Overslaan naar hoofdinhoud
Microsoft 365
Abonneren

Veilig aanmelden zonder wachtwoord voor je Microsoft-account met een beveiligingssleutel of Windows Hello

Opmerking van de editor 26-11-2018:
Deze post is bijgewerkt zodat hij ook informatie bevat over de beschikbaarheid van inloggen zonder wachtwoord.

Beste mensen,

Ik ben zo blij om dit nieuws vandaag te delen. We hebben zojuist de mogelijkheid ingeschakeld om je veilig aan te melden met je Microsoft-account met een FIDO2-compatibel apparaat op basis van standaarden. Je hebt geen gebruikersnaam of wachtwoord nodig. Met FIDO2 kunnen gebruikers gebruikmaken van apparaten op basis van standaarden om zich gemakkelijk aan te melden bij onlineservices, zowel op mobiel als desktop. Dit is nu beschikbaar in de Verenigde Staten en wordt wereldwijd beschikbaar gemaakt in de komende paar weken.

Deze combinatie van gebruiksgemak, beveiliging en brede steun vanuit de industrie is transformatief, zowel voor thuis als voor de moderne werkplek. Elke maand gebruiken meer dan 800 miljoen mensen een Microsoft-account om te maken, te verbinden en te delen van overal over de hele wereld met Outlook, Office, OneDrive, Bing, Skype en Xbox Live voor werk en plezier. En nu kunnen al deze mensen profiteren van deze simpele gebruikerservaring en enorm verbeterde beveiliging.

Vanaf vandaag kun je een FIDO2-apparaat of Windows Hello gebruiken om je aan te melden bij je Microsoft-account met de Microsoft Edge-browser.

Bekijk deze korte video die laat zien hoe het werkt:

Microsoft is op een missie om wachtwoorden niet meer te gebruiken en de gegevens en accounts van mensen te beschermen tegen bedreigingen. Als een lid van de Fast Identity Online (FIDO) Alliance en het World Wide Web Consortium (W3C) hebben we samengewerkt met anderen om open standaarden te ontwikkelen voor de volgende generatie van authenticatie. Ik ben blij te kunnen mededelen dat Microsoft het eerste Fortune 500-bedrijf is dat verificatie zonder wachtwoord ondersteunt door middel van de WebAuthn- en FIDO2-specificaties, en Microsoft Edge ondersteunt het grootste bereik aan verificators in vergelijking met andere bekende browsers.

Blijf lezen als je meer wilt weten over hoe het werkt en hoe je aan de slag kunt.

Aan de slag

Doe het volgende om je aan te melden bij je Microsoft-account met een FIDO2-beveiligingssleutel:

  1. Werk bij naar de Windows 10 oktober 2018-update als je dit nog niet gedaan hebt.
  2. Ga naar de Microsoft-accountpagina in Microsoft Edge en meld je aan zoals je dat normaal zou doen.
  3. Selecteer Beveiliging > Meer beveiligingsopties en onder Windows Hello en beveiligingssleutels zie je instructies voor het instellen van een beveiligingssleutel. (Je kunt een beveiligingssleutel kopen van een van onze partners, zoals Yubico en Feitian Technologies die de FIDO2-standaard ondersteunen.*)
  4. De volgende keer dat je je aanmeldt, kun je of klikken op Meer opties > Beveiligingssleutel gebruiken, of je gebruikersnaam intypen. Dan wordt je gevraagd om een beveiligingssleutel te gebruiken om je aan te melden.

En als reminder volgt hieronder hoe je je bij je Microsoft-account aanmeldt met Windows Hello:

  1. Zorg ervoor dat je systeem is bijgewerkt naar de Windows 10 oktober 2018-update.
  2. Als je dit al niet gedaan hebt, moet je Windows Hello instellen. Als Windows Hello al is ingesteld, kun je aan de slag.
  3. De volgende keer dat je je aanmeldt met Microsoft Edge kun je of klikken op Meer opties > Windows Hello of een beveiligingssleutel gebruiken, of je gebruikersnaam intypen. Dan wordt je gevraagd om Windows Hello of een beveiligingssleutel te gebruiken om je aan te melden.

