image

Azure AD ondersteunt nu wachtwoorden van 256 karakters

donderdag 16 mei 2019, 10:59 door Redactie, 12 reacties

Microsoft heeft aanpassingen aan Azure Active Directory (AD) doorgevoerd waardoor nu wachtwoorden van maximaal 256 karakters worden ondersteund, inclusief spaties. Voorheen waren wachtwoorden van maximaal 16 karakters toegestaan. Dat laat Microsoft in een blogposting weten.

Azure Active Directory is een cloudoplossing voor identiteits- en toegangsbeheer, waarmee gebruikers toegang tot clouddiensten en applicaties kunnen krijgen. Door de aanpassing wil Microsoft het voor cloudgebruikers mogelijk maken om langere wachtwoorden en passphrases te kiezen. Eerder werd dit niet door de dienst ondersteund.

Een passphrase van 256 karakters die alleen uit kleine letters bestaat is niet mogelijk. Microsoft verplicht dat een wachtwoord minimaal 8 karakters lang is en drie criteria combineert, waarbij gekozen kan worden uit hoofdletters, kleine letters, cijfers en symbolen.

Image

Reacties (12)
16-05-2019, 11:29 door [Account Verwijderd]
Oh wow! Daar stoorde ik me in 2000 al aan. Gelukkig hebben ze in Redmond 'ineens' het licht gezien. Beter een generatie later als niet, zal ik maar zeggen....

Zou wettelijk verplicht moeten worden zoiets. Ook voor websites. Maar nee, we krijgen een cookiewall van onze regering... Zucht.
16-05-2019, 11:59 door Anoniem
Door Rexodus: Oh wow! Daar stoorde ik me in 2000 al aan. Gelukkig hebben ze in Redmond 'ineens' het licht gezien. Beter een generatie later als niet, zal ik maar zeggen....
Volgens mij bestond AzureAD in 2000 nog niet. Toch interessant dat je je al ergens aan kan ergeren, zonder dat iets bestond.

Je hebt verder wel een gewoon normaal leven? Immers misschien pakken ze je huidige irritaties ook pas in de volgende generatie aan.

Zou wettelijk verplicht moeten worden zoiets. Ook voor websites. Maar nee, we krijgen een cookiewall van onze regering... Zucht.
Waarom zou dit verplicht moeten zijn? Waarom zou de regering zich hiermee moeten bemoeien?
Wachtwoord van 16 tekens is meer dan voldoende. Mooi is leuk, maar een nice to have feature. Zeker niet iets om vanuit een
overheid verplicht te maken. Totaal geen toegevoegde waarde.
En laat zien, dat je eigenlijk niet snapt hoe zo iets in elkaar zit of wat werkelijke de noodzaak is dit soort nice to have features. Zowel om iets vanuit een overheid te verplichten, of wat een werkelijke toegevoegde waarde is van een extreem lang wachtwoord.
16-05-2019, 13:09 door Anoniem
Als een wachtwoord van 16 tekens is gebaseerd op 'n woordenboekwoord, of, om aan de complex-policy te voldoen, een straatnaam+huisnummer, waarvan de 1e letter een hoofdletter is, dan is het absoluut niet voldoende...
16-05-2019, 14:00 door Bitwiper
Door Anoniem: Wachtwoord van 16 tekens is meer dan voldoende. Mooi is leuk, maar een nice to have feature. Zeker niet iets om vanuit een overheid verplicht te maken. Totaal geen toegevoegde waarde.
En laat zien, dat je eigenlijk niet snapt hoe zo iets in elkaar zit of wat werkelijke de noodzaak is dit soort nice to have features.
Kennelijk leef je al jaren onder een steen (met Microsoft, maar die heeft ondertussen wel het licht gezien) en heb je daardoor gemist dat experts al heel lang aanraden om pass-phrases te gebruiken?
16-05-2019, 14:06 door Anoniem
Door Bitwiper:
Door Anoniem: Wachtwoord van 16 tekens is meer dan voldoende. Mooi is leuk, maar een nice to have feature. Zeker niet iets om vanuit een overheid verplicht te maken. Totaal geen toegevoegde waarde.
En laat zien, dat je eigenlijk niet snapt hoe zo iets in elkaar zit of wat werkelijke de noodzaak is dit soort nice to have features.
Kennelijk leef je al jaren onder een steen (met Microsoft, maar die heeft ondertussen wel het licht gezien) en heb je daardoor gemist dat experts al heel lang aanraden om pass-phrases te gebruiken?
En hoeveel gebruikers gebruiken nu echt een wachtwoord van meer dan 16 tekens? Of anders geformuleerd, een pass-phrase van 16 tekens of meer? Dat zijn er toch echt niet zoveel.
MFA is een veel betere oplossing en is de toekomst. Passwords zijn van 1995, the future is now.
16-05-2019, 15:05 door Anoniem
256 karakters?
Klinkt als werkverschaffing: ben je een halve dag bezig met intypen van je wachtwoord.

