Geavanceerde handleiding voor het instellen van wachtwoorden bij Google, Microsoft en Apple.

Laatste update: 16/01/2026
Auteur: Isaac
  • Passkeys vervangen wachtwoorden door gebruik te maken van FIDO2-cryptografie, biometrie en de pincode van het apparaat, waardoor het risico op phishing en diefstal van inloggegevens drastisch wordt verminderd.
  • Microsoft integreert wachtwoorden in Entra ID-, Authenticator- en FIDO2-sleutels, waardoor gedetailleerde beleidsregels mogelijk zijn met AAGUID-, attestatie- en authenticatieniveaus die worden afgedwongen door middel van voorwaardelijke toegang.
  • Apple slaat wachtwoorden op in de iCloud-sleutelbos en stelt je in staat deze te gebruiken in iPhone, iPad y MacTerwijl Google En externe beheerders faciliteren het gebruik op meerdere platformen.
  • Connectiviteit (Bluetooth, toegestane domeinen) en een correct beheer van lokale sleutels in Authenticator zijn essentieel om fouten bij de registratie en het gebruik tussen apparaten te voorkomen.

 

wachtwoorden

In zeer korte tijd zijn wachtwoorden geëvolueerd van een bijna experimentele technologie tot de standaard die wordt gepromoot door Google, Microsoft en Apple. om traditionele wachtwoorden achter je te laten. Als je gebruikt Android, iOS, Windows Op macOS ben je vrijwel zeker wel eens een prompt tegengekomen om een ​​toegangscode aan te maken, hoewel het niet altijd duidelijk is wat die codes precies inhouden of hoe je ze in elk ecosysteem correct configureert.

In deze uitgebreide handleiding leggen we op een duidelijke en eenvoudige manier uit hoe wachtwoorden werken en hoe je ze stap voor stap kunt configureren op Google, Microsoft en Apple.Dit omvat het gebruik van Microsoft Authenticator, FIDO2-beveiligingssleutels (zoals YubiKey) en iCloud Keychain op je iPhone. We bespreken ook de vereisten, belangrijke instellingen (Bluetooth, AAGUID, beleid in Microsoft Sign In ID), veelvoorkomende problemen en hoe je deze kunt oplossen, zodat je optimaal gebruik kunt maken van de beveiliging zonder overweldigd te raken.

Wat zijn passkeys en waarom zijn ze veiliger dan wachtwoorden?

Een passkey is een authenticatiesysteem gebaseerd op cryptografie met publieke en private sleutels. Dit stelt u in staat uw identiteit te bewijzen zonder een wachtwoord te hoeven onthouden of in te typen. In plaats van een geheime sleutel naar de server te sturen, genereert uw apparaat een sleutelpaar: een publieke sleutel (die bij de dienst blijft) en een privésleutel (die veilig wordt opgeslagen op uw mobiele telefoon, computer of ander apparaat). wachtwoordbeheerder compatibel).

Wanneer u inlogt met een wachtwoord, stuurt de service u een "uitdaging" die uw apparaat vervolgens ondertekent met de privésleutel. Nadat uw identiteit lokaal is geverifieerd met behulp van biometrie (vingerafdruk, Face ID, Windows Hello), apparaat-PIN of iets dergelijks, controleert de server die handtekening aan de hand van de openbare sleutel die al aan uw account is gekoppeld. Als deze overeenkomt, krijgt u toegang. Het belangrijkste is dat De privésleutel verlaat uw apparaat nooit.Het kan dus niet openbaar worden gemaakt bij een datalek.

Dit model verkleint het risico op diefstal van inloggegevens en phishingaanvallen aanzienlijk.Zelfs als een aanvaller uw publieke sleutel kopieert of u probeert te misleiden met een nepwebsite, kan hij de juiste handtekening niet genereren zonder toegang tot uw apparaat en uw biometrische authenticatie of pincode. Het is ook geen probleem om hetzelfde wachtwoord voor meerdere diensten te gebruiken, omdat Elke toegangscode is gekoppeld aan een specifieke website of app..

Passkeys integreert ook multifactorauthenticatie (MFA) van nature en vrijwel onzichtbaar.Je combineert iets wat je hebt (het apparaat of de FIDO2-token) en iets wat je bent of weet (biometrie of de pincode van het apparaat) in één gebaar. Geen gedoe meer met het kopiëren van sms-codes of het openen van... apps Voor authenticatie, door het invoeren van een nummer, wordt alles automatisch op het apparaat afgehandeld.

De overeenkomst is duidelijk: Apple, Google en Microsoft hebben via de FIDO-alliantie een akkoord bereikt. zodat deze inloggegevens interoperabel zijn, en er zijn al honderden miljoenen Google- en Microsoft-accounts die gebruikmaken van passkeys, evenals diensten zoals HubSpot en wachtwoordmanagers die zich ook bij deze standaard hebben aangesloten.

loper

Basisvereisten voor het gebruik van wachtwoorden bij Google, Microsoft en Apple.

Hoewel het concept op alle platforms vergelijkbaar is, heeft elk ecosysteem specifieke technische vereisten. Deze richtlijnen moeten worden gevolgd om ervoor te zorgen dat alles naar behoren werkt, met name als het gaat om Microsoft Authenticator en gebruik op meerdere apparaten.

In het geval van Microsoft Entra ID (voorheen Azure AD) en Microsoft AuthenticatorMinimaal zijn de volgende punten nodig:

  • Microsoft Multi-Factor Authentication (MFA) aanmelden inschakelen voor accounts die gebruikmaken van wachtwoorden.
  • Mobiele apparaten bijgewerkt: Android 14 of hoger, iOS 17 of hoger (en nog beter als het iOS 18 is om te profiteren van de nieuwste autofill-instellingen).
  • Voor registratie en authenticatie tussen apparaten (Bijvoorbeeld om in te loggen vanaf een pc met een wachtwoord dat op de mobiele telefoon is opgeslagen), is het essentieel dat Bluetooth en een actieve internetverbinding beschikbaar zijn op beide apparaten.

Veel organisaties beperken het gebruik en het verkeer van Bluetooth tot bepaalde domeinen.Dit kan de communicatie tussen apparaten blokkeren als het netwerkbeleid niet wordt aangepast. Om registratie en inloggen tussen apparaten met FIDO2-wachtwoorden correct mogelijk te maken, moet de organisatie connectiviteit toestaan ​​zonder verkeer te onderscheppen (geen SSL-inspectie of proxy's die certificaten injecteren) naar:

platform Vereiste URL's
Android cable.ua5v.com
iOS cable.auth.com
app-site-association.cdn-apple.com
app-site-association.networking.apple

Als uw bedrijf gebruikmaakt van proxy's, verkeersinspectie of zeer agressieve firewalls.Deze domeinen moeten expliciet worden uitgesloten van inspectie en direct worden toegestaan, anders zullen de wachtwoordstromen tussen apparaten mislukken zonder duidelijke reden voor de gebruiker.

Wachtwoorden configureren in Microsoft: Voer ID-, Authenticator- en FIDO2-sleutels in.

Microsoft heeft fors geïnvesteerd in wachtwoorden en deze geïntegreerd met Entra ID, Microsoft Authenticator en FIDO2-sleutels. zodat je zonder wachtwoord kunt inloggen op apps zoals Microsoft 365, Copilot, Teams of Outlook op compatibele browsers.

1. Schakel FIDO2-wachtwoorden in in Microsoft Entra ID (beheerportaal).

Als u een Entra ID-beheerder bent, is de eerste stap het inschakelen van de authenticatiemethode "Access Key (FIDO2)". Voor gebruikers of groepen die het gaan gebruiken:

  1. Ga naar het Microsoft-beheercentrum. Meld u aan. met ten minste de rol van beheerder van het authenticatiebeleid.
  2. Ga in het menu naar ID invoeren > Authenticatiemethoden > Beleid voor authenticatiemethoden.
  3. Zoek de methode Toegangssleutel (FIDO2) en kies of het van toepassing is op Alle gebruikers of aan specifieke groepen (alleen degenen die zijn toegelaten) beveiligingsgroepen).
  4. Bij de tab configurerenControleer deze belangrijke instellingen:
  • Zelfserviceconfiguratie inschakelen: doe het erin ja zodat gebruikers hun wachtwoorden kunnen registreren via 'Beveiligingsinformatie'. Als u dit laat staan NeeDe methode is wel ingeschakeld in het beleid, maar gebruikers kunnen zich er niet zelf voor registreren.
  • Verklaring aanvragenJe kunt het instellen in ja o Nee. Als je in jaEntra ID zal proberen te controleren of de toegangssleutel is aangemaakt op een legitiem apparaat of in een legitieme applicatie (bijvoorbeeld in Microsoft Authenticator, door informatie te vergelijken met Apple- en Google-services). Houd er rekening mee dat Communicatie tussen apparaten ondersteunt het vastleggen van "gecontroleerde" toetsen niet., alleen diegene die direct in de Authenticator-app zijn aangemaakt.
  • Belangrijkste beperkingenHier bepaalt u welke typen wachtwoorden kunnen worden geregistreerd en gebruikt. Als u dit instelt... Pas belangrijke beperkingen toe en NeeGebruikers kunnen elke compatibele toegangscode registreren, inclusief codes die direct in Authenticator zijn aangemaakt. Als u deze activeert in jaJe moet definiëren welke AAGUIDs (FIDO2-authenticator-identificaties) zijn toegestaan.
  Informatie die een VPN niet beschermt en risico's die u nog steeds loopt.

Om jezelf te beperken tot wachtwoorden die zijn aangemaakt in Microsoft Authenticator.U kunt het beleid zo configureren dat alleen de volgende AAGUID's zijn toegestaan:

  • Authenticator voor Android: de1e552d-db1d-4423-a619-566b625cdc84
  • Authenticator voor iOS: 90a3ccdf-635c-4729-a248-9b709135078f

Als u in de modus 'Toestaan' de optie 'Specifieke sleutels beperken' selecteert en 'Microsoft Authenticator' aanvinkt,Het systeem voegt deze AAGUID's automatisch toe aan de lijst. U kunt ze ook handmatig toevoegen, samen met andere die u al gebruikt. Opmerking: Als u een eerder toegestane AAGUID verwijdert, kunnen gebruikers die al een wachtwoord bij die authenticatiemethode hebben geregistreerd, deze niet langer gebruiken om in te loggen..

Klik op Opslaan als je klaar bent met het aanpassen van de instellingen.Als er een foutmelding verschijnt tijdens het opslaan met meerdere groepen, probeer dan de wijzigingen per bewerking slechts op één groep toe te passen en herhaal dit totdat de configuratie is voltooid.

2. Schakel wachtwoorden in Authenticator in met behulp van Microsoft Graph.

Naast het beheerdersportaal kunt u het FIDO2-beleid ook beheren met Microsoft Graph.Dit is erg handig als je implementaties of versie-updates wilt automatiseren.

Vanuit Graph Explorer, met de machtigingen Policy.Read.All en Policy.ReadWrite.AuthenticationMethod Na acceptatie kunt u:

  1. Herstel de huidige FIDO2-beleidsconfiguratie met:
    GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
  2. Werk het beleid bij met een bewerking. PATCH Bijvoorbeeld, Dwing attestatie af en beperk de sleutel tot Authenticator AAGUIDs.:

Voorbeeld van PATCH:
PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Request Body:{ "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": true, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "90a3ccdf-635c-4729-a248-9b709135078f", "de1e552d-db1d-4423-a619-566b625cdc84" ] }}

Nadat u de patch hebt toegepast, voert u de GET-aanvraag opnieuw uit om te controleren of het beleid correct is bijgewerkt. en dat de Authenticator AAGUIDs als toegestaan ​​worden weergegeven.

3. Bluetooth-beperkingen in bedrijfsomgevingen

Veel organisaties schakelen Bluetooth uit of beperken het gebruik ervan om veiligheidsredenen.Dit kan echter de uitwisseling van wachtwoorden tussen apparaten verstoren. Microsoft heeft op dit scenario geanticipeerd en staat daarom toe dat Bluetooth is ingeschakeld. Uitsluitend te koppelen met FIDO2-authenticators die een wachtwoord ondersteunen.zonder de deur open te zetten voor andere, minder gecontroleerde toepassingen.

Als uw bedrijf zich in deze situatie bevindt, raadpleeg dan de handleiding van Microsoft over 'Wachtwoorden in omgevingen met Bluetooth-beperkingen'., waarin gedetailleerd wordt beschreven hoe koppeling alleen met compatibele FIDO2-apparaten mogelijk is, terwijl alle andere beperkingen intact blijven.

4. Registreer en gebruik wachtwoorden in Microsoft Authenticator (iOS en Android)

Een van de handigste manieren om wachtwoorden te gebruiken met Microsoft Entra-accounts is door ze te registreren in de Microsoft Authenticator-app.Dit biedt je single sign-on (SSO) in native Microsoft-apps (Teams, Outlook, enz.) op hetzelfde apparaat.

Aanbevolen procedure: Registreer door in te loggen bij Authenticator (iOS).

Op iOS is de aanbevolen methode om rechtstreeks in te loggen bij Authenticator en de toegangscode vanuit de app aan te maken.:

  1. Download Microsoft Authenticator vanuit de App Store en sla de privacyschermen over.
  2. Afhankelijk van uw situatie:
  • Als dit uw eerste installatie is, in Bescherm je digitale leven. toca “Voeg een professioneel of educatief account toe”.
  • Als je het al had, maar geen accounts, druk dan op "Account toevoegen" of de knop + en kies dan “Professioneel of educatief account”dan "Inloggen".
  • Als je al een account hebt toegevoegd, log dan in en tik op “Maak een toegangssleutel aan”.

Voltooi de multifactorauthenticatie (MFA) die uw organisatie vereist. (codes, pushmeldingen, enz.).

Stel een schermvergrendeling in op je iPhone als je die nog niet hebt ingeschakeld. (Dit is nodig om Authenticator als wachtwoordprovider te gebruiken.) Schakel vervolgens vanuit de app zelf Authenticator in als wachtwoordprovider.

In iOS 18 ga je naar Instellingen > Algemeen > Automatisch invullen en wachtwoorden; in iOS 17 ga je naar Instellingen > Wachtwoorden > Wachtwoordopties. actief “Automatisch invullen van wachtwoorden en toegangssleutels” en selecteer Authenticator als bron voor automatisch aanvullen.

Wanneer u terugkeert naar Authenticator, drukt u op "Klaar" / "List" om te bevestigen dat Authenticator uw wachtwoordprovider is.De nieuwe sleutel verschijnt als inