Ga je eerst email adressen gebruiken als login wat gewoon dom is, en dan tien jaar later MFA vereisen omdat dat toch niet zo handig was, je login email adres openbaar te maken.

Wat wel jammer is is dat conditional access nog altijd een EntraID P1 licentie nodig heeft, als Microsoft echt om beveilging zou geven dan zou dat onderdeel zijn van EntraID free.

Ja laten we mensen 2 inlogcodes laten onthouden ipv alleen een wachtwoord, uiteraard zo complex dat ze niet te raden zijn. Daar zijn mensen tenslotte zo goed in, het onthouden van complexe inlogcodes...

Maar dat doet het niet - bij lange na niet.

En al niet meer sinds Alex Weinert, Microsoft security-bobo, in 2019 schreef (https://techcommunity.microsoft.com/blog/microsoft-entra-blog/all-your-creds-are-belong-to-us/855124):

                MFA HAD FAILED.

In plaats daarvan wordt rmet MFA risico 1 niet weggenomen en u krijgt er de risico's 2,3 gratis bij. Succes ermee!

1 AitM-aanvallen (https://security.nl/posting/903841 - ook door malware en foute browser add-ons);

2 Account lockout;

3 Lekken van secrets en privacygevoelige info.

Voor die laatste twee zie bijv. mijn reactie onder "MFA/2FA is als peniciline" (met mijn excuses voor de tikfout in de kop van het artikel) en de verwijzingen daarin: https://security.nl/posting/859616.

De situatie in 2019 van Alex Weinert is achterhaald. SMS bij 2FA raakt steeds meer op de achtergrond.

Ik ben absoluut geen fan van Microsoft, maar ik denk dat zij meer inzicht hebben in wat werkt en niet.

Niet dat ik een onderbouwd antwoord verwacht, maar als onafhankelijke securityman verwijs ik naar lastig of niet te weerleggen feiten en argumenten.

Terwijl jij jouw mening (niet meer dan dat) op jouw misleidde onderbuik lijkt te baseren, zonder ook maar één argument aan te dragen - anders dan heilig geloof in übercommerciële Big Tech - waarvan je notabene zelf zegt geen fan te zijn.

Aanvulling 13:05 {
}

Hoe bizar wil je het hebben...

Conditional Access is onderdeel van Microsoft Entra ID P2 licentie.

Aanvulling op mijn vorige reactie (in https://security.nl/posting/904035):

• De Redactie verwijst met "Microsoft wijst op onderzoek" naar https://azure.microsoft.com/en-us/blog/azure-mandatory-multifactor-authentication-phase-2-starting-in-october-2025/.

• In https://azure.microsoft.com/en-us/blog/azure-mandatory-multifactor-authentication-phase-2-starting-in-october-2025/ staat onder meer "at Microsoft, your security is our top priority. Microsoft research shows that multifactor authentication (MFA) can block more than 99.2% of account compromise attacks" waarmee Microschoft verwijst naar https://www.microsoft.com/en-us/security/blog/2019/08/20/one-simple-action-you-can-take-to-prevent-99-9-percent-of-account-attacks/.

• De blog https://www.microsoft.com/en-us/security/blog/2019/08/20/one-simple-action-you-can-take-to-prevent-99-9-percent-of-account-attacks/, van August 20, 2019, begint met:

• Uit https://techcommunity.microsoft.com/blog/microsoft-entra-blog/your-paword-doesnt-matter/731984

Uit die eerste link, https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods:

AARRGGHH

Tip: verlaat het Microschoft doolhof en lees, in plaats daarvan, Veilig Inloggen (https://security.nl/posting/840236).

En/of lees https://www.proofpoint.com/us/blog/threat-insight/dont-phish-let-me-down-fido-authentication-downgrade (zwaar pro-Microsoft biased, hun inkomstengarantie, houd daar rekening mee; uit https://www.proofpoint.com/us/threat-reference/multifactor-authentication#toc-6: "Research by Microsoft demonstrates that MFA can block more than 99.2% (-> https://learn.microsoft.com/en-us/entra/identity/authentication/concept-mandatory-multifactor-authentication) of account compromise attacks")

En/of lees deze Advertorial: https://www.bleepingcomputer.com/news/security/mfa-matters-but-it-isnt-enough-on-its-own/ (eveneens zwaar pro-Microsoft biased, hun inkomstengarantie, houd daar rekening mee; uit die pagina: "Microsoft research suggests that enabling MFA can block over 99% (-> https://www.microsoft.com/en-us/security/blog/2019/08/20/one-simple-action-you-can-take-to-prevent-99-9-percent-of-account-attacks/) of automated credential-stuffing and phishing attacks").

Echt IEDEREEN verwijst naar dezelfde, gekleurde en HOPELOOS ACHTERHAALDE onderzoeken NIET van onafhankelijke experts, maar van Microschoft - die willen dat zoveel mogelijk idioten hun zuigende Microsoft Authenticator app gebruiken. Een gaping privacy hole met alle risico's voor de gebruiker.

En Microschoft waren dezelfde IDIOTEN die een KRANKZINNIGE password policy introduceerden om wachwoorden regrlmatig te wijzigen - bij mijn weten zonder ooit een afweging tussen redenen vóór en tégen die maatregel te publiceren. In plaats van mensen uit te leggen waarom ze een wachtwoordmanager zouden moeten gebruiken en tevens de aandachtspunten daarbij.

En B.T.W. vandaag is mijn Mastodon account permanent geblokkeerd (Bitwiper schreef er onder meer over in https://infosec.exchange/@Bitwiper/115173299366752875).

