Fysieke authenticator

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • Resistance_NL
  • Registratie: Augustus 2005
  • Laatst online: 29-04 10:13
Hi allemaal,

Tegenwoordig mag moet ik voor mijn werk voor 2 factor authentication regelmatig mijn smartphone pakken om via Microsoft Authenticator in te loggen op diverse accounts.

Soms wel 5x achter elkaar en ik irriteer me daar flink aan :)

Nu heb ik de vraag of er ook een fysiek stuk hardware bestaat dat deze irritatie wat kan wegnemen.

Bij voorkeur zou ik een rode button met 'Hit me' op mijn bureau hebben staan, maar ander alternatieven zijn ook welkom.

Iemand een idee?

Acties:
  • 0 Henk 'm!

  • ZicoDon
  • Registratie: December 2009
  • Laatst online: 21:33
YubiKey? Indien ondersteund door de organisatie.

Feyenoord | Xbox Series X | Fotografie


Acties:
  • 0 Henk 'm!

  • jongetje
  • Registratie: Maart 2002
  • Laatst online: 22:19
Dan moet je zoiets kopen: https://shop.virtualsecur...-microsoft-azure-mfa.html

Zoekterm: Hard Token

(als je bedrijf dat ondersteund).

[ Voor 7% gewijzigd door jongetje op 08-01-2024 15:05 ]


Acties:
  • 0 Henk 'm!

  • m-vw
  • Registratie: Mei 2013
  • Laatst online: 06:21

m-vw

GEZOCHT: De Kluts

denk eerlijk gezegd dat het antwoord nee is.

Ook met de hier boven genoemde keys moet je nog altijd zelf een code invoeren.

Ik ken geen programma dat net als een virusscanner je pc monitort en daar waar nodig de gegevens van je authenticator ingeeft.

Garmin FR245M + HRM-RUN


Acties:
  • 0 Henk 'm!

  • GarBaGe
  • Registratie: December 1999
  • Laatst online: 19:37
Mijn bedrijf doet ook veel Microsoft.
Ik heb sinds kort een Yubikey Bio Series - FIDO edition.
Werkt prima.
Gebruikt vingerafdruk op de Yubikey, ook voor passwordless authentication.

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD


Acties:
  • 0 Henk 'm!

  • bregweb
  • Registratie: Juni 2005
  • Laatst online: 11-06 16:55
Extensies in Chrome kunnen dit ook overnemen, bijvoorbeeld Bitwarden

Hattrick: Thorgal Eagles


Acties:
  • 0 Henk 'm!

  • Archer_VC10
  • Registratie: Oktober 2004
  • Laatst online: 23:12
Ik weet niet of Bitwarden ook de functie van een Microsoft Authenticator app kan overnemen. Ik zou ook richting een Yubikey oplossing gaan zoeken maar jouw bedrijf moet dit wel ondersteunen. Soms moet je even doorvragen bij de IT afdeling, er is wel eens een neiging om iedereen hetzelfde te willen aansmeren.

Acties:
  • +1 Henk 'm!

  • moppentappers
  • Registratie: Februari 2008
  • Laatst online: 09-06 21:29
Diverse accounts.. dan zou ik even kijken naar Keeper, ik kende deze password manager eerder niet, maar ik gebruik het nu een jaar en vind het veel beter dan de beschikbare alternatieven.

Acties:
  • 0 Henk 'm!

  • jongetje
  • Registratie: Maart 2002
  • Laatst online: 22:19
Het idee van een soft/hard token is dat je een 2e device hebt met eventueel eigen autorisatie. Dat is een password manager op hetzelfde device natuurlijk niet...

Acties:
  • 0 Henk 'm!

  • Resistance_NL
  • Registratie: Augustus 2005
  • Laatst online: 29-04 10:13
Bedankt voor alle reacties.

Ik ben zelf eigenaar van het bedrijf, en heb een vrije keuze wat we gaan gebruiken.

