Wat is Microsoft Passwordless?

Passwordless instellen

• 1. Verplicht: Windows Hello for Business (inloggen laptop)
• 2. Verplicht: Passwordless Authenticatie via Mobiel (inloggen M365)
  
  

Optionele instellingen

• Dynamic Lock
• YubiKey (indien Gezichtsherkenning en Vingerafdruk niet beschikbaar)
  
  

Veelgestelde vragen

• Wat is het voordeel van Passwordless?
• Is tweefactorauthenticatie (Duo) niet voldoende?
• Hoe vaak moet ik authenticeren?
• Hoe kan ik Passwordless testen?
• Kost Passwordless inloggen extra tijd?
• Heb ik mijn wachtwoord nog nodig?
• Kan ik van Passwordless afzien?

Wat is Microsoft Passwordless?

Met Microsoft Passwordless gebruik je geen meer wachtwoord om in te loggen. Hiermee verhoogt Microsoft de veiligheid van jouw werkomgeving. Je kunt je wachtwoord ten slotte ook niet meer kwijtraken! In plaats daarvoor wordt voortaan gevraagd om alternatieve aanmeldmethodes. Denk hierbij o.a. aan:

• Biometrische kenmerken (gezichtsherkenning of vingerafdruk)
• Een meercijferige pincode die je invoert op je laptop
• Een 2-cijferige verificatiecode op je mobiele telefoon
• Een beveiligingssleutel (zoals een YubiKey die telkens opnieuw een unieke code genereert)

Er moeten altijd aan 2 van bovenstaande verificatie methodes worden gedaan.

Microsoft Passwordless bestaat uit 2 onderdelen: 

1. Windows Hello for Business (inloggen laptop)
2. Passwordless Authenticatie via Mobiel (inloggen Microsoft)

Beide elementen moeten op instructie van Asista worden ingesteld.

Passwordless instellen

1. Verplicht: Windows Hello for Business (inloggen laptop)

Met Windows Hello for Business zorgen we dat je beveiligd kunt inloggen op je laptop of pc. 

1. Ga op de zakelijke laptop naar Instellingen > Accounts > Aanmeldingsopties
   
   
2. Kies indien beschikbaar voor instellen Gezichtsherkenning (Windows Hello) *
   
   
3. Kies indien beschikbaar voor instellen Vingerafdrukherkenning (Windows Hello) *
   
   
4. Stel de Pincode (Windows Hello) in
   
   
5. Voeg optioneel Dynamic Lock toe als extra inlogmethode

Wat als ik geen Windows Hello opties zie?

Mogelijk is Microsoft op de achtergrond nog bezig met het verwijderen van Duo. Dit proces kan enkele uren duren. Herstart de laptop later op de dag, en doorloop bovenstaande stappen opnieuw. 

Wat als ik wél een Pincode kan instellen, maar geen Gezichtsherkenning of Vingerafdruk?

Jouw laptop ondersteunt geen biometrische verificatie. Het is verplicht een YubiKey aan te schaffen, waarmee een extra vorm van persoonsverificatie kan worden doorlopen. Volg onderstaande stappen:

YubiKey (indien Gezichtsherkenning en Vingerafdruk niet beschikbaar)

2. Verplicht: Passwordless Authenticatie via Mobiel (inloggen M365)

1. Download de Microsoft Authenticator app op mobiel, indien je deze nog niet hebt (Google Play of App Store)
   
   
2. Ga op de laptop naar https://mysignins.microsoft.com/
   
   
3. Selecteer Beveiligingsgegevens
   
   
4. Klik op Aanmeldingsmethode toevoegen > Authenticator app > Toevoegen
   
   
5. Volg de instructies om de Microsoft Authenticator te installeren en in te stellen:
   
   
   • Sta pop-up meldingen toe wanneer gevraagd (aanbevolen)
     
     
   • Scan de QR-code met de mobiele Microsoft Authenticator app om deze te koppelen
     
     
   • Bevestig de set-up door een testverificatie uit te voeren
     
     
6. Selecteer Bevestigen om de configuratie af te ronden
   
   
7. Open de Microsoft Authenticator app op mobiel
   
   
8. Klik op het zakelijke Microsoft-account
   
   
9. Selecteer Aanmelden via telefoon inschakelen
   
   
10. Volg de instructies op het scherm nauwkeurig om Passwordless in te stellen
    
    
11. Open een InPrivate (incognito) in de browser
    
    
12. Ga naar https://outlook.office.com
    
    
13. Vul je zakelijke e-mailadres in
    
    
14. Vul je wachtwoord niet in, maar klik op Other ways to sign in
    
    
15. Selecteer Approve a request on my Microsoft Authenticator app
    
    
16. Je krijgt een mobiele pop-up: typ de 2-cijfer verificatie over
    
    
17. Sluit de browser; vanaf nu wordt er automatisch voor Number Matching als inlogmethode gekozen

Optionele instellingen

Dynamic Lock

Met Dynamic Lock gebruikt Microsoft de nabijheid van jouw mobiele telefoon als één van de verificatiemethodes. Het koppelen van je mobiele telefoon aan de laptop is een persoonlijke keuze. Maak je hier gebruik van, dan hoef je slechts één actieve verificatie te voltooien, mits je telefoon binnen Bluetooth bereik blijft. 