Mijn onderbuik is tegen Microsoft, ik ben al sinds 1998 meer een Linux type. De aanpak van Big Tech is frustrerend moeilijk vanwege hun economische en politieke (lobby) macht.

De push van 2FA vind ik daarintegen logisch. De reden: passwords-only zijn nog onveiliger dan 2FA.

De push van hun eigen Authenticator app is typisch Microsoft-monopolie gedrag. Maar onze mededingingsautoriteit, die slaapt wel door.

Nagekakelde bull shit - zonder ook maar één argument.

2FA helpt uitsluitend bij STOMME wachtwoorden die effectief 0FA - zijn waardoor je hooguit 1FA overhoudt (iets dat sowieso meestal het geval is, zie https://security.nl/abuse/904049).

Waardeloze wachtwoorden, die wij (techneuten, vooral Big Tech), nooit had moeten toestaan, in elk geval niet voor (niet lokale) internetaccounts.

Als je SMS (terecht) en passkeys (deels terecht), uitsluit hou je TOTP-achtige apps over: zwakke MFA (inclusief number matching e.d.).

Het is krankzinnig om het enorme probleem van onveilige wachtwoorden op proberen te lossen met een slecht idee. Zo'n TOTP app is notabene een wachtwoordmanager - en bovendien een STOMPZINNIGE. Want:

a) Dat wordt verzwegen;

b) Dus weten gebruikers niet dat ze betrouwbare, hoog-beschikbare en goed geheimgehouden backups van de database moeten maken. En dat op méér dan één fysieke plaats;

c) Op enkele uitzonderingen na, versleutelen passwordmanagers hun database niet of op onveilige wijze. In zeldzame gevallen moet de gebruiker een wachtwoord opgeven. Als er al automatisch backups van die database gemaakt worden, is die database in veel gevalien slecht of niet beveiligd. In https://tweakers.net/nieuws/207532/#r_18549330 vatte ik samen waarom Twilio Authy, in elk geval destijds, kwetsbare spyware was (op basis van onderzoek door Conor Gilsenan et apl., meer info in https://security.nl/posting/778668);

d) Het risico is dus account lockout en/of het lekken van privacy-gevoelige en/of geheim te houden shared secrets. Mensen hebben geen idee - totdat de deur in hun gezicht wordt dichtgesmeten. Niemand, echt HELEMAAL NIEMAND van de massa's nakakelende "SECURITY EXPERTS", die roepen "gebruik nou maar 2FA, da's veiliger dan alleen een wachtwoord, vertelt erbij wat de risico's zijn. NIEMAND;

e) In de records in de database van zo'n app zit notabene, per account, een (bij het gebruik van een QR-code gegenereerd door de server) typfoutloze domeinnaam - waar NIETS (technisch) slims mee wordt gedaan - in tegenstelling tot bij passkeys (WebAuthn protocol) en slimme wachtwoordmanagers die op domeinnamen checken.

Hoe HERSENLOOS zijn al die zogenaamde "security experts" die elkaar (vooral Microsoft) nakakelen en, als "fix" voor stomme wachtwoorden, stomme wachtwoordmanagers (die niet op domeinnaam checken) advisreren, in plaats van de samengestelde BULL SHIT te vervangen door het volgende advies:

1) Gebruik een slimme wachtwoordmanager (op desktop met browser plugin, op mobiel met AutoFill), zodat software de domeinnaam checkt;

2) Laat die wachtwoordmanager, per account, een zo lang en complex mogelijk random wachtwoord genereren;

3) Meld stomme websites met krankzinnige wachtwoordeisen aan op https://dumbpasswordrules.com;

4) Laat je niet (zoals Troy Hunt), misleiden om naar een "lijkt op" domeinnaam te gaan zoeken in records in de database van je wachtwoordmanager als je niet meteen een hit hebt (zie https://troyhunt.com/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list/) en zo in AitM-phishing te trappen - in de 0,8% of 0,2% van door Microschoft gelogen gevallen;

5) Kies een zeer sterk master password en zorg dat je het niet kunt vergeten (*). Reden: ga ervan uit dat die versleutelde database ooit in verkeerde handen zal vallen;

6) Maak na elke wijziging een backup van de (versleutelde) database;

7) Bewaar backups op fysiek verschillende media en plaatsen;

8) Als de door jou gebruikte browser dit ondersteunt, zet "waarschuwen bij http" aan (Safari onder iOS en iPadOS ondersteunt dit ook: https://security.nl/posting/876137). Microsoft Edge heeft die instelling überhaupt niet (ik heb dat al gerume tijd niet meer gecheckt, ik kan dit nu dus fout hebben);

9) Voorkom te allen tijde local compromise (malware, zoals foute browser plugin, foute apps met hoge orivileges etc). Dit moet altijd - ongeacht hoe je online inlogt (op websites e.d.).

(*) Noteer het op papier op een veilige plaats.Of splits het in twee of meer delen die je op twee of meer stukjes papier schrijft die je op verschillende plaatsen veilig bewaart. Wees creatief: als je drie mensen redelijk vertrouwt, splits het wachtwoord dan in drie delen A, B en C. Persoon 1 geef je de delen A en B, persoon 2 de delen B en C, en persoon 3 geef je de delen C en A. Van die drie mensen kan nu elke combinatie van twee personen jouw volledige wachtwoord reproduceren.

Vertrouw maar lekker op Alex Weinert en zijn duizenden jaknikkende volgers. Zoals "ze" vroeger zeiden: "No one ever got fired for buying IBM".