De Yubikey lijkt veelbelovend, maar kan ik dan de 2-factor authenticatie van b.v. Microsoft en Autodesk overzetten naar deze key (sorry, ik ben een beetje een n00b)?

Acties:
  • 0 Henk 'm!

  • Qwerty-273
  • Registratie: Oktober 2001
  • Laatst online: 06:56

Qwerty-273

Meukposter

***** ***

Resistance_NL schreef op maandag 8 januari 2024 @ 15:00:
Bij voorkeur zou ik een rode button met 'Hit me' op mijn bureau hebben staan, maar ander alternatieven zijn ook welkom.
Het hele idee van een token is dat het iets kleins is dat je bij je draagt. Denk daarbij de oudere hardware tokens aan je sleutelbos of tegenwoordig de apps op je telefoon. Een (locatie statische) knop op je bureau is nou niet super geschikt als token.

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.


Acties:
  • 0 Henk 'm!

  • mr.DJ95
  • Registratie: Februari 2010
  • Laatst online: 11-06 14:58
moppentappers schreef op maandag 8 januari 2024 @ 17:31:
Diverse accounts.. dan zou ik even kijken naar Keeper, ik kende deze password manager eerder niet, maar ik gebruik het nu een jaar en vind het veel beter dan de beschikbare alternatieven.
Na een lange zoektocht is ook onze keuze gevallen op Keeper en gebruiken wij dit voor het opslaan van wachtwoorden en de hele MFA afhandeling. De Keeper kluis kan worden ontgrendeld middels Microsoft Hello of TouchID op je Mac.

*knip* spam

[ Voor 8% gewijzigd door br00ky op 09-01-2024 10:27 ]


Acties:
  • +1 Henk 'm!

  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 01:12

The Eagle

I wear my sunglasses at night

Resistance_NL schreef op dinsdag 9 januari 2024 @ 10:08:
Bedankt voor alle reacties.

Ik ben zelf eigenaar van het bedrijf, en heb een vrije keuze wat we gaan gebruiken.

De Yubikey lijkt veelbelovend, maar kan ik dan de 2-factor authenticatie van b.v. Microsoft en Autodesk overzetten naar deze key (sorry, ik ben een beetje een n00b)?
Als jij zelf eigenaar bent kun je jezelf irriteren, aan 5x MFA moeten doen, maar dan zou ik me eerst ens druk maken over waarom dat nodig is (en je vermoedelijk geen SSO ingericht hebt ;) )

Verder: Makkelijkste manier is je medewerkers een smartphone geven (of die van zichzelf te laten gebruiken) en ze daar laten kiezen welke authenticator ze zelf gebruiken. Niemand vind het leuk als de baas iets opdringt ;)

En wat dan fysiek: een simpele smartphone is vermoedelijk het goedkoopste device dat je kunt krijgen. Hoeft niet eens een abo bij, als het kreng maar wifi heeft ;)

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


Acties:
  • 0 Henk 'm!

  • Maduropa
  • Registratie: Augustus 2003
  • Laatst online: 04-05 17:02
Als je zelf de eigenaar bent dan kun je vast wel een nieuwe regel doorduwen over wat voor authenticatie je wilt toestaan en ook vanaf welke IP-adressen (named locations & Access policies) je bijvoorbeeld je niet hoeft al te vaak hoeft te authenticeren.

Wat verder helpt bij het onthouden van een succesvolle authenticatie is het (selectief) wel toestaan van cookies in je browser voor b.v. de outlook & teams-sites.
En onthoud dat je aanmelden in zowel de app van outlook of teams een nieuwe authenticatie vereist, ook aanmelden in de browser, zelfs onedrive en een eventuele SSO van een 3rd party app kan weer een nieuwe authenticator-ervaring opleveren

Verder kun je bij Microsoft eenvoudig meerdere authenticatie-methodes toevoegen, dus naast elkaar.
Als Autodesk vervolgens weer via SSO met een azure-connect naar jouw Microsoft omgeving kijkt, dan maakt die meteen ook gebruik van al die methodes. Maar als ze zelf een MFA inlog regelen dan moet dat daar weer worden ingeregeld.