Bekijk ons gedetailleerde Help-artikel om aan de slag te gaan als je meer hulp nodig hebt.

*Er zijn een aantal optionele functies in de FIDO2-specificaties waarvan we geloven dat deze cruciaal zijn voor beveiliging, dus alleen sleutels die deze functies hebben geïmplementeerd zullen werken. Lees What is a Microsoft-compatible security key? voor meer informatie.

Hoe werkt het?

Achter de schermen hebben we de WebAuthn- en FIDO2 CTAP2- specificaties geïmplementeerd in onze services om dit een realiteit te maken.

In tegenstelling tot wachtwoorden beschermt FIDO2 gebruikersreferenties met openbare/persoonlijke sleutelversleuteling. Wanneer je een FIDO2-referentie maakt en registreert, genereert het apparaat (je pc of het FIDO2-apparaat) een persoonlijke en openbare sleutel op het apparaat. De persoonlijke sleutel wordt veilig opgeslagen op het apparaat en kan alleen worden gebruikt nadat het ontgrendeld is door middel van een lokale beweging als biometrie of een PIN. Houd er rekening mee dat je biometrie of PIN nooit het apparaat verlaat. Wanneer de persoonlijke sleutel is opgeslagen, wordt de openbare sleutel naar het Microsoft-accountsysteem in de cloud verzonden en geregistreerd bij je gebruikersaccount.

Als je je later aanmeldt, biedt het Microsoft-account een nonce aan je pc of FIDO2-apparaat. Je pc of apparaat gebruikt vervolgens de persoonlijke sleutel om de nonce te ondertekenen. De ondertekende nonce en metagegevens worden teruggestuurd naar het Microsoft-accountsysteem waar deze geverifieerd worden met behulp van de openbare sleutel. De ondertekende metagegevens zoals die zijn gespecificeerd door de WebAuthn- en FIDO2-specificaties bieden informatie zoals of de gebruiker aanwezig was en verifiëren de identiteitscontrole door middel van de lokale beweging. Deze eigenschappen maken verificatie met Windows Hello en FIDO2-apparaten niet “phishable” of makkelijk te stelen door malware.

Hoe implementeren Windows Hello en FIDO2-apparaten dit? Op basis van de mogelijkheden van je Windows 10-apparaat heb je of een ingebouwde veilige enclave, oftewel een hardware-Trusted Platform Module (TPM) of een software-TPM. De TPM slaat de persoonlijke sleutel op. Dit vereist ofwel je gezicht, vingerafdruk of PIN om te ontgrendelen. Op dezelfde manier is een FIDO2-apparaat, net als een beveiligingssleutel een klein extern apparaat met eigen ingebouwde veilige enclave die de persoonlijke sleutel opslaat en de biometrie of PIN vereist om hem te ontgrendelen. Beide opties bieden een tweeledige verificatiemethode in één stap, en beide vereisen een geregistreerd apparaat en biometrie of een PIN om je aan te kunnen melden.

Bekijk dit artikel op ons Identity Standards-blog over alle technische details die betrekking hebben op de implementatie.

Wat volgt?

Er komen heel veel geweldige dingen uit als onderdeel van onze inzet om de behoefte aan wachtwoorden te verminderen of zelfs weg te nemen. We zijn nu bezig dezelfde aanmeldprocedure te bouwen vanuit een browser met beveiligingssleutel voor werk- en schoolaccounts in Azure Active Directory. Zakelijke klanten kunnen begin volgend jaar de preview-versie gebruiken. Hierin kunnen hun werknemers hun eigen beveiligingssleutels instellen voor hun account om zich aan te melden bij Windows 10 en de cloud.

Bovendien wordt het niet hebben van een wachtwoord, wat nu beschikbaar is op Microsoft Edge en Windows, hopelijk overal beschikbaar naar mate er meer browsers en platforms de WebAuthn- en FIDO2-standaarden ondersteunen.

Blijf op de hoogte voor meer details begin volgend jaar.

Met vriendelijke groet,
Alex Simons (@Twitter: @Alex_A_Simons)
CVP van Programmabeheer
Microsoft Identity Division