Microsoft introduceert Windows 11-policy voor wachtwoordloos inloggen
Microsoft heeft een policy voor Windows 11 geïntroduceerd waarmee organisaties kunnen instellen dat personeel zonder wachtwoord op systemen kan inloggen. Dit moet volgens het techbedrijf bijdragen aan een wereld zonder wachtwoorden. "Wachtwoorden zijn inherent onveilig, onhandig en een geliefd doelwit voor aanvallen. Vorig jaar traceerde Microsoft elke seconde 1287 wachtwoordaanvallen. De afgelopen twaalf maanden zagen we gemiddeld meer dan vierduizend wachtwoordaanvallen per seconde", zegt Microsofts Sayali Kale.
Organisaties die van Windows 11 versie 22H2 gebruikmaken kunnen nu door middel van de 'EnablePasswordlessExperience' policy op beheerde systemen in een Microsoft Entra ID-omgeving instellen dat gebruikers niet meer met een wachtwoord kunnen inloggen. In plaats daarvan wordt er gebruikgemaakt van een fysieke beveiligingssleutel, pincode, Windows Hello of vingerafdruk. "Dit helpt organisaties en gebruikers om geleidelijk afscheid van wachtwoorden te nemen", aldus Kale.
Reacties (22)
24-10-2023, 12:23 door
Anoniem
Je kan inloggen met een pincode ipv een wachtwoord? Maar hoe is dat veiliger, ik neem aan dat een pincode slechts uit numerieke karakters kan bestaan?
24-10-2023, 12:27 door
Anoniem
Door Anoniem: Je kan inloggen met een pincode ipv een wachtwoord? Maar hoe is dat veiliger, ik neem aan dat een pincode slechts uit numerieke karakters kan bestaan?
Volgens mij is een pin niet remote te gebruiken.
24-10-2023, 12:27 door
Anoniem
Wachtwoorden zijn inherent onveilig, onhandig en een geliefd doelwit voor aanvallen
[...]
In plaats daarvan wordt er gebruikgemaakt van een fysieke beveiligingssleutel, pincode, Windows Hello of vingerafdruk.
[...]
In plaats daarvan wordt er gebruikgemaakt van een fysieke beveiligingssleutel, pincode, Windows Hello of vingerafdruk.
Dus een pincode of vingerafdruk zijn inherent veiliger dan een wachtwoord?
Een pincode is numeriek en beperkt in lengte.
Een wachtwoord is meestal langer en bevat ook alfa-numerieke tekens, in hoofd- en kleine letters en speciale tekens. Of kan die in ieder geval bevatten.
Vwb een vingerafdruk: die kan niet "gestolen" of gekopieerd worden?
Want mensen laten nergens vingerafdrukken achter?
24-10-2023, 12:29 door
Anoniem
Door Anoniem: Je kan inloggen met een pincode ipv een wachtwoord? Maar hoe is dat veiliger, ik neem aan dat een pincode slechts uit numerieke karakters kan bestaan?
Een pincode is devicegebonden. Een wachtwoord niet altijd, deze kan immers ook toegang geven tot de 'online' omgeving via een ander device.
24-10-2023, 12:42 door
_R0N_
Door Anoniem:
Dus een pincode of vingerafdruk zijn inherent veiliger dan een wachtwoord?
Een pincode is numeriek en beperkt in lengte.
Een wachtwoord is meestal langer en bevat ook alfa-numerieke tekens, in hoofd- en kleine letters en speciale tekens. Of kan die in ieder geval bevatten.
Vwb een vingerafdruk: die kan niet "gestolen" of gekopieerd worden?
Want mensen laten nergens vingerafdrukken achter?
Wachtwoorden zijn inherent onveilig, onhandig en een geliefd doelwit voor aanvallen
[...]
In plaats daarvan wordt er gebruikgemaakt van een fysieke beveiligingssleutel, pincode, Windows Hello of vingerafdruk.
[...]
In plaats daarvan wordt er gebruikgemaakt van een fysieke beveiligingssleutel, pincode, Windows Hello of vingerafdruk.
Dus een pincode of vingerafdruk zijn inherent veiliger dan een wachtwoord?
