Yubikey instellen voor outlook account

donderdag 20 juni 2024 11:52

Acties:

0 Henk 'm!

Topicstarter

Beste tweakers,

Ik heb een yubikey 5 nfc gekocht en wil deze graag gaan gebruiken om mijn outlook account veiliger te maken.
Ik gebruik al uiteraard 2fa dmv of een ander mailadres of via sms.
Nu wil ik zowieso van die sms optie af omdat ik overal lees dat het vrij eenvoudig is dat hackers je telefoonnummer overnemen.

Ik wil graag de yubikey gaan gebruiken om zowel op pc als via mijn s24 ultra in te loggen.
Ik kan via beveiligingsinstellingen de key toevoegen als extra 2fa optie. Ik hoop dat ik dan mijn telefoonnummer uit mijn account kan verwijderen.
Mijn vraag is nu dat die key optie alleen een extra optie is om in te loggen?
Het liefst wil ik het inloggen laten gaan via username en wachtwoord en dan meteen de vraag krijgen om te verifieren via de yubikey. Dus geen andere keuzemogelijkheden die een hacker eventueel kan kiezen.
Is dit mogelijk?

Ik kan dan wel de key gebruiken, maar iemand anders kan dan blijkbaar nog steeds een andere optie kiezen.

Het belangrijkste is dat het gekoppelde telefoonnummer verdwijnt, maar ik kom er niet uit wat nu de meest veilige manier is om in te stellen met de yubikey bij mijn outlookaccount.
Als ik de key toegevoegd heb op mijn pc, kan ik diezelfde key dan ook op mijn telefoon gebruiken via webbrowser login bij outlook? (Via nfc dan, op pc gewoon via usb)
Hebben jullie advies?

Alvast bedankt en sorry voor de lange uitleg. Ben een redelijke leek op dit gebied

donderdag 20 juni 2024 12:04

Acties:

+1 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Je kunt inderdaad telefoon verwijderen nadat je andere methoden hebt toegevoegd. Vast zowel als USB en als NFC toevoegen. (Als het goed is, ik heb er geen meer om te proberen).

Het kan verstandig zijn om ook de Authenticator app (op telefoon en evt. tablet) toe te voegen, voor als je de yubikey kwijtraakt. Als je de MS authenticator gebruikt, werkt dat veilig & makkelijk zonder TOTP.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 20 juni 2024 12:10

Acties:

0 Henk 'm!

GarBaGe

Voor je (Windows) computer.
Als je Windows Hello gebruikt en je account is gekoppeld aan je Microsoft account.
Dan kan je je Microsoft account beveiligen met passkeys.
Die Yubikey ondersteunt dat.
Dan moet je op je Windows computer inloggen met je passkey op je Yubikey.
Je logt immers dan in op je MS account, welke gekoppeld is aan je passkey

Ik zou wel zorgen voor een backup optie indien je Yubikey kwijt raakt.
Bijvoorbeeld een 2e key of uitgeprinte backup codes oid...

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD

donderdag 20 juni 2024 13:20

Acties:

0 Henk 'm!

ralphtjejoker

Topicstarter

Bedankt voor de antwoorden.
Ik zal de webbrowser om in te loggen in mijn outlook account voor 99% op mijn telefoon gebruiken.
Maar ik moet via de pc inloggen om die key toe te voegen.
In het begin vraagt hij dan of ik een usb key of een nfc key gebruik. Ik dacht als je gewoon usb pakt en de key toevoegt via je pc, dat je dan nadat je uitlogt, ook gewoon via je telefoon naar login.live.com kunt gaan en vervolgens je key tegen je telefoon kunt houden voor nfc. Dacht dat dit dan automatisch zou werken. Heb ik het mis?

Ook zal ik denk ik geen passwordless login inschakelen. Ik krijg gemiddeld ongeveer 60 tot 70 unauthorized failed login attempts per dag.
Als ik passwordless login inschakel, dan krijg ik dus al die attempts op de authenticator app? Ten eerste zou ik daar gek van worden en ten tweede kan je per ongeluk op allow klikken en dan zit er dus een vreemde in je account.

[ Voor 26% gewijzigd door ralphtjejoker op 20-06-2024 13:30 ]

donderdag 20 juni 2024 14:32

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

USB is USB, NFC is NFC, ik denk dat je dezelfde hardware tweemaal kunt toevoegen als authenticatiemiddel.

