Microsoft met 2FA vraagt geen wachtwoord meer?

donderdag 23 mei 2024 23:43

Acties:

0 Henk 'm!

Poes!

Topicstarter

Zojuist heb ik 2Factor Authentication op mijn Microsoft account aangezet. Het gaat bijv. om inloggen op de website van Onedrive. Het vreemde is dat sindsdien bij het inloggen niet meer om een wachtwoord gevraagd wordt. Ook niet op een andere pc waar ik nog nooit met dat account ingelogd had. En de optie 'Account zonder wachtwoord' staat uit. Dit vind ik niet veilig genoeg. Ik wil een wachtwoord plus een tweede authenticatiemethode. Niet alleen die andere authenticatiemethode.

donderdag 23 mei 2024 23:59

Acties:

0 Henk 'm!

jnr24

Volgens mij is MFA met de MS Authenticator inderdaad genoeg. Je kan misschien wel instellen dat je bijvoorbeeld liever als hoofdmethode wachtwoord hebt en dan moet je daarna nog de tweede factor (waarschijnlijk MS Auth) uitvoeren.

https://mysignins.microsoft.com/ hier kan je dat instellen.

Edit: even gekeken, volgens mij kan je dan toch weer terug naar 'andere methodes' en dan weer MS Auth kiezen.

MS Authenticator heeft natuurlijk een crypto sleutel en ook nog je unlock. Er zal wel een bepaalde gedachte/statistiek achter zitten dat dat met een statisch wachtwoord erbij niet veiliger wordt. Je maakt je misschien zorgen dat mensen je telefoon kunnen ontgrendelen? Daarna is er nog een stap toch? Ik moet volgens mij altijd nog een fingerprint doen op mijn telefoon, nadat ik het landkaartje met getal heb gedaan.

[ Voor 47% gewijzigd door jnr24 op 24-05-2024 00:07 ]

vrijdag 24 mei 2024 00:47

Acties:

0 Henk 'm!

pmeter

Poes!

Topicstarter

Het is nu zo dat iemand kan proberen in te loggen op mijn account. Ik krijg dan een popup op mijn telefoon met drie keuzes. Als ik in de snelheid per ongeluk de goede aanklik dan ben ik mijn account kwijt. Ik heb liever dat ik alleen die popup krijg als ook het wachtwoord is ingevoerd.

Het gaat trouwens om een persoonlijk account. Ik geloof dat de website https://mysignins.microsoft.com/ dan niet werkt, omdat die alleen voor werk-accounts is.

[ Voor 22% gewijzigd door pmeter op 24-05-2024 00:48 ]

vrijdag 24 mei 2024 13:58

Acties:

0 Henk 'm!

jnr24

Ja die link is zakelijk, geen idee over persoonlijk.

Hier kan ik nog wel bij mijn persoonlijke account 2-factor forceren:

Afbeeldingslocatie: https://tweakers.net/i/rZLqmiI330eNztVwUoKjEaliOzk=/800x/filters:strip_exif()/f/image/Cso3UDCd9ciUMht5YZyUd207.png?f=fotoalbum_large

https://account.live.com/...t.com&refp=security&uaid=

Soms zijn de oplossingen wat vreemd. Bijvoorbeeld bij een landline call hoeft degene die opneemt alleen maar 'hekje' te drukken.. Dat zegt te stem ook.. M.a.w. als je nieuwe assistent even niet helder is dan neemt ze op en hoort ze "please press the pound key" ... daar moet nog wel een wachtwoord bij maar toch..

Ik heb op mijn zakelijke account ook niet de 3 getallen, maar ik moet zelf 2 cijfers invoeren. En met het landkaartje kan ik ook echt helemaal niks, iets in Amstelveen ofzo..

zaterdag 25 mei 2024 00:00

Acties:

0 Henk 'm!

pmeter

Poes!

Topicstarter

Ik zie in mijn account precies wat jij op het screenshot laat zien. Links staat "Account zonder ww" bij mij uit. En rechts staat "Verificatie in twee stappen" bij mij aan. Maar met die instelling vraagt het systeem bij het inloggen niet om een wachtwoord.

zaterdag 25 mei 2024 20:37

Acties:

0 Henk 'm!

Zwelgje

heb je dat ook als je een 'in-private' of 'incognito' browser sessie start?

staat je password vermoedelijk nog in een koekje op je laptop

A wise man's life is based around fuck you

zaterdag 25 mei 2024 21:13

Acties:

0 Henk 'm!

Gr4mpyC3t

Dit is mij ook al opgevallen. Ik krijg de indruk dat het niet meer uitmaakt of het een andere PC is of niet. Alsof andere zaken ook meespelen, zoals je IP-adres/geografische locatie bijvoorbeeld. Echter, ik kan hier helemaal niets over terugvinden.

