Stop met het gebruik van wachtoorden

Met Windows Hello in Windows 10 kunnen gebruikers inloggen op hun apparaat met een pincode. Waarin verschilt een pincode van (en beter dan) een wachtwoord? In dit Windows 10 artikel laten we zien hoe u een pincode kunt instellen en waarom dat beter en veiliger is dan een wachtwoord.

nbsp

Op het eerste gezicht lijkt een pincode veel op een wachtwoord. Een pincode kan een reeks cijfers zijn, maar het bedrijfsbeleid kan complexe pincodes toestaan met speciale tekens en letters. Gebruik bij het maken van een pincode zowel hoofdletters als kleine letters en cijfers. Zoiets als t758A! kan een accountwachtwoord of een complexe Hello pincode zijn. Het is niet de structuur van een pincode (lengte, complexiteit) die het beter maakt dan een wachtwoord, maar hoe het werkt.

De pincode is gekoppeld aan het apparaat

Een belangrijk verschil tussen een wachtwoord en een Hello pincode is dat de pincode is gekoppeld aan het specifieke apparaat waarop deze is ingesteld. Die pincode is nutteloos voor iedereen zonder die specifieke hardware. Als iemand uw wachtwoord steelt, kan hij /zij overal inloggen op uw account, maar als ze uw pincode stelen, moeten ze ook uw fysieke apparaat stelen!

Zelfs u kunt die pincode nergens anders gebruiken, behalve op dat specifieke apparaat. Als u op meerdere apparaten wilt inloggen, moet u de Hello pincode op elk apparaat instellen.

De pincode is lokaal voor het apparaat

Een wachtwoord wordt naar de server verzonden, het kan tijdens verzending worden onderschept of gestolen van een server. Een pincode is lokaal voor het apparaat, deze wordt nergens heen verzonden en wordt niet op de server opgeslagen. Wanneer de pincode is gemaakt, brengt deze een vertrouwde relatie tot stand met de identiteitsprovider. Een asymmetrisch sleutelpaar wordt gemaakt dat wordt gebruikt voor de authenticatie. Wanneer u uw pincode invoert, wordt de authenticatiesleutel ontgrendeld en wordt de sleutel gebruikt om het verzoek te ondertekenen dat naar de authenticatieserver wordt verzonden.

Opmerking: Windows Hello is voor het gemak waarmee u zich aanmeldt, gebruikt de normale gebruikersnaam en wachtwoordverificatie, zonder dat de gebruiker het wachtwoord hoeft in te voeren.

Pincode wordt ondersteund door hardware

De Hello PIN wordt ondersteund door een Trusted Platform Module (TPM) chip. Dat is een veilige crypto processor die is ontworpen om cryptografische bewerkingen uit te voeren. De chip bevat meerdere fysieke beveiligingsmechanismen om hem fraudebestendig te maken. Kwaadaardige software kan de beveiligingsfuncties van de TPM niet manipuleren. Alle Windows 10 Mobile telefoons en veel moderne pc’s en laptops hebben een TPM.

Gebruikerssleutelmateriaal wordt gegenereerd en is beschikbaar binnen de Trusted Platform Module (TPM) van het gebruikersapparaat. Dit beschermt uw apparaat tegen aanvallers die het sleutelmateriaal willen vastleggen en hergebruiken. Omdat Hello asymmetrische sleutelparen gebruikt, kunnen gebruikersreferenties niet worden gestolen. Ook in gevallen waarin de identiteitsprovider of websites waartoe de gebruiker toegang heeft, zijn gecompromitteerd zal de aanvaller niet uw pincode kunnen onderscheppen.

De TPM biedt bescherming tegen een verscheidenheid aan bekende en potentiële aanvallen. Hier onder zijn aanvallen met brute kracht met een pincode. Na te veel verkeerde gissingen wordt het apparaat vergrendeld.

Zo schakelt u de Pincode beveiliging in

  • Pincode beveiliging inschakelen in Windows 10 is vrij eenvoudig en ongecompliceerd. 
  • U begint met het klikken op het meldingspictogram en selecteert u vervolgens de optie Alle instellingen
nbsp
nbsp
  • Als alternatief kunt u ook de sneltoets Win + I gebruiken om in de app In stellingen te komen.
  • Binnen Instellingen kiest u voor Accounts > Aanmeldingsopties.
nbsp
  • Klik dan in het linker deelvenster op Aanmeldingsopties.
nbsp
  • Klik in het rechtse deelvenster op Windows Hello pincode.
nbsp
  • Voordat u de Pincode kunt toevoegen, moet u eerst uw gebruikersaccount verifiëren. Om dat te doen, voert u uw huidige wachtwoord van uw Windows gebruikersaccount in en klikt u op de knop Ok om door te gaan.
nbsp
nbsp
  • U wordt nu gevraagd uw nieuwe Pincode in te voeren, controleer uw de Pincode door deze opnieuw in te voeren en klik op de knop Ok.
nbsp
  • U hebt de pincode met succes ingeschakeld op uw Windows-systeem. Als u de pincode wilt wijzigen, kunt u ook klikken op de link Ik ben mijn pincode vergeten. Natuurlijk kunt u ook op de knop Wijzigen klikken.