De authenticator app hoeft niet passwordless, ik gebruik het als tweede factor -na- correctie user/password-challenge. En zie de dagelijkse mislukte loginpogingen dus alleen in de overzichten van MS.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 20 juni 2024 15:43

Acties:

0 Henk 'm!

BytePhantomX

Als je Yubikey en nog een andere methode hanteert dan bepaalt die andere methode je echte security en zou je een Yubikey moeten zien voor het gebruiksgemak.

Wil je een Yubikey voor security doen, dan moet je dat als enige optie instellen. Alleen dan is het wel cruciaal dat je minimaal 1 backup hebt om te voorkomen dat je jezelf buit kan sluiten als je key stuk gaat of kwijt raakt.

donderdag 20 juni 2024 22:34

Acties:

0 Henk 'm!

ralphtjejoker

Topicstarter

Ik heb mijn outlook account beveiligd met de yubikey. Op mijn pc kan ik direct via de key inloggen, maar het meest zit ik op mijn telefoon.
Ik heb dus in outlook nog de authenticator toegevoegd van yubikey zelf. Als ik op de telefoon wil inloggen dan moet ik na de username en password dus ook nog een authenticatorcode toepassen. Het fijne is dat de yubikey authenticator standaard aangeeft op mijn telefoon dat er geen keys beschikbaar zijn. Pas als ik mijn fysieke yubikey tegen de nfc reader van mijn telefoon aanhoud, dan verschijnen de geinstalleerde accounts. Dan copy ik dus de code vanuit de authenticator en kan zo inloggen.
Uiteraard heb ik de telefoon/sms optie verwijderd! Daar ben ik blij mee.
Accountherstel gaat alleen nog via een restorecode op papier en via een ander beveiligd mailadres.
Voelt voor mij als een stuk veiliger dan dat mijn telefoonnummer gekoppeld was aan mijn outlook account.
Morgen krijg ik een 2de key om nog een keer een key toe te voegen, maar deze dan als backup.
Ik heb ook een usb a naar usb c adapter gekocht om te kijken of dat ook werkt als ik de stick direct in de telefoon pleur. (Gewoon uit nieuwsgierigheid lol)
Ik ben tot nu toe een tevreden mens!
Dank voor al jullie antwoorden!

vrijdag 21 juni 2024 08:29

Acties:

0 Henk 'm!

ralphtjejoker

Topicstarter

Rest mij nog 1 vraag.

Als ik vandaag de backup key krijg, hoe maak ik dan een backuo?
Ik heb al de eerste yubikey gisteren ingesteld en ben vergeten om de qr code te bewaren.
Moet ik nu in outlook de authenticor verwijderen of moet ik eerst de eerste yubikey op een of andere manier verwijderen?
Kan iemand mij aub uitleggen wat ik nu het beste kan doen?

vrijdag 21 juni 2024 08:49

Acties:

0 Henk 'm!

BeefHazard

ralphtjejoker schreef op donderdag 20 juni 2024 @ 13:20:
Als ik passwordless login inschakel, dan krijg ik dus al die attempts op de authenticator app? Ten eerste zou ik daar gek van worden en ten tweede kan je per ongeluk op allow klikken en dan zit er dus een vreemde in je account.

Nee, MS filtert dit zodat je alleen meldingen krijgt van inlogpogingen die kloppen in jouw profiel (geolocatie/ip/device type).

ralphtjejoker schreef op donderdag 20 juni 2024 @ 22:34:
Ik heb mijn outlook account beveiligd met de yubikey. Op mijn pc kan ik direct via de key inloggen, maar het meest zit ik op mijn telefoon.
[...]
Ik heb ook een usb a naar usb c adapter gekocht om te kijken of dat ook werkt als ik de stick direct in de telefoon pleur. (Gewoon uit nieuwsgierigheid lol)

Waarom dan niet meteen een Yubikey 5C NFC gekocht? Mijn 5C NFC werkt overigens prima op mijn Android telefoon, alleen Firefox heeft nog wel eens issues met Webauthn.

Ik heb dus in outlook nog de authenticator toegevoegd van yubikey zelf. Als ik op de telefoon wil inloggen dan moet ik na de username en password dus ook nog een authenticatorcode toepassen.