1. Koppel de mobiele telefoon via Bluetooth aan de zakelijke laptop
   • Ga op de laptop naar Instellingen > Bluetooth en apparaten
     
     
   • Klik op Apparaat toevoegen > Bluetooth
     
     
2. Ga op de laptop naar Instellingen > Accounts > Aanmeldingsopties
   
   
3. Selecteer Dynamisch Vergrendelen
   
   
4. Vink 'Toestaan dat Windows automatisch uw apparaat vergrendelt wanneer u niet aanwezig bent' aan
   
   
5. Stel Dynamic Lock in als een standaard inlogmethode:
   
   
   • Gebruik de sneltoetscombinatie Windows + L om het scherm te vergrendelen
     
     
   • Voer de eerste verificatiemethode in: bijv. pincode, vingerafdruk of gezichtsherkenning
     
     
   • Klik op Aanmeldingsopties
     
     
   • Selecteer als tweede verificatiemethode het Dynamic Lock icoon:
     
     

Werkt Dynamic Lock niet? Zet de Bluetooth functionaliteit op de telefoon dan kort uit en weer aan. Verwijder de koppeling op de laptop via Instellingen > Bluetooth en apparaat > zoek de mobiel in de lijst > Verwijderen. Volg stap 1 opnieuw.

YubiKey (indien Gezichtsherkenning en Vingerafdruk niet beschikbaar)

Een YubiKey vervangt de benodigde biometrische verificatie, indien het apparaat dit niet standaard toestaat. Deze USB-stick kan in de laptop worden geprikt, en zorgt voor persoonsverificatie middels een fysieke druk op de knop + pincode.

Heb je nog geen YubiKey ontvangen terwijl je deze wel nodig hebt? Vraag deze dan via jouw ICT-verantwoordelijke aan. De bestelling voor de gehele organisatie kan bij Asista worden geplaatst.

1. Ga op de laptop naar https://mysignins.microsoft.com/
   
   
2. Selecteer Beveiligingsgegevens
   
   
3. Klik op Aanmeldingsmethode toevoegen > Beveiligingssleutel > Toevoegen
   
   
4. Volg de instructies om de YubiKey te installeren en in te stellen:
   
   
   • Kies wanneer gevraagd voor USB-apparaat
     
     
   • Volg de rest van de genoemde stappen nauwkeurig
     
     
5. Selecteer Bevestigen om de configuratie af te ronden

Een YubiKey is een apparaat dat zakelijke data beveiligd. f om deze standaard in de laptop te laten zitten. Zorg dat het bij verlies van de YubiKey actie onderneemt.

Veelgestelde vragen

Wat is het voordeel van Passwordless?

Passwordless inloggen heeft de voorkeur van Microsoft. Ze slaan hiermee een brug tussen gebruiksgemak en veiligheid. Je neemt de gevaren van phishing, keyloggers en meekijkers weg, en zorgt dat de persoonlijke verificatie betrouwbaarder is. Je wachtwoord kan gestolen worden, maar de persoonlijke verificatie methodes binnen Passwordless zorgen ervoor dat alleen jij kunt inloggen met iets wat je weet, bent en hebt.

Is tweefactorauthenticatie (Duo) niet voldoende?

Hoewel tweefactorauthenticatie (zoals Duo) ook een veilige methode is, is de kans op MFA fatigue in de praktijk groter. Medewerkers klikken in een pop-up sneller op "Ja, doorgaan", zonder te controleren of het om hun eigen inlogpoging gaat. Door een tijdelijk gegenereerde 2-cijferige code over te typen, is Passwordless ook tegen dit soort aanvalspogingen bestand.

Hoe vaak moet ik authenticeren?

Na het inloggen ontstaat er een sessie van een aantal uur waarin je in principe niet meer hoeft in te loggen binnen het Microsoft-platform (of alles wat op basis van Microsoft AzureAD draait). Lijk je toch uitgelogd? Dan is het in de meeste gevallen voldoende om de pagina te verversen, zodat je Microsoft-account gegevens opnieuw worden opgehaald.

Als je tussendoor naar een klant gaat en/of thuis in gaat loggen, zal Microsoft jouw identiteit opnieuw in twijfel trekken. Dit geldt ook wanneer je via Asista.Online een lokale schijf probeert te benaderen. Er komen dus mogelijk enkele inlogpogingen bij.

Hoe kan ik Passwordless testen?

Passwordless werkt na het instellen direct. Om dit in de praktijk te ervaren, kan de laptop opnieuw worden opgestart. Of probeer via een InPrivate-venster in te loggen bij een Microsoft 365-dienst (https://outlook.office.com).

Kost Passwordless inloggen extra tijd?

Passwordless inloggen bespaart je in de meeste gevallen tijd. Het intikken van je gebruikersnaam en een 2-cijferige code gaat veelal sneller dan een lang wachtwoord, waarna je sessie vervolgens een aantal uur in stand blijft. De veiligheid die je met Passwordless behaald is dubbel en dwars de paar seconden tijd waard.

Heb ik mijn wachtwoord nog nodig?

Na het instellen van Passwordless word je niet meer om je wachtwoord gevraagd. Je hoeft dus geen makkelijk te onthouden wachtwoord te kiezen, met het risico dat deze kan worden gekraakt of kwijt raakt. Alleen in uitzonderlijke gevallen het account met het originele wachtwoord worden hersteld. Kies dus voor moeilijk wachtwoord, sla deze veilig op (bijvoorbeeld in een wachtwoordkluis) en kijk hier niet meer naar.

Kan ik van Passwordless afzien?

Microsoft raadt het gebruik van Passwordless aan. Wil je hiervan af zien, dan is dit tegen het veiligheidsadvies van Asista in. Neem contact op met een geschreven verklaring (namens het gehele directieteam) om Passwordless op verzoek te laten uitschakelen. Deze keuze geldt voor de gehele organisatie.