Een pincode is numeriek en beperkt in lengte.
Een wachtwoord is meestal langer en bevat ook alfa-numerieke tekens, in hoofd- en kleine letters en speciale tekens. Of kan die in ieder geval bevatten.
Vwb een vingerafdruk: die kan niet "gestolen" of gekopieerd worden?
Want mensen laten nergens vingerafdrukken achter?
Wachtwoord is het enige authenticatie middel dat op afstand gebruikt kan worden. Dus ja een pin-code is daarmee veiliger dan een wachtwoord.
24-10-2023, 12:47 door
Anoniem
Organisaties die van Windows 11 versie 22H2 gebruikmaken kunnen nu door middel van de 'EnablePasswordlessExperience' policy [...]
Wat is dat toch met Microsoft en andere IT-bedrijven dat ze de meest uiteenlopende dingen met experience aanduiden? Als je het maar kan ervaren is het een experience kennelijk. Goed, ik heb experience, dus ga ik maar even naar de experience om een experience te experience. Daar bestaat al heel lang een woord voor: smurf.
Microsoft, stop eens met dat infantiele taalgebruik en noem die instelling "EnablePasswordlessLogin", want daar gaat het over. Hoe ik dat vervolgens ervaar ligt bij mij.
24-10-2023, 13:19 door
Anoniem
Door Anoniem:
Uh device gebonden? De P staat voor Personal, het is geen DIN (Device)? De PIN staat los van het device en is bedoeld om de gebruiker te identificeren. 802.1x doet device authenticatie.Door Anoniem: Je kan inloggen met een pincode ipv een wachtwoord? Maar hoe is dat veiliger, ik neem aan dat een pincode slechts uit numerieke karakters kan bestaan?
Een pincode is devicegebonden. Een wachtwoord niet altijd, deze kan immers ook toegang geven tot de 'online' omgeving via een ander device.
24-10-2023, 13:44 door
Anoniem
Door Anoniem:
Door Anoniem:
Uh device gebonden? De P staat voor Personal, het is geen DIN (Device)? De PIN staat los van het device en is bedoeld om de gebruiker te identificeren. 802.1x doet device authenticatie.Door Anoniem: Je kan inloggen met een pincode ipv een wachtwoord? Maar hoe is dat veiliger, ik neem aan dat een pincode slechts uit numerieke karakters kan bestaan?
Een pincode is devicegebonden. Een wachtwoord niet altijd, deze kan immers ook toegang geven tot de 'online' omgeving via een ander device.De PIN waar Microsoft het over heeft, heeft betrekking tot Authenticatie via FIDO2 en WebAuthn, deze is wel degelijk apparaat gebonden. Net als Windows Hello.
24-10-2023, 14:01 door
buttonius
Ik begrijp niet hoe kan iemand, die - kennelijk - in computer security werkt, kan beweren dat inloggen met een pincode veiliger is dan inloggen met een password. Zo gaan we toch van kwaad naar erger?
De andere alternatieven zijn zeker minder onveilig, maar er staat of tussen al die mogelijkheden; dus kennelijk kan je straks op je Windows 11 computer inloggen met enkel een pincode. Mensen staan er niet om bekend dat ze, bij een keuze, de veiligste optie kiezen.
De andere alternatieven zijn zeker minder onveilig, maar er staat of tussen al die mogelijkheden; dus kennelijk kan je straks op je Windows 11 computer inloggen met enkel een pincode. Mensen staan er niet om bekend dat ze, bij een keuze, de veiligste optie kiezen.
24-10-2023, 14:10 door
Anoniem
Door Anoniem: Je kan inloggen met een pincode ipv een wachtwoord? Maar hoe is dat veiliger, ik neem aan dat een pincode slechts uit numerieke karakters kan bestaan?
De PIN is alleen van toepassing op een specifiek device. Als je een PIN weet moet je ook het device hebben in tegenstelling tot als je het wachtwoord weet van de medewerker.
Een PIN is in zoverre dus veiliger dat het de toegang sterk beperkt tot één device. Er vanuit gaan dat medewerkers niet eenzelfde PIN op meerdere device gebruikt.
