image

Beveiliging Outlook.com verder aangescherpt

dinsdag 1 juli 2014, 17:22 door Redactie, 13 reacties

Om gegevens van gebruikers beter tegen onrechtmatige surveillance door inlichtingendiensten te beschermen heeft Microsoft verschillende maatregelen genomen die de beveiliging van Outlook.com en OneDrive aanscherpen. De maatregelen volgen op onthullingen van klokkenluider Edward Snowden.

"We zitten midden in het proces om de encryptie op onze netwerken en diensten te versterken. Ons doel is om de data die tussen onze Microsoft-diensten gaan nog beter te beschermen. Dit proces zorgt ervoor dat overheden de toepasselijke juridische processen gebruiken, en geen technisch bruut geweld, als ze toegang tot die data willen", zegt Matt Thomlinson, vicepresident Trustworthy Computing Security bij Microsoft.

Als onderdeel van de eerder aangekondigde maatregelen zijn er nu nieuwe stappen genomen. Zo gebruikt Outlook.com nu voor zowel uitgaande als inkomende e-mail Transport Layer Security (TLS). TLS versleutelt alleen de berichten 'in transit'. Het is geen end-to-end encryptie zoals PGP.

Toch helpt TLS bij het beschermen van e-mailverkeer tegen bijvoorbeeld overheidsdiensten of aanvallers die willen afluisteren. Verder is nu voor Outlook.com ook Perfect Forward Secrecy (PFS) ingeschakeld. Bij PFS wordt voor elke sessie met een gebruiker een aparte sleutel gegenereerd en na het aflopen van de sessie verwijderd. In het geval aanvallers de encryptiesleutel van het SSL-certificaat compromitteren hebben ze nog geen toegang tot de eerder opgeslagen sessies van gebruikers. Ook Microsofts opslagdienst One Drive gebruikt nu PFS.

Reacties (13)
01-07-2014, 17:30 door waaromdan
Lanceer nou eens een 2-factor authentication app met codes, net als Google. Nu support Microsoft alleen 2-factor via sms, als je een heavy user bent met meerdere logins per dag is dat veel te omslachtig.
01-07-2014, 17:39 door Anoniem
Door waaromdan: Lanceer nou eens een 2-factor authentication app met codes, net als Google. Nu support Microsoft alleen 2-factor via sms, als je een heavy user bent met meerdere logins per dag is dat veel te omslachtig.
Je kan je Microsoft account (live account) gewoon laten werken met de tokens van de Google authenticator app hoor. Doe ik denk ik al een jaar.
01-07-2014, 17:43 door Anoniem
Door waaromdan: Lanceer nou eens een 2-factor authentication app met codes, net als Google. Nu support Microsoft alleen 2-factor via sms, als je een heavy user bent met meerdere logins per dag is dat veel te omslachtig.
Mijn Microsoft account gebruikt Google Authenticator, gewoon via https://account.live.com/ ingesteld.
01-07-2014, 18:22 door Anoniem
Door waaromdan: Lanceer nou eens een 2-factor authentication app met codes, net als Google. Nu support Microsoft alleen 2-factor via sms, als je een heavy user bent met meerdere logins per dag is dat veel te omslachtig.

Dat kan toch al?

http://windows.microsoft.com/en-us/windows/two-step-verification-faq
01-07-2014, 18:24 door Anoniem
Door waaromdan: Lanceer nou eens een 2-factor authentication app met codes, net als Google. Nu support Microsoft alleen 2-factor via sms, als je een heavy user bent met meerdere logins per dag is dat veel te omslachtig.

Ik heb op mijn Windows Phone de Authenticator app; dat is wat je vraagt?
01-07-2014, 18:32 door Anoniem
Door waaromdan: Lanceer nou eens een 2-factor authentication app met codes, net als Google. Nu support Microsoft alleen 2-factor via sms, als je een heavy user bent met meerdere logins per dag is dat veel te omslachtig.

In de USA betaal je ook voor inkomende gesprekken en SMS. Dat betekent dat je met de juiste deal geld kunt verdienen met het versturen van SMS.

Peter
01-07-2014, 18:37 door Anoniem
Door waaromdan: Lanceer nou eens een 2-factor authentication app met codes, net als Google. Nu support Microsoft alleen 2-factor via sms, als je een heavy user bent met meerdere logins per dag is dat veel te omslachtig.

2-factor heeft niet zo veel zin als het verkeer verder onbeveiligd is en dus is uit te lezen. 2-factor is alleen maar een extra bescherming tegen brut force/ongeautoriseerde inlog pogingen.

Maar veel systemen loggen elke login, en dus is het te traceren. Echter het mail verkeer afluisteren als deze het microsoft netwerk verlaten heeft, is veel lastiger te detecteren. En zal veel eerder gebruikt worden als aanvals hoek dan de login.

Ik gebruik al jaren TLS en nu met PGP encryptie. Laat ze maar mee proberen te lezen. Zonder mijn wachtwoorden, kunnen ze niets.

TheYOSH
01-07-2014, 19:41 door Anoniem
De inlogpagina van Outlook.com maakt nu gebruikt van Forward Secrecy ja, maar als je eenmaal bent ingelogd is er geen Forward Secrecy meer, en ook geen TLS 1.2:
https://www.ssllabs.com/s...yze.html?d=login.live.com
https://www.ssllabs.com/s...e.com&s=65.55.157.146
01-07-2014, 20:41 door Eric-Jan H te D
Als de NSA in de middle zit kun je beveiligen tot je een ons weegt
02-07-2014, 08:35 door dutchfish
Door Anoniem: De inlogpagina van Outlook.com maakt nu gebruikt van Forward Secrecy ja, maar als je eenmaal bent ingelogd is er geen Forward Secrecy meer, en ook geen TLS 1.2:
https://www.ssllabs.com/s...yze.html?d=login.live.com
https://www.ssllabs.com/s...e.com&s=65.55.157.146

Goed gezien.

Ondertussen TLS, 4 known, 2 down, 2 to go.
02-07-2014, 08:56 door dutchfish
A propos,

https://www.eff.org/deeplinks/2014/04/why-web-needs-perfect-forward-secrecy

Mijn 2 centen
02-07-2014, 09:51 door Anoniem
Door dutchfish: A propos,

https://www.eff.org/deeplinks/2014/04/why-web-needs-perfect-forward-secrecy

Mijn 2 centen

http://www.heise.de/security/artikel/Forward-Secrecy-testen-und-einrichten-1932806.html
02-07-2014, 10:17 door johanw
Door Anoniem:
Ik gebruik al jaren TLS en nu met PGP encryptie. Laat ze maar mee proberen te lezen. Zonder mijn wachtwoorden, kunnen ze niets.

TheYOSH
Met pgp niet nee, maar aaal TLS is wel iets te doen via man in the middle attacks. Even na de heartbleed ophef is openssl daarvoor gepatched, en Google heeft er speciaal Android 4.4.4 voor uitgegeven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.