Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Externe phishingaanvallen zijn in opkomst. Deze aanvallen zijn gericht op het stelen of doorgeven van identiteitsbewijzen, zoals wachtwoorden, SMS-codes of eenmalige wachtwoordcodes, zonder fysieke toegang tot het apparaat van de gebruiker. Aanvallers maken vaak gebruik van social engineering, het verzamelen van referenties of downgradetechnieken om sterkere beveiliging te omzeilen, zoals wachtwoordsleutels of beveiligingssleutels. Met ai-gestuurde aanvalstoolkits worden deze bedreigingen geavanceerder en schaalbaarder.
Wachtwoordsleutels helpen externe phishing te voorkomen door phishingmethoden zoals wachtwoorden, SMS en e-mailcodes te vervangen. Op basis van FIDO-standaarden (Fast Identity Online) maken wachtwoordsleutels gebruik van cryptografie voor openbare sleutels die afhankelijk zijn van oorsprong, zodat referenties niet opnieuw kunnen worden afgespeeld of gedeeld met kwaadwillende actoren. Naast een sterkere beveiliging bieden wachtwoordsleutels (FIDO2) een probleemloze aanmeldingservaring door wachtwoorden te elimineren, prompts te verminderen en snelle, veilige verificatie in te schakelen op verschillende apparaten.
Wachtwoordsleutels (FIDO2) kunnen ook worden gebruikt om u aan te melden bij Microsoft Entra ID of hybride Windows 11-apparaten die zijn toegevoegd aan Microsoft Entra en eenmalige aanmelding te krijgen bij cloud- en on-premises resources.
Wat zijn wachtwoordsleutels?
Wachtwoordsleutels zijn phishingbestendige referenties die sterke verificatie bieden en kunnen fungeren als een meervoudige verificatiemethode (MFA) in combinatie met biometrie van apparaten of pincodes. Ze bieden ook verificator-imitatieweerstand, die ervoor zorgt dat een verificator alleen geheimen vrijgeeft aan de Relying Party (RP) waarmee de wachtwoordsleutel is geregistreerd en geen aanvaller die zich voordoet als die RP. Passkeys (FIDO2) volgen FIDO2-standaarden, waarbij webauthn wordt gebruikt voor browsers en CTAP voor verificatorcommunicatie.
Het volgende proces wordt gebruikt wanneer een gebruiker zich aanmeldt bij Microsoft Entra ID met een wachtwoordsleutel (FIDO2):
- De gebruiker initieert aanmelding bij Microsoft Entra ID.
- De gebruiker selecteert een wachtwoordsleutel:
- Hetzelfde apparaat (opgeslagen op het apparaat)
- Meerdere apparaten (via QR-code) of een FIDO2-beveiligingssleutel
- Microsoft Entra ID verzendt een uitdaging (nonce) naar de verificator.
- De verificator zoekt het sleutelpaar met behulp van de gehashte RP-id en referentie-id.
- De gebruiker voert een biometrische of pincodebeweging uit om de persoonlijke sleutel te ontgrendelen.
- De verificator ondertekent de uitdaging met de persoonlijke sleutel en retourneert de handtekening.
- Microsoft Entra ID verifieert de handtekening met behulp van de openbare sleutel en geeft een token uit.
Typen wachtwoordsleutels
-
Apparaatgebonden wachtwoordsleutels: de persoonlijke sleutel wordt gemaakt en opgeslagen op één fysiek apparaat en laat deze nooit achter. Examples:
- Microsoft Authenticator
- FIDO2-beveiligingssleutels
-
Gesynchroniseerde wachtwoordsleutels: de persoonlijke sleutel wordt opgeslagen in de cloud van een wachtwoordsleutelprovider en gesynchroniseerd op apparaten die zijn aangemeld bij hetzelfde wachtwoordsleutelprovideraccount. Gesynchroniseerde wachtwoordsleutels bieden geen ondersteuning voor attestation. Examples:
- Apple iCloud-sleutelhanger
- Google Password Manager
Gesynchroniseerde wachtwoordsleutels bieden een naadloze en handige gebruikerservaring waar gebruikers het systeemeigen ontgrendelingsmechanisme van een apparaat kunnen gebruiken, zoals gezicht, vingerafdruk of pincode om te verifiëren. Op basis van de bevindingen van honderden miljoenen consumentengebruikers van Microsoft-accounts die zijn geregistreerd en gesynchroniseerde wachtwoordsleutels gebruiken, hebben we geleerd:
- 99% van gebruikers met succes gesynchroniseerde wachtwoordsleutels registreren
- Gesynchroniseerde wachtwoordsleutels zijn 14x sneller vergeleken met een wachtwoord en een traditionele MFA-combinatie: 3 seconden in plaats van 69 seconden
- Gebruikers zijn 3x succesvoller aanmelden met gesynchroniseerde wachtwoordsleutel dan verouderde verificatiemethoden (95% versus 30%)
- Gesynchroniseerde wachtwoordsleutels in Microsoft Entra ID brengen MFA-eenvoud op schaal voor alle zakelijke gebruikers. Ze zijn een handig en goedkoop alternatief voor traditionele MFA-opties, zoals sms- en verificator-apps.
Zie Gesynchroniseerde wachtwoordsleutels inschakelen voor meer informatie over het implementeren van wachtwoordsleutels in uw organisatie.
Attestation verifieert de echtheid van de wachtwoordsleutelprovider of het apparaat tijdens de registratie. Wanneer afgedwongen:
- Het biedt cryptografisch verifieerbare apparaat-id via MDS (FIDO Metadata Service). Wanneer attestation wordt afgedwongen, kunnen relying party's het authenticatormodel valideren en beleidsbeslissingen toepassen voor gecertificeerde apparaten.
- Niet-geteste wachtwoordsleutels, inclusief gesynchroniseerde wachtwoordsleutels en niet-geteste apparaatgebonden wachtwoordsleutels, bieden geen herkomst van het apparaat.
In Microsoft Entra ID:
- Attestation kan worden afgedwongen op het niveau van het wachtwoordsleutelprofiel .
- Als attestation is ingeschakeld, zijn alleen apparaatgebonden wachtwoordsleutels toegestaan; gesynchroniseerde wachtwoordsleutels worden uitgesloten.
De juiste wachtwoordsleuteloptie kiezen
FIDO2-beveiligingssleutels worden aanbevolen voor sterk gereglementeerde branches of gebruikers met verhoogde bevoegdheden. Ze bieden een sterke beveiliging, maar kunnen kosten verhogen voor apparatuur, training en helpdeskondersteuning, met name wanneer gebruikers hun fysieke sleutels verliezen en accountherstel nodig hebben. Wachtwoordsleutels in de Microsoft Authenticator-app zijn een andere optie voor deze gebruikersgroepen.
Voor de meeste gebruikers, buiten sterk gereglementeerde omgevingen of zonder toegang tot gevoelige systemen, bieden gesynchroniseerde wachtwoordsleutels een handig, goedkoop alternatief voor traditionele MFA. Apple en Google hebben geavanceerde beveiliging geïmplementeerd voor wachtwoordsleutels die zijn opgeslagen in hun clouds.
Ongeacht het type( apparaatgebonden of gesynchroniseerde wachtwoordsleutels) vertegenwoordigen een aanzienlijke beveiligingsupgrade ten opzichte van phishable MFA-methoden.
Zie Aan de slag met phishingbestendige MFA-implementatie in Microsoft Entra ID voor meer informatie.