What could go wrong?

Mijn ouders loggen al zo lang als ik mij kan herinneren in op Windows zonder wachtwoord. Dat is praktisch voor hun zoon die wekelijks controleert op malware en updates. Dan hoeven ze er niet de hele tijd naast te blijven zitten.

Zelf heb ik wel een lokaal wachtwoord op mijn Windows computer. Dit is om bezoek uit mijn computer te houden, het wachtwoord is echter niet erg sterk maar dat hoeft ook niet. Soms tik ik het lokale wachtwoord per ongeluk in op een computer van een ander, dit is wel een probleem.

Volgens mij log ik in als eigenaar van mijn computer met Windows Hello, in dit geval alleen met een pincode. Dit is gebeurt tijdens de installatie, toen ik het gevoel kreeg, dat Microsoft bepaalde hoe ik mij computer mocht gebruiken.
Nu ik dit artikel zien, vraag ik mij af, wat is Windows Hello nu eigenlijk, en waarom is het inloggen met WH veiliger dan een gewoon wachtwoord. Ik heb erop gezocht, maar ik kan nergens duidelijkheid vinden wat de pincode nu veiliger maakt dan een wachtwoord.

Natuurlijk de bijkomende veiligheidskenmerken zoals biometrische gegevens en een hardware beveiligingssleutel, dat begrijpt iedereen, maar dat verklaart niet de veiligheid van alleen pincode versus wachtwoord.
Wel is mij duidelijk dat voor WH inloggen, een Microsoft Account verplicht is...

Altijd fijn als iemand reageert vanuit de onderbuik.

Lees je eens in, binnenkort gaan alle grote partijen zo werken.

Beetje vreemd dat ik dit hier moet plaatsen......:
https://support.microsoft.com/en-us/windows/learn-about-windows-hello-and-set-it-up-dae28983-8242-bb2a-d3d1-87c9d265a5f0

Volg de links en lees je in over het hoe en waarom.
En neem dan gelijk de tijd om 2FA en hardware key gerelateerde logins te checken. b.v. YubiKey ;)

Voor wie wachtwoordloos opstarten wil, zonder bijkomende poespas, is dit nog steeds mogelijk in Windows 10. Je maakt dan een locaal account aan en vult geen wachtwoord in. Let wel, wanneer je van de Windows Store gebruik wil maken, heb je een Microsoft account nodig en voor derden is het heel makkelijk om op je computer in te loggen en via je mail dingen te doen. Gebruik ook zeker niet de optie om je wachtwoorden in de browser te bewaren. Die zijn dan niet alleen voor hackers uit te lezen, maar voor iedereen die op je computer kan komen.

Het nut van alleen een pincode is mij ook nooit duidelijk geweest, buiten dat 4 cijfers makkelijk te onthouden zijn. Maar het aantal pogingen om er doorheen te komen wordt wel veel kleiner. Er is wel een steeds langer wordende vertraging ingebouwd, maar wie steeds maar 2 pogingen doet en een volgende keer verder gaat, komt er op den duur wel doorheen.

Een key of gezichtsherkenning maken het wel weer moeilijker, maar weet men de key te vinden of gebruikt men een foto. En ook de trucs voor vingerafdrukken zijn bekend. Maar de drempels worden wel steeds hoger voor de kwaadwillende en zijn laag voor de rechtmatige gebruiker.

Ik denk dat het vaak ook niet goed uitgelegd wordt.
Maar zoals ik het voornamelijk zie is dat het wachtwoord dat bij jouw "Microsoft account" hoort vanaf "elk device" (ongeacht van jou of niet) mee kan inloggen, eventueel met extra MFA configuratie wanneer ingeschakeld.

Windows Hello (for Business) maak je inderdaad bijvoorbeeld een Pincode aan, of je gebruikt gezichtsherkenning en met als fallback een pincode.
Echter deze Pincode wordt gekoppeld aan jouw Microsoft account specifiek voor jouw device waarop je dat moment registreert.
Daar zit het verschil in, die Pincode kan je niet mee op een ander device inloggen.
Wanneer je een tweede device koppelt aan jouw Microsoft account, zou je dus zelfs een andere Pincode kunnen gebruiken, of alsnog dezelfde, maar het blijft een feit dat je met die Pincode alleen op dat geregistreerde device kan inloggen.


Dus stel je voor, dat bijvoorbeeld via een "keylogger" jouw persoonlijke pincode van jouw device wordt gestolen, dan kan iemand daar eigenlijk niets mee, aangezien je niet met die Pincode kan inloggen op een ander device op via jouw account.

Dat maakt Windows Hello (for Business) dus "veiliger" dan continue inloggen met jouw Microsoft Account password.

Dit geldt tevens voor de biometrische beveiligingen, zoals gezichtsherkenning, het werkt alleen op de geregistreerde device.

Tevens wanneer je ingelogd bent met je Pincode, werkt het Single Sign On proces naar de rest van je Microsoft Services geinstalleerd op je device, zoals OneDrive/Teams/Skype etc, waardoor je niet meer je Microsoft Account password hoeft in te tikken.

Een pincode hoeft geen 4 cijfers te zijn, het mogen er ook meer zijn, in combinatie met letters.
Dan gaat de kans om het te raden wel erg omlaag.

MS bedoelt natuurlijk zwakke wachtwoorden die telkens opnieuw bij andere inlogs worden gebruikt en die door hackers later worden buitgemaakt bij een hack.

Waarom zou dit fout kunnen gaan? Misschien als je niet begrijpt wat HELLO nu eigenlijk is? Aan je reactie te zien, praat je nu over iets waar je geen kennis van hebt.

Het grote verschil is, een wachtwoord kan je traceren met keyloggers of gewoon mee kijken. Hierna kan je dit wachtwoord zelf hergebruiken of misbruiken op andere devices/services.

Een PIN code is specifiek per device. Als men dus de PIN code heeft, werkt dit alleen op dat device (vanuit gaande dat de PIN code uniek is er device).

En

Inderdaad, het wachtwoord is zo 2020, er zijn veiliger methoden en als je je verdiept in de technologie erachter zul je zien dat het helemaal geen slecht idee is.
Een analyse van vorig jaar van aanvallen op office laat zien dat er miljoenen pogingen waren en in een maand 1,2 miljoen geslaagd, waarvan 99,0 procent geen 2fa gebruikt......
bron:
https://www.zdnet.com/article/microsoft-99-9-of-compromised-accounts-did-not-use-multi-factor-authentication/

Prima, mooi dat Microsoft dit gaat doorvoeren. Wachtwoorden zijn als ze niet aangevuld worden met andere authenticatiemiddelen per definitie onveilig. Wachtwoorden zijn statisch en kunnen gekopieerd worden door anderen. Ook kiezen mensen dan de makkelijke weg door het kiezen van makkelijke herbruikbare wachtwoorden. Met deze aanpak is dat risico gemitigeerd.

Niet binnenkort hoor. In een Linuxomgeving is het al jaren gebruikelijk met ssh keys of Google authenticator.

Dat is geen onderbuik gevoel. Ze vervangen de ene foute methode met een andere foute methode, want dit is nog steeds geen 2FA. Het sterke van 2FA is juist dat het iets betreft 'dat je weet" en iets "dat je hebt".

Als iemand nu je hardware bemachtigd, of je e-mail account hackt, dan kan hij ook direct in je account. Deze zingen moeten dus niet i.p.v. het wachtwoord komen, maar er als aanvulling bovenop komen.

Dus je hebt het device (dat heb je) en je weet de pincode (dat weet je), volgens mij is dit dus perfect de 2FA.
Je hebt nog steeds alleen maar toegang vanuit dit device, zonder het device kan je nog steeds niets, aangezien de pincode uniek is (of zou moeten zijn per device).

Ja hardstikke irritant dat je dit soort opslag nergens in Windows kunt uitschakelen!
We hebben in vergaderruimtes van die grote TV's staan met ingebouwde Windows computer en die hebben ook geen
wachtwoord, de gebruiker wordt geacht dat ding aan te doen en dan meteen in te loggen op de "thuiswerk" oplossing
met 2FA. Maar keer op keer zijn er weer allerlei credentials en Microsoft accounts in die dingen opgeslagen, en kun je
de boel weer gaan cleanen. En dat is soms nog niet eens zo eenvoudig, bijv het 1e Microsoft account wat iemand op
zo'n computer gebruikt en (per ongeluk) "onthoudt" dat krijg je als die gastgebruiker niet meer verwijderd, dan moet je
eerst als Administrator inloggen dan kan dat weer wel.
Je zou hopen dat er een specifieke instelling is voor dit soort gebruik, ook voor bijvoorbeeld in bibliotheken enzo, maar nee.
Kennelijk zijn er belangrijker foefjes te verzinnen voor Microsoft dan dit soort dingen.
(ik krijg toch al het idee dat "1 computer die door meerdere mensen gebruikt wordt" steeds slechter ondersteund wordt
in Windows, dat werkte vroeger best goed maar tegenwoordig loop je steeds vaker tegen situaties aan waar er
impliciet vanuit gegaan wordt dat het een persoonlijk device met 1 gebruiker is!)