Je kunt beter de MS Authenticator app gebruiken. Die werkt met pushnotificaties en gebruikt onder de motorkap dezelfde cryptografie als je Yubikey. Authenticator codes werken op een heel ander en minder veilig principe (TOTP) en zijn minder handig in het gebruik (app opzoeken, code overtypen)

Het fijne is dat de yubikey authenticator standaard aangeeft op mijn telefoon dat er geen keys beschikbaar zijn. Pas als ik mijn fysieke yubikey tegen de nfc reader van mijn telefoon aanhoud, dan verschijnen de geinstalleerde accounts. Dan copy ik dus de code vanuit de authenticator en kan zo inloggen.

Nu gebruik je je Yubikey als dure authenticator app. Als je de Yubikey als Passkey zou gebruiken, vraagt je browser je om de pincode van de yubikey en raak je het knopje op de yubikey aan. En dan ben je ingelogd.

vrijdag 21 juni 2024 09:30

Acties:

0 Henk 'm!

Sissors

BeefHazard schreef op vrijdag 21 juni 2024 @ 08:49:
[...]

Nee, MS filtert dit zodat je alleen meldingen krijgt van inlogpogingen die kloppen in jouw profiel (geolocatie/ip/device type).

Plus je moet juiste getal aanklikken. Niet intikken, dus je kan in principe nog per ongeluk toevallig de juiste aanraken, maar ik snap tegenwoordig wel dat het beter is dat je een getal moet selecteren. Ik zit op rond de ~20 inlogpogingen per dag, en ze zijn in totaal 2x langs de MS filtering gekomen, dus dat er uberhaupt een melding in mijn app kwam. Dus ja het gebeurd, maar godzijdank niet elk uur, want dan was het wel heel irritant geworden inderdaad.

vrijdag 21 juni 2024 10:03

Acties:

0 Henk 'm!

ralphtjejoker

Topicstarter

Nu gebruik je je Yubikey als dure authenticator app. Als je de Yubikey als Passkey zou gebruiken, vraagt je browser je om de pincode van de yubikey en raak je het knopje op de yubikey aan. En dan ben je ingelogd.
[/quote]

Dus dat zou ook op de telefoon moeten werken als ik hem (via een usb a naar c adapter) rechtstreeks in de telefoon stop?

Dat betekend dat ik dus eigenlijk niet eens een authenticator als 2fa hoef in te stellen?
Zowel voor microsoft als voor google werkt dat?

Dan hoef ik dus ook geen backup key te maken, maar alleen de nieuwe (2de) key toe te voegen in de beveiligingsinstellingen. Correct? Dus als ik key1 verlies, dan kom ik met key2 op dezelfde manier in mijn account als voorheen.

vrijdag 21 juni 2024 10:27

Acties:

0 Henk 'm!

BeefHazard

ralphtjejoker schreef op vrijdag 21 juni 2024 @ 10:03:
Nu gebruik je je Yubikey als dure authenticator app. Als je de Yubikey als Passkey zou gebruiken, vraagt je browser je om de pincode van de yubikey en raak je het knopje op de yubikey aan. En dan ben je ingelogd.
[/quote]

Dus dat zou ook op de telefoon moeten werken als ik hem (via een usb a naar c adapter) rechtstreeks in de telefoon stop?

Ja, je kan een USB security key op je telefoon gebruiken.

Dat betekend dat ik dus eigenlijk niet eens een authenticator als 2fa hoef in te stellen?
Zowel voor microsoft als voor google werkt dat?

Check. Je Yubikey voorziet/verifieert op zichzelf al 2 factoren (hebben en weten).

Dan hoef ik dus ook geen backup key te maken, maar alleen de nieuwe (2de) key toe te voegen in de beveiligingsinstellingen. Correct? Dus als ik key1 verlies, dan kom ik met key2 op dezelfde manier in mijn account als voorheen.

Ja, dat zou kunnen, maar let op dat je niet het risico loopt beide keys te verliezen (bv door brand). En recovery codes, op papier geprint en veilig bewaard, zijn ook altijd goed om achter de hand te houden.