24-10-2023, 14:57 door
Anoniem
Door Anoniem:
Door Anoniem:
Uh device gebonden? De P staat voor Personal, het is geen DIN (Device)? De PIN staat los van het device en is bedoeld om de gebruiker te identificeren. 802.1x doet device authenticatie.Door Anoniem: Je kan inloggen met een pincode ipv een wachtwoord? Maar hoe is dat veiliger, ik neem aan dat een pincode slechts uit numerieke karakters kan bestaan?
Een pincode is devicegebonden. Een wachtwoord niet altijd, deze kan immers ook toegang geven tot de 'online' omgeving via een ander device.Succes met het inloggen op een ander device als je gebruik wilt maken van gebruikersnaam + pin. Dit gaat no way werken, de PIN die in dit artikel wordt bedoelt is weldegelijk device gebonden, net als bijvoorbeeld biometrische ontgrendeling (want Windows Hello).
24-10-2023, 15:00 door
Anoniem
Begrijp ook niet waarom een vingerafdruk geaccepteerd wordt. Al jaren is bekend dat je deze met siliconen na kunt maken en je dus aanvullende eisen moet stellen aan de controle op echtheid (zoals meten hartslag).
Daarnaast zijn in de loop der jaren op security.nl diverse berichten verschenen vanuit verschillende landen dat mensen ook door opsporingsautoriteiten gedwongen kunnen worden om hun vingerafdruk af te geven, terwijl dat niet kan voor hetgeen je moet onthouden.
Daarnaast zijn in de loop der jaren op security.nl diverse berichten verschenen vanuit verschillende landen dat mensen ook door opsporingsautoriteiten gedwongen kunnen worden om hun vingerafdruk af te geven, terwijl dat niet kan voor hetgeen je moet onthouden.
24-10-2023, 16:06 door
Anoniem
Door Anoniem:
Dat geldt ook voor wachtwoorden verschil is dat als je wachtwoorden niet herbruikt je veel meer combinaties hebt om mee te werken dan een PIN. En als je denkt dat al die mensen die nu al onveilig met hun gegevens omgaan een PIN code wel kunnen onthouden en het niet ergens gaan noteren dan denk ik dat je het allemaal beetje te optimistisch ziet.Door Anoniem: Je kan inloggen met een pincode ipv een wachtwoord? Maar hoe is dat veiliger, ik neem aan dat een pincode slechts uit numerieke karakters kan bestaan?
Een PIN is in zoverre dus veiliger dat het de toegang sterk beperkt tot één device. Er vanuit gaan dat medewerkers niet eenzelfde PIN op meerdere device gebruikt.En omdat PIN niet wordt getransmit (zeggen ze) naar de beheer dashboard kun je ook nooit hergebruik tegenhouden wat je met wachtwoorden wel kunt.
Waar het in de kern om gaat is dat gemiddeld mens gewoon niet vertrouwd kan worden met enige vorm van eigen sleutel, toegangs beheer.
24-10-2023, 16:19 door
Anoniem
Door Anoniem:
Door Anoniem: Je kan inloggen met een pincode ipv een wachtwoord? Maar hoe is dat veiliger, ik neem aan dat een pincode slechts uit numerieke karakters kan bestaan?
Volgens mij is een pin niet remote te gebruiken.Dat klopt, windows hello maakt gebruikt van de TPM chip die zich op het apparaat bevindt.
the Windows Hello for Business implementation takes advantage of onboard TPM hardware to generate and protect keys.
24-10-2023, 16:33 door
Anoniem
Door buttonius: Ik begrijp niet hoe kan iemand, die - kennelijk - in computer security werkt, kan beweren dat inloggen met een pincode veiliger is dan inloggen met een password. Zo gaan we toch van kwaad naar erger?
Als een PIN alleen maar een wachtwoord met (meestal) minder tekens was zou je gelijk hebben. Hier een uitleg van de verschillen (de context is Windows Hello maar dat zal niet alleen daarvoor gelden):https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-why-pin-is-better-than-password
24-10-2023, 16:48 door
Anoniem
Door Anoniem: Begrijp ook niet waarom een vingerafdruk geaccepteerd wordt. Al jaren is bekend dat je deze met siliconen na kunt maken en je dus aanvullende eisen moet stellen aan de controle op echtheid (zoals meten hartslag).