En ga nu even terug naar het artikel:

Wat Microsoft nu dus doet is 1 van de 2 factoren in 2FA schrappen. Nu heeft de aanvaller geen wachtwoord meer nodig, maar volstaat een SMS-swap of een foto van de eigenaar van het account. Het voordeel van 2FA is altijd geweest dat een aanvaller twee zaken te pakken moest zien te krijgen. Dat wordt weer teruggebracht tot 1 ding.

Peter

Toen mijn ouders voor het eerst Windows XP kochten, hebben we dat eerst met verschillende user accounts gedaan. Dat werkte voor geen meter.

Uiteindelijk had elk user account zijn eigen Thunderbird profiel, waarvan mijn moeder en vader eenzelfde mailbox deelden vanwege historische redenen (maar één mailbox mogelijk in Eudora Lite). Mijn vader had ook nog een mailbox voor vrijwilligerswerk wat in een extra user account zat. En ik had nog een account als een soort van administrator. Met een wachtwoord erop.

Er was toen een freeware programma dat vanuit het account van mijn vader kon kijken of er mail was in de andere accounts. Zoals ik al zei, het werkte voor geen meter en nu zit alles samen in één Thunderbird profiel met meerdere mailboxen. Dat werkt wel.

Van dit Microsoft Account gedoe krijg ik geen warme gevoelens. Ik zit mij zelfs heftig te oriënteren op alternatieve besturingssystemen als het Microsoft Account verplicht wordt door Microsoft. Ik wil dit niet.

Inderdaad! Daarom heet het ook two-factor authentication of zelfs multi-factor authentication als je het doortrekt.


Dat is de waanzin van deze Microsoft 'oplossing'. Wat halen ze zich in hun hoofd.

@Peter Inderdaad; idem.

Nee nee nee nee nee nee nee nee nee nee nee nee nee nee nee nee!
Je ouders gebruiken dus GEEN beveiliging terwijl deze wijziging in Windows er voor zorgt dat je beveiliging via een ander apparaat loopt. Om de vergelijking te trekken: jouw ouders hebben de hekken rond alle kooien in de dierentuin verwijderd, inclusief die van de leeuwen terwijl Microsoft zojuist een gracht om fort Knox heeft gebouwd waarbij de enige brug die eroverheen past meegenomen wordt.

Mijn ouders hebben geen ander apparaat. Ja, mijn vader heeft een iPhone 6, wat een afdankertje is van mijn zus. Hierop staat geen Apple account maar Facebook en SMS-en werkt wel.

Ze hebben ook geen leeuwen of andere carnivoren op de computer. Daar scan ik elke week op. Voor mijn ouders is dit geen verbetering. Gelukkig heeft Windows 10 nog enkele jaren ondersteuning. Daarna zien we wel weer. Ik hoop dat Windows te gebruiken blijft voor mijn vader want hij leert erg slecht nieuwe dingen.

Anoniem 08:39

De ironie.... Geen MS account willen hebben, want data vergaring....

Maar dan wel FB gebruiken... ;)

Sorry, ik wilde Facetime schrijven. Mijn vader heeft ervaring met Zoom, Teams en Facetime. Dat is meer ervaring als ik heb. Maar hij logt in zonder Microsoft Account en de iPhone werkt zonder Apple ID. Er is wel een Microsoft Account met SMS, want dat kwam verplicht met MS Office 2019. Het is duidelijk in welke richting we gepusht worden door Microsoft. En het is geen 2FA zoals al opgemerkt in deze draad.

Anoniem 08:39

De 3 grote techbedrijven doen allemaal hetzelfde. Ze willen je koppelen aan een account, zodat ze een goed overzicht van je krijgen.
Of het nu MS, Apple of Google is. het is 1 pot nat. En zonder account worden je bepaalde zaken erg lastig gemaakt. b.v. een app store.

En voor Zoom en Teams heb je voor zover ik weet een emailadres nodig, dus ook daar wordt je gevolgd.
En als je voor Office 2019 een MS account aan hebt moeten maken, zit je al 'in het systeem; ;)

Er is een leuke (comedy) video hierover beschikbaar door de Tonight Show:

https://youtu.be/B-oRRi13S7k

The Tonight show is meer 'drama'..... ;)