De optie 'Account zonder wachtwoord' is overigens om überhaupt geen wachtwoord meer te hebben. Er zijn her en der nog wel Microsoft diensten die alleen met een wachtwoord om kunnen gaan. Die komen dan te vervallen. Is verwarrend, maar heeft hier volgens mij niets mee te maken.

Have you tried turning it off and on again?

zaterdag 25 mei 2024 21:31

Acties:

0 Henk 'm!

The Eagle

I wear my sunglasses at night

Even uit mijn hoofd wordt als tweede factor de biometrie van de smartphone gebruikt. Dus vingerafdruk of gezichtsherkenning als je dat aan hebt staan.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

zaterdag 25 mei 2024 22:20

Acties:

0 Henk 'm!

jnr24

The Eagle schreef op zaterdag 25 mei 2024 @ 21:31:
Even uit mijn hoofd wordt als tweede factor de biometrie van de smartphone gebruikt. Dus vingerafdruk of gezichtsherkenning als je dat aan hebt staan.

Ja, maar ook weer niet altijd. Ik gebruik ze (zakelijk en persoonlijk) door elkaar. Ik heb het idee dat zakelijk wil dat je twee cijfers intypt en daarna een vingerafdruk geeft, ook als je net met vingerafdruk hebt ontgrendeld.

Persoonlijk wil dat je 1 van de 3 getallen kiest.. En een 'screen unlock' doet, terwijl hij al ontgrendeld is.

Persoonlijk blijf ik ook veel langer ingelogd in de browser dan met zakelijk. Het kunnen vast bedrijfsinstellingen zijn.

zondag 26 mei 2024 18:27

Acties:

0 Henk 'm!

pmeter

Poes!

Topicstarter

Gr4mpyC3t schreef op zaterdag 25 mei 2024 @ 21:13:
Dit is mij ook al opgevallen. Ik krijg de indruk dat het niet meer uitmaakt of het een andere PC is of niet. Alsof andere zaken ook meespelen, zoals je IP-adres/geografische locatie bijvoorbeeld. Echter, ik kan hier helemaal niets over terugvinden.

Ik heb een VM vers geïnstalleerd en die via een VPN verbinding laten maken. Ook daar kon ik inloggen zonder dat mijn wachtwoord wordt gevraagd. Als dit de manier van 2FA is, dan ga ik 2FA uitschakelen. Want ik wil niet dat iedereen ter wereld kan proberen in te loggen op mijn account en dat ik dan meteen een popupje op mijn telefoon krijg, zonder dat er eerst een andere horde (het wachtwoord) hoeft te worden genomen.

zondag 26 mei 2024 18:44

Acties:

0 Henk 'm!

jnr24

Als een private/incognito browser start dan is er geen voorgeschiedenis zoals een cookie. Een IP adres wordt niet gebruikt om minder streng te zijn. Wel andersom, sommige IP adressen worden als verdacht aangemerkt, misschien omdat er bepaalde malware heeft gedraait.

Er is natuurlijk wel iets heel bijzonders aan de hand als iemand jouw email adres intypt om in te loggen. Brute-force (iemand die duizenden adressen probeert via een script) zal vast niet kunnen.

Ik heb het in ieder geval nooit meegemaakt en ik heb best een reeks MS accounts (kinderen, werk/test, prive)

Als je de 'ouderwetse' OTP (Google, WinOTP) gebruikt dan is er geen popup. Die moet je zelf invoeren.

woensdag 29 mei 2024 16:43

Acties:

0 Henk 'm!

jimh307

Waarom stel je die vraag niet aan Microsoft zelf? Ik vind dit toch wel een zeer serieus probleem.

Je krijgt bij het inloggen wel de vraag of je de volgende keer nog een wachtwoord nodig hebt en er is wel het eea veranderd aan OneDrive.

vrijdag 31 mei 2024 13:33

Acties:

+1 Henk 'm!

Blokker_1999

Full steam ahead

Ik heb mijn eigen account trouwens wel degelijk wachtwoordloos gezet. Uiteindelijk is dit veilig.

De kans dat je de pop-up open klikt, wat een bewuste actie is om in de authenticator app te geraken, en dan ook nog eens het juiste cijfer kiest en dan ook nog eens op approve klikt is zeer klein. Dan heb je dus 3x een actie ondernomen terwijl je de notificatie gewoon kunt wegswipen als je zelf geen actie onderneemt.

No keyboard detected. Press F1 to continue.

Vraag

Alle reacties