Een op wachtwoorden gebaseerde aanval kan uitgevoerd worden vanuit een ver land zonder enige fysieke nabijheid te hoeven regelen. Voor een aanval met een vingerafdruk moet men heel wat dichterbij komen en heel wat meer moeite doen. De meeste bedrijven en organisaties zijn helemaal niet interessant genoeg voor die extra moeite. Als ze wel die extra moeite waard zijn dan weten ze (mag ik hopen) zelf ook wel dat ze interessant zijn en dat ze beter dan gemiddeld moeten nadenken over hoe ze zichzelf beschermen.
24-10-2023, 19:46 door
Anoniem
Door Anoniem:
https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-why-pin-is-better-than-password
Door buttonius: Ik begrijp niet hoe kan iemand, die - kennelijk - in computer security werkt, kan beweren dat inloggen met een pincode veiliger is dan inloggen met een password. Zo gaan we toch van kwaad naar erger?
Als een PIN alleen maar een wachtwoord met (meestal) minder tekens was zou je gelijk hebben. Hier een uitleg van de verschillen (de context is Windows Hello maar dat zal niet alleen daarvoor gelden):https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-why-pin-is-better-than-password
Dus eigenlijk hebben ze het over een lokaal wachtwoord. Wat eigenlijk al veel langer bestaat.
Ze noemen het allen pin. Gewoon omdat dat de gebruikers niet in de war brengt.
25-10-2023, 12:22 door
Anoniem
Door Anoniem:
Als je het maar kan ervaren is het een experience kennelijk. Goed, ik heb experience, dus ga ik maar even naar de experience om een experience te experience. Daar bestaat al heel lang een woord voor: smurf.
Microsoft, stop eens met dat infantiele taalgebruik en noem die instelling "EnablePasswordlessLogin", want daar gaat het over. Hoe ik dat vervolgens ervaar ligt bij mij.
Dat komt omdat het bij Linux al jaren gebruikelijk is om alleen met ssh keys en 1x een passphrase in te loggen. Organisaties die van Windows 11 versie 22H2 gebruikmaken kunnen nu door middel van de 'EnablePasswordlessExperience' policy [...]
Wat is dat toch met Microsoft en andere IT-bedrijven dat ze de meest uiteenlopende dingen met experience aanduiden? Als je het maar kan ervaren is het een experience kennelijk. Goed, ik heb experience, dus ga ik maar even naar de experience om een experience te experience. Daar bestaat al heel lang een woord voor: smurf.
Microsoft, stop eens met dat infantiele taalgebruik en noem die instelling "EnablePasswordlessLogin", want daar gaat het over. Hoe ik dat vervolgens ervaar ligt bij mij.
Het moet dus lijken of zij het wiel hebben uitgevonden, terwijl ze hopeloos achterlopen op dit gebied. Standaard verhaal.
Hier bij ons (unix groep grote ict dienstverlener) kwam er zo'n security gast binnen die vereiste dat er een wachtwoord + MFA moest komen. Hij begreep er niks van dat wij geen wachtwoorden gebruiken. Linux != windows gaat er maar moeilijk in.
25-10-2023, 12:29 door
Anoniem
Door Anoniem:
Dus eigenlijk hebben ze het over een lokaal wachtwoord. Wat eigenlijk al veel langer bestaat.
Ze noemen het allen pin. Gewoon omdat dat de gebruikers niet in de war brengt.
Ja zo kennen we Microsoft, daarom verbergen ze ook extensies in de filemanager, want de gebruiker is dom.Door Anoniem:
https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-why-pin-is-better-than-password
Door buttonius: Ik begrijp niet hoe kan iemand, die - kennelijk - in computer security werkt, kan beweren dat inloggen met een pincode veiliger is dan inloggen met een password. Zo gaan we toch van kwaad naar erger?
Als een PIN alleen maar een wachtwoord met (meestal) minder tekens was zou je gelijk hebben. Hier een uitleg van de verschillen (de context is Windows Hello maar dat zal niet alleen daarvoor gelden):https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-why-pin-is-better-than-password
Dus eigenlijk hebben ze het over een lokaal wachtwoord. Wat eigenlijk al veel langer bestaat.
Ze noemen het allen pin. Gewoon omdat dat de gebruikers niet in de war brengt.
26-10-2023, 11:39 door
Anoniem
Door Anoniem:
De PIN is alleen van toepassing op een specifiek device. Als je een PIN weet moet je ook het device hebben in tegenstelling tot als je het wachtwoord weet van de medewerker.
Een PIN is in zoverre dus veiliger dat het de toegang sterk beperkt tot één device. Er vanuit gaan dat medewerkers niet eenzelfde PIN op meerdere device gebruikt.
Door Anoniem: Je kan inloggen met een pincode ipv een wachtwoord? Maar hoe is dat veiliger, ik neem aan dat een pincode slechts uit numerieke karakters kan bestaan?
De PIN is alleen van toepassing op een specifiek device. Als je een PIN weet moet je ook het device hebben in tegenstelling tot als je het wachtwoord weet van de medewerker.
Een PIN is in zoverre dus veiliger dat het de toegang sterk beperkt tot één device. Er vanuit gaan dat medewerkers niet eenzelfde PIN op meerdere device gebruikt.
Ja maar daar zit meteen de grote makke van dit systeem! Microsoft gaat er van uit dat een gebruiker "een device" heeft.
Wij hebben op het werk flexplekken, met op iedere plek een vaste PC.
Dat werkte "vroeger" prima, roaming profiles enzo. Tegenwoordig is dat een bezoeking.
Je moet de eerste keer inloggen met je wachtwoord en dan een pincode instellen.
Nou je snapt wel dat iedereen op alle computers dezelfde pincode instelt, hoe moet ie die anders onthouden?
En meestal de geboortedatum.
En als je een tijdje je wachtwoord niet hoeft in te voeren vergeet je het. Zeker als het ook nog eens verplicht is
het regelmatig te wijzigen. Dus de eerste de beste keer dat het wachtwoord toch weer nodig is komt er weer een
verzoek binnen het te resetten.
Ik vind het geen verbetering...
29-10-2023, 07:48 door
Xavier Ohole
Door _R0N_:
Wachtwoord is het enige authenticatie middel dat op afstand gebruikt kan worden. Dus ja een pin-code is daarmee veiliger dan een wachtwoord.
Door Anoniem:
Dus een pincode of vingerafdruk zijn inherent veiliger dan een wachtwoord?
Een pincode is numeriek en beperkt in lengte.
Een wachtwoord is meestal langer en bevat ook alfa-numerieke tekens, in hoofd- en kleine letters en speciale tekens. Of kan die in ieder geval bevatten.
Vwb een vingerafdruk: die kan niet "gestolen" of gekopieerd worden?
Want mensen laten nergens vingerafdrukken achter?
Wachtwoorden zijn inherent onveilig, onhandig en een geliefd doelwit voor aanvallen
[...]
In plaats daarvan wordt er gebruikgemaakt van een fysieke beveiligingssleutel, pincode, Windows Hello of vingerafdruk.
[...]
In plaats daarvan wordt er gebruikgemaakt van een fysieke beveiligingssleutel, pincode, Windows Hello of vingerafdruk.
Dus een pincode of vingerafdruk zijn inherent veiliger dan een wachtwoord?
Een pincode is numeriek en beperkt in lengte.
Een wachtwoord is meestal langer en bevat ook alfa-numerieke tekens, in hoofd- en kleine letters en speciale tekens. Of kan die in ieder geval bevatten.
Vwb een vingerafdruk: die kan niet "gestolen" of gekopieerd worden?
Want mensen laten nergens vingerafdrukken achter?
Wachtwoord is het enige authenticatie middel dat op afstand gebruikt kan worden. Dus ja een pin-code is daarmee veiliger dan een wachtwoord.
ssh heeft al lang goede oplossingen daarvoor
https://dev.to/gvelrajan/how-to-configure-and-setup-ssh-certificates-for-ssh-authentication-b52
maar ja, windows rotzooisoftware is zeker weer niet zover?
07-01-2024, 21:40 door
Anoniem
OAuth2 is helaas voor Microsoft ook al aangevallen met sukses.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