En let op met bijvoorbeeld yubi-keys, die blijven makkelijk in je broekzak zitten en de eerste reeks wasbeurten overleven ze heus wel. Zorg altijd voor een backup-sleutel of 2e (of meer) methode voor authenticatie.

Acties:
  • +1 Henk 'm!

  • Tyrian
  • Registratie: Maart 2001
  • Niet online

Tyrian

It's Unreal.

Op mijn werk heb ik een Feitan OTP c200 token om mijn Microsoft (Azure AD) account mee te beschermen.
Een prima alternatief voor een MS Autheticator app op een smartphone.

http://www.hypercoop.tk | GW user page | GW2 user page

Specs


Acties:
  • +1 Henk 'm!

  • jotheman
  • Registratie: September 2000
  • Laatst online: 26-05 21:04

jotheman

Was like that when I got here!

Ik snap dat je moe wordt van zó vaak MFA moeten doorlopen, maar voor mijn gevoel is dit wel een beetje symptoom-bestrijding. Zoals The Eagle ook aangeeft, ik zou eens vragen: waarom zijn die 5x nodig?

Ondertussen heb ik vrij aardig wat implementaties van (moderne) werkplekken en het identity-stuk erachter gedaan, en het klinkt alsof dit een beetje overkill is. Normalerwijs is de standaard die overal zie: Kom je van een compliant device, dan hoef je geen MFA te doen want dan telt je device en het feit dat die in beheer en onder controle is als je extra factor. Is je device beheerd? Zo ja, dan zou je kunnen vragen of het beheer-team dat mogelijk in kan richten?

Daarnaast is ook al een paar keer "passwordless" genoemd. Hoewel je nog steeds je Authenticator-app nodig zult hebben kun je "Aanmelding via de telefoon" ("Enable phone sign-in" in engels) aanzetten in je Authenticator; op Apple kan dat op meerdere accounts, op Android voor nu maar op eentje (opmeer komt er ~dit kwartaal aan). Dat maakt aanloggen eenvoudiger, minder acties nodig maar veiliger.

En als laatste komt er passkey-ondersteuning aan op zeer korte termijn voor de Authenticator, maakt dingen weer iets gemakkelijker (en phishing resistant).

Anyway: Ik zou eens vragen bij IT of ze die compliance-check: òf MFA, òf compliant device (of Hybrid Azure AD Joined check, als ze nog geen compliance ondersteunen) kunnen implementeren, dan heb je meteen de bron te pakken. Daarmee help je ook meteen je collega's :)

Vwb de FIDO2-keys, een biometrische spaart je "gedoe" uit met authenticeren, een traditionele heeft nog altijd een PIN nodig voor authenticatie, dus maakt het proces bewerkelijker. Biometrische FIDO2's zijn bijvoorbeeld de Yubico Yubikey Bio en FEITIAN BioPass FIDO2 Plus. Mijn ervaring is wel dat Yubico solide, robuust (kan in een wasmachine en werkt daarna nog) en goed ondersteund is, FEITIAN... Tja, not so much, maar wel goedkoper.

Hope it helps :)

I see dead pixels...


Acties:
  • +1 Henk 'm!

  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 01:12

The Eagle

I wear my sunglasses at night

Als jij vanuit de zaak biometrische MFA apparatuur gaat gebruiken, hou er dan rekening mee dat je persoonsgegevens gebruikt en die onder GDPR vallen. Is namelijk direct herleidbaar.
Is prima te doen onder GDPR, maar geef die tokens dan eenmalig aan je medewerkers als eigendom en niet in bruikleen. Als de medewerkers zelf eigenaar zijn, ben jij geen verwerker van hun biometrische data :)

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

Pagina: 1