Heb jij enig idee hoeveel wachtwoorden je gebruikt? We maken tegenwoordig zelfs gebruik van wachtwoordbeheer oplossingen omdat het niet meer te doen is om de wachtwoorden die we gebruiken te onthouden. In het aller slechtste geval worden wachtwoorden op de geroemde gele Post-it papiertjes geschreven en keurig aan de onderzijde van de monitor geplakt. Hoe fijn zou het zijn als we op een veilige manier kunnen inloggen zonder dat we nog een wachtwoord in hoeven te voeren…?
In dit blog gaan we dieper in op meervoudige verificatie en inloggen zonder wachtwoord. De technische term die hier veel voor wordt gebruikt is “passwordless login” en zal ik verderop in mijn blog ook gebruiken.
Wat is meervoudige verificatie?
Met meervoudige verificatie verlaag je de kans dat je account gehackt wordt, Microsoft geeft zelfs aan dat 99.9% van hackpogingen geweerd worden door toepassing van meervoudige verificatie. Mocht een aanvaller je wachtwoord toch weten te bemachtigen, dan is het wachtwoord nutteloos omdat hij de 2e verificatiestap niet tot zijn beschikking heeft.
Meervoudige verificatie kan bestaan uit de volgende stappen:
- Je weet iets (een wachtwoord)
- Je hebt iets (een vertrouwd apparaat zoals je smartphone)
- Je bent iets (Gezichtsherkenning of vingerafdruk)
In de animatie hieronder laat ik zien hoe het inloggen met meervoudige verificatie werkt, in deze situatie heb ik de stappen je weet iets (mijn wachtwoord) en je hebt iets (mijn smartphone) gebruikt om in te loggen. Je kan vanuit Microsoft 365 bepalen wanneer je eindgebruikers meervoudige verificatie moeten gebruiken, je kan bijvoorbeeld toestaan om op veilige apparaten zonder meervoudige verificatie in te loggen. Die apparaten worden beheerd door Microsoft 365 en op basis van voorwaarden als veilig of onveilig apparaat gemarkeerd. Zonder veilige markering of op een apparaat dat niet door de organisatie beheerd wordt, zal de gebruiker altijd verplicht in moeten loggen met meervoudige verificatie.
Over wachtwoordloos inloggen
Als toevoeging op meervoudige verificatie is Microsoft ook bezig met het afscheid nemen van wachtwoorden. Reden? Gebruikers hebben vaak irritatie rondom wachtwoorden en het is lastig om overal een goed en sterk wachtwoord te hebben. Een andere reden zijn hackers, zij verkrijgen in veel gevallen je wachtwoord omdat deze te zwak is, een standaard wachtwoord is of worden gestolen door middel van een phishing aanval.
Je maakt het hackers dus al een heel stuk lastiger wanneer je meervoudige verificatie inzet. Het gebruikersprobleem kun je oplossen door passwordless te gaan werken.
Dit kun je doen door gebruik te maken van je Microsoft Authenticator app die je ook kunt gebruiken voor meervoudige verificatie. Naast de app is het ook mogelijk om gebruik te maken van een FIDO2 beveiligingssleutel. Dit is een kleine usb-stick die ervoor zorgt dat je het wachtwoord vervangt voor een veilige hardware sleutel. De beveiligingsgegevens op deze sleutel zijn niet herbruikbaar of deelbaar en zijn daarom dus gebonden aan die sleutel. Hieronder laat ik in de animaties zien hoe beide inlogmethoden eruit zien voor de eindgebruiker.
De fido2 sleutel in actie
In de animatie hieronder laat ik zien hoe je passwordless inlogt met een FIDO2 sleutel. tijdens de procedure steek ik de sleutel in een vrije USB poort, geef ik de pincode in en raak ik de FIDO2 sleutel aan. Hierna krijg ik toegang tot mijn Microsoft 365 omgeving.
Met een FIDO2 sleutel is het ook mogelijk om op je Windows 10 computer in te loggen als deze gekoppeld is aan je Microsoft 365 omgeving. Dit is het best te combineren met Microsoft Intune (MDM) waar ik het in een volgend blog uitgebreid over ga hebben.
En nu de Microsoft Authenticator App in actie...
In plaats van een USB key te gebruiken kun je ook gebruik maken van de Microsoft Authenticator app voor het inloggen zonder wachtwoord. Bij de inlogactie zal de app je vragen om het overeenkomstige cijfer dat verschijnt op je scherm binnen de app te selecteren. Wanneer dat match met elkaar wordt het inlogproces voortgezet. In de animatie hieronder zie je hoe dat gaat:
Door toepassing van deze techniek en middelen is het niet langer nodig om je wachtwoord voor deze dienst te onthouden. Er kan in ieder geval 1 Post-it papiertje de prullenbak in. Overigens raden wij aan om ze allemaal de prullenbak in te doen want door toepassing van single sign-on kun je met je Microsoft 365 account ook authenticeren op toepassingen van derden. Wil je hier meer over weten? Neem dan gerust contact met ons op, we helpen je graag!