(of het moet op 1 of andere manier geautomatiseerd zijn)
16-05-2019, 15:54 door Bitwiper
Door Anoniem: En hoeveel gebruikers gebruiken nu echt een wachtwoord van meer dan 16 tekens? Of anders geformuleerd, een pass-phrase van 16 tekens of meer? Dat zijn er toch echt niet zoveel.
MFA is een veel betere oplossing en is de toekomst. Passwords zijn van 1995, the future is now.
Dat de meeste gebruikers "12345" als wachtwoord gebruiken, vind ik geen reden om verstandige gebruikers, ook al zouden dat er maar weinig zijn, te beperken in de manier waarop zij hun accounts willen beveiligen tegen o.a. brute force attacks - temeer daar er serverside geen fundamentele bezwaren zijn.

En met "12345" als wachtwoord kun je ook niet echt meer van 2FA spreken als je daarnaast een andere factor gebruikt.

Microsoft's clouddiensten hebben in toenemende mate last van account takeover attacks waarvan er veel te veel slagen. Daar zitten ook steeds meer accounts bij die met MFA beschermd zijn. Een van de problemen van MFA is, vergelijkbaar met "wachtwoord vergeten", dat die tweede factor ook wel eens niet werkt (bijv. smartphone vergeten of in de plee gevallen). Lastig is het daarbij om onderscheid te maken tussen de echte account-eigenaar en een cybercrimineel: als de beheerder dan weer terugvalt op vragen naar je geboortedatum ter "authenticatie", is het voorspelbaar hoe zoiets kan aflopen.
17-05-2019, 07:34 door Anoniem
Zodra de quantum computer los gaat vallen er heel wat bomen in het bos. Maar goede zet van Microsoft. Dank u!
20-05-2019, 09:47 door Anoniem
Bedenk een woord of zin en genereer daar een SHA256 controlegetal van met behulp van een HashCalculator. Om het nog sterker te maken versterk dit woord of zin met een HMAC (Hash Message Authentication) sleutel, en het nieuwe wachtwoord bestaande uit 64 karakters is onkraakbaar met de huidige techniek. Hoewel het controlegetal bestaat uit a-f en 0-9 is totaal 16 karakters zijn er 16 tot de macht 64 (16^64 ) mogelijkheden. Het woord of de zin kan je in combinatie met een steeds veranderende HMAC sleutel op meerdere wachtwoorden toepassen. Voorwaarde is dat het wachtwoord door selecteren, kopiëren, en plakken mag worden ingevoerd.

De hier zo geroemde MFA (Multi Factor Authentication) is veilig, maar heeft een hoog irritatie gehalte.
21-05-2019, 10:57 door Anoniem
En nog steeds de misvatting, dat een sterk wachtwoord onder- en bovenkast moet gebruien, en cijfers, en "speciale" tekens. Leer eens iets ober entropie, en realiseer je dat een wachtwoord, bestaande uit 23 enen een hogere entropie heeft, dan "Go6757JH)(*ghOH54". En ook nog eens te onthouden.
Hogere entropie = veiliger
21-05-2019, 11:07 door Anoniem
Door Anoniem: De hier zo geroemde MFA (Multi Factor Authentication) is veilig, maar heeft een hoog irritatie gehalte.
Dat ligt eraan hoe MFA geimplementeerd wordt.
Stel, ik loop 's morgens het kantoorpand binnen, en moet met mijn pasje de sluis, of deur, of lift ontgrendelen. Dàt, plus het feit, dat mijn bedrijfstelefoon in het gebouw aanwezig is, zijn alvast twee factoren, die duidelijk maken, dat ik hoogstwaarschijnlijk in het gebouw ben. Als ik vervolgens op een bekend (mijn werkstation) IP-adres met alleen een wachtwoord inlog, dat heb ik MFA (multi is indit geval 6) die niet lastig is.
Als ik vervolgens drie uur later vanuit Oeganda probeer in te loggen, dan krijg ik verzoek om mijn hardware token (Ubikey) te gebruiken, en mijn telefoon te ontgrendelen. Zo snel vanuit NL naar Oeganda reizen is vrijwel onmoglijk, vandaar extra acties.
Oh - en de zes factoren zijn: tijd ('s morgens), locatie (kantoor), aanwezigheid geldige security pas, aanwezigheid terlefoon, locatie (IP adres), wachtwoord.
21-05-2019, 12:26 door Anoniem
Door Anoniem: 256 karakters?
Klinkt als werkverschaffing: ben je een halve dag bezig met intypen van je wachtwoord.

(of het moet op 1 of andere manier geautomatiseerd zijn)

Mensen snappen niet dat software zoals KeePass dat voor je genereert en dat je soort van copy+paste doet om je wachtwoord in te voeren. Dat is het essentie achter het verhaal waarom Azure dit nu wel ondersteund.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.