Pincode kan ingewikkeld zijn

De Windows Hello for Business pincode is onderhevig aan hetzelfde IT-beheerbeleid als een wachtwoord. Dus ook hier geldt complexiteit, lengte, vervaldatum en geschiedenis. Hoewel we een pincode over het algemeen beschouwen als een eenvoudige viercijferige code, kunnen beheerders beleid instellen voor beheerde apparaten. Dit door een pincode te vereisen die vergelijkbaar is met een wachtwoord. U kunt het volgende vereisen of blokkeren: speciale tekens, hoofdletters, kleine letters en cijfers.

En als er iemand mijn laptop of telefoon steelt, wat dan?

Om een Windows Hello inloggegevens die TPM beschermt te compromitteren, moet een aanvaller toegang hebben tot het fysieke apparaat. Vervolgens moet de aanvaller een manier vinden om de biometrische gegevens van de gebruiker te vervalsen of zijn of haar pincode te raden. Dit alles moet worden gedaan voordat TPM antihammenring bescherming het apparaat vergrendelt. U kunt extra bescherming bieden voor laptops die geen TPM hebben door BitLocker in te schakelen en een beleid in te stellen om mislukte aanmeldingen te beperken.

Anti hameren

Wanneer een TPM een commando verwerkt, doet het dat in een beschermde omgeving, bijvoorbeeld een speciale microcontroller op een discrete chip of een speciale hardware beschermde modus op de hoofd CPU. Een TPM kan worden gebruikt om een ​​cryptografische sleutel te maken die niet buiten de TPM wordt onthuld, maar die in de TPM kan worden gebruikt nadat de juiste autorisatiewaarde is opgegeven.

Een TPM heeft een beveiliging tegen hameren die is ontworpen om brute force aanvallen of complexere woordenboekaanvallen te voorkomen. Die proberen autorisatiewaarden voor het gebruik van een sleutel te bepalen. De basisaanpak is dat de TPM slechts een beperkt aantal autorisatiefouten toestaat voordat het meer pogingen om sleutels en sloten te gebruiken verhindert. Het is technisch niet praktisch om een ​​telling van fouten voor individuele sleutels op te geven, dus een TPM heeft een algemene uitsluiting wanneer er te veel autorisatiefouten optreden.

Omdat veel entiteiten de TPM kunnen gebruiken, kan een enkele succesvolle autorisatie de anti hamer beveiliging van de TPM niet resetten. Dit voorkomt dat een aanvaller een sleutel met een bekende autorisatiewaarde maakt en deze vervolgens gebruikt om de bescherming van de TPM te resetten. Over het algemeen is een TPM ontworpen om autorisatiefouten na een bepaalde tijd te vergeten, zodat de TPM niet onnodig in een vergrendelingsstatus komt. Een TPM eigenaarswachtwoord kan worden gebruikt om de vergrendelingslogica van de TPM te resetten.

Configureer BitLocker zonder TPM

Gebruik de Editor voor lokaal groepsbeleid (gpedit.msc) om het volgende beleid in te schakelen:

  • Computerconfiguratie > Beheersjablonen > Windows-componenten > BitLocker station versleuteling > Besturingssysteemstations > Extra verificatie vereist bij opstarten.
  • Selecteer in de beleidsoptie BitLocker toestaan zonder een compatibele TPM en klik op OK.
  • Ga naar Configuratiescherm > Systeem en beveiliging > BitLocker station versleuteling; selecteer het besturingssysteemstation dat u wilt beschermen.
  • Stel de drempel voor accountvergrendeling in
nbsp

Account vergrendeling met Groepsbeleid

Gebruik de Editor voor lokaal groepsbeleid (gpedit.msc) om het volgende beleid in te schakelen:

  • Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Accountbeleid > Accountvergrendelingsbeleid > Drempel voor accountvergrendeling.
  • Stel het aantal ongeldige aanmeldingspogingen in dat moet worden toegestaan en klik op OK.

Waarom heb ik een pincode nodig om biometrie te gebruiken?

Windows Hello maakt biometrische aanmelding mogelijk voor Windows 10. Vingerafdruk, iris of gezichtsherkenning. Wanneer u Windows Hello instelt, wordt u gevraagd eerst een pincode te maken. Uw account moet vooraf met een Wachtwoord zijn beveiligd. Met deze pincode kunt u zich aanmelden wanneer u uw favoriete biometrische gegevens niet kunt gebruiken vanwege een verwonding of omdat de sensor niet beschikbaar is, of niet goed werkt.

Als u alleen een biometrische aanmelding had geconfigureerd en om welke reden dan ook die methode niet kon gebruiken om u aan te melden. U zou zich moeten aanmelden met uw account en wachtwoord. Deze hebben niet hetzelfde beschermingsniveau als Hallo dat biedt.