waarschijnlijk nog steeds net zo hard een vervelend WW daarbij moeten gaan gebruiken!
Ik ben het er juist wel mee eens. MFA is vaak alleen voor untrusted (bijvoorbeeld untrusted locaties) noodzakelijk, bijvoorbeeld thuis werken. Een goede MFA oplossing is voor het interne netwerk vaak niet noodzakelijk, dus voor de meeste gebruikers niet dagelijks nodig. Tenzij je bijvoorbeeld tijdelijk meer rechten nodig hebt om je werkzaamheden te doen.
Een vervelend wachtwoord, zoals aangegeven, is gewoon onwerkbaar voor een gebruiker (of admin). Als ik het gebruikte wachtwoord 20-30 keer per dag zou moeten gebruikenm draagvlak meteen door de toilet heen..... Dan wordt ik daar niet vrolijk van, gebruikers helemaal niet. Die zullen dan juist een 2020-03 toevoeging doen op hun wachtwoord. Je mag raden wat het wachtwoord dan volgende maand is.
Dit is juist ook 1 van de redenen waarom oa Microsoft Passwordless inloggen zo aan het promoten is met bijvoorbeeld Windows HELLO.
Je moet je initieel inloggen met je UserID/Wachtwoord en een MFA, en daarna configureer je een PIN Code voor dat device om je zelf aan te melden. Je hebt op dat device dus eigenlijk nooit meer je wachtwoord nodig, aangezien je credentials met de PIN unlocked worden. Een PIN code is veel gemakkelijker te onthouden, en maar is vooral device based. Dus al hebben ze je PIN code, dan kunnen ze er alleen iets mee, op dat device. Dan icm SSO op Azure AD (al dan niet met MFA), en je hebt geen wachtwoord meer nodig op je device.