Tja Office 365 heeft gewoon auditing tools waarmee je kan zien wat men uitspookt. Het is niet erg om je eigen beheerders eens een keer te controleren. Niet omdat je ze niet vertrouwt, maar vanwege dit soort zaken.

1 optie laten ze weg. Het was ook voorkomen door in dit geval een password generator te gebruiken. Dan had dat password spraying totaal niet gewerkt.

Microsoft probeert de aandacht de verleggen. Het grootste probleem is een unattended drive-by download. Zo'n beetje elke infectie begint hiermee. Laten ze dat eerst onmogelijk maken en natuurlijk het updatemechanisme fixen . Of te wel hand in eigen boezem steken want het ligt niet aan de gebruikers.

Ik zou eerder voor MFA gaan. Lost meer problemen direct op.

Als ik namelijk een een wachtwoord "ED]\qT2j9P>{@3fQ" moet intypen om in te loggen op mijn Windows machine en by iedere unlock van mij werkstation. Dan ga ik niet blij worden.

Bij sommige bedrijven is mijn wachtwoord ook minimaal 12 tekens en moet ik deze iedere 30 dagen veranderen.

Geef mij dan maar MFA.

Waarom moet het e-mail adres ook de gebruikersnaam zijn.
Meeste bedrijven hebben de e-mail adressen van medewerkers op hun website.
Stap 1 gebruikersnaam is dus makkelijk.
Die stap haal je m.i. weg door een andere inlognaam te moeten gebruiken.

jij bent veel te optimistisch over de zinnigheid van organisaties. als dingen MFA worden bij een gemiddelde organisatie, dan is het niet alleen een 2e factor die erbij komt; maar zal je waarschijnlijk nog steeds net zo hard een vervelend WW daarbij moeten gaan gebruiken!

Dat is security by obscurity en symptoom bestrijding. Dan krijg je dus allerleid Post-Its met het echte login account. Investeer gewoon in goede beveiliing met MFA, hardware tokens (passwordless!), automatische threat en identity protection etc. etc. afhankelijk van het risico profiel.

Onderbouwing? Want net door Erik van Straaten wat nagelopen en van alles is daarvoor beschikbaar,
Niet op de ouderwetse manier van spy-software op eigen apparatuur installeren maar als dienst af te nemen.

Heeft natuurlijk helemaal niets met dit artikel te maken en dus geen enkele toevoeging. Maar we hebben het hier over "souplost" en deze opmerking was te verwachten.
Sommige zien nu eenmaal meteen een rode vlag bij alles van Microsoft en duiken er altijd direct op. Zie hier een prachtig voorbeeld ervan.

Trouwens dienst waarbij het misbruikt gedaan was, is ook een web-based variant, dus browser en OS onafhankelijk. Dus is ook platform afhankelijk. Nu werkt Office 365 cliënt wel het beste met Windows, maar er is ook een Mac cliënt (al werkt die wel iets anders). Dus een drive by download zoals je er bij haalt, heeft hier niets mee te maken.

Lost niet zoveel op, maar kan technisch wel.
Maar hoe meer iemand moet onthouden, hoe complexer het is/wordt. SSO maakt het juist allemaal een stuk veiliger.
Tegenwoordig gebruikt men juist dit soort centrale / cloud diensten tegen een centrale authenticatie bron via bijvoorbeeld SAML. Het domain is dan juist de identifier naar welke tenant of organisatie de authenticatie gaat. @mijndomain.nl is dus van groot belang en moet uniek zijn in de omgevingen.

Nu kan het natuurlijk zijn, dat mijn email adres: pietje.puk@mijndomain.nl is, maar mijn inlognaam is 964532@mijndomain.nl. Maar dit is een erg gebruikers onvriendelijke manier van werken, maar technisch kan dit wel.

Ik ben het er juist wel mee eens. MFA is vaak alleen voor untrusted (bijvoorbeeld untrusted locaties) noodzakelijk, bijvoorbeeld thuis werken. Een goede MFA oplossing is voor het interne netwerk vaak niet noodzakelijk, dus voor de meeste gebruikers niet dagelijks nodig. Tenzij je bijvoorbeeld tijdelijk meer rechten nodig hebt om je werkzaamheden te doen.

Een vervelend wachtwoord, zoals aangegeven, is gewoon onwerkbaar voor een gebruiker (of admin). Als ik het gebruikte wachtwoord 20-30 keer per dag zou moeten gebruikenm draagvlak meteen door de toilet heen..... Dan wordt ik daar niet vrolijk van, gebruikers helemaal niet. Die zullen dan juist een 2020-03 toevoeging doen op hun wachtwoord. Je mag raden wat het wachtwoord dan volgende maand is.

Dit is juist ook 1 van de redenen waarom oa Microsoft Passwordless inloggen zo aan het promoten is met bijvoorbeeld Windows HELLO.
Je moet je initieel inloggen met je UserID/Wachtwoord en een MFA, en daarna configureer je een PIN Code voor dat device om je zelf aan te melden. Je hebt op dat device dus eigenlijk nooit meer je wachtwoord nodig, aangezien je credentials met de PIN unlocked worden. Een PIN code is veel gemakkelijker te onthouden, en maar is vooral device based. Dus al hebben ze je PIN code, dan kunnen ze er alleen iets mee, op dat device. Dan icm SSO op Azure AD (al dan niet met MFA), en je hebt geen wachtwoord meer nodig op je device.

Daarom gebruik ik bitwarden. Klinkt onveilig, maar het werkt wel.

Werkt dit ook als ik 20 keer mijn desktop moet unlocken per dag?

Helpt bitwarden mij ook hiermee? Ik zie namelijk nog niet hoe dit "werkt" tegen het misbruikte probleem.