[ Voor 3% gewijzigd door BeefHazard op 21-06-2024 10:28 ]

vrijdag 21 juni 2024 11:31

Acties:

0 Henk 'm!

ralphtjejoker

Topicstarter

[quote]BeefHazard schreef op vrijdag 21 juni 2024 @ 10:27:
[...]

Ja, je kan een USB security key op je telefoon gebruiken.

Dat werkt alleen door de key in de telefoon te stoppen toch? Of ook via nfc?

vrijdag 21 juni 2024 11:38

Acties:

0 Henk 'm!

jeroen3

Op de iPhone krijg ik steeds de vraag "houd bij apparaat" of "aansluiten".
Ik ga er vanuit dat er uiteindelijk geen verschil in zit.

vrijdag 21 juni 2024 13:05

Acties:

0 Henk 'm!

ralphtjejoker

Topicstarter

jeroen3 schreef op vrijdag 21 juni 2024 @ 11:38:
Op de iPhone krijg ik steeds de vraag "houd bij apparaat" of "aansluiten".
Ik ga er vanuit dat er uiteindelijk geen verschil in zit.

Op mijn pc kan ik kiezen voor direct inloggen door de key in de usb te steken. Werkt prima.
Maar op de telefoon ga ik naar chrome en dan naar de outlook login pagina.
Vervolgens kies ik net zoals op pc de optie direct inloggen. Dan kies ik voor hardwarekey en vraagt hij om de stick te verbinden.
Als ik hem dan tegen de nfc lezer van mijn telefoon houd, dan gebeurt er niks!

Ik krijg vanavond usb a naar usb c adapters binnen dus zal het dan nog eens proberen door de key via de adapter in de usb c poort van de telefoon te stoppen.

Iemand een idee waarom het via nfc niet werkt?

vrijdag 21 juni 2024 13:57

Acties:

0 Henk 'm!

BeefHazard

Passkeys / FIDO2 / Webauthn / Passwordless werkt niet met NFC, alleen via USB. NFC is zo'n beetje alleen goed voor TOTP.

vrijdag 21 juni 2024 18:09

Acties:

0 Henk 'm!

ralphtjejoker

Topicstarter

Ik heb zojuist de stick met de usb adapter in mijn telefoon gestopt en het werkt perfect! Ik kan inloggen zonder username en wachtwoord over de telefoon.
Dus dat betekend dat ik idd in outlook de aythenticator optie kan uitzetten als 2fa. Dan rest er alleen nog 2fa over een ander mailadrrs.

Als ik nou 2fa uitzet en passwordless aanvink, dan zou het prima moeten werken toch?

Dat is het meest veilige toch?
Dan voeg ik de 2de yubikey ook toe in outlook en dan heb ik dus 2 keys waar ik mee kan inloggen.

Sorry voor de vragen en bedankt voor de hulp

zondag 14 juli 2024 22:53

Acties:

0 Henk 'm!

Barttes

BeefHazard schreef op vrijdag 21 juni 2024 @ 13:57:
Passkeys / FIDO2 / Webauthn / Passwordless werkt niet met NFC, alleen via USB. NFC is zo'n beetje alleen goed voor TOTP.

Sinds de introductie van Passkeys is het gebruik van (nieuwe) yubikeys veranderd. Ik snap niet helemaal hoe, maar het lijkt nu alsof een yubikey alleen nog gebruikt kan worden met pincode en op het ene apparaat waarin je deze activeert. Iemand ideeën deze nu te gebruiken als ‘2e factor’.

zondag 14 juli 2024 23:14

Acties:

+1 Henk 'm!

BeefHazard

Barttes schreef op zondag 14 juli 2024 @ 22:53:
het lijkt nu alsof een yubikey alleen nog gebruikt kan worden met pincode en op het ene apparaat waarin je deze activeert.

Dit herken ik helemaal niet. Ik gebruik mijn Yubikey voor oa Google, Entra ID, MS account (consument), GitHub, en mijn eigen Proxmox server. Oa op proxmox heb ik geen pin nodig, maar voor de meeste andere services wel. Maar dat kan ik op elk device doen - ook al op veel verschillende devices gebruik van gemaakt. Als je Yubikey problemen heeft, is het op dit moment beter om daar een nieuw topic voor te maken dan om dit oudere topic daarvoor te kapen. Misschien ook tijd voor een centraal topic over ervaringen met hardware security keys.

Vraag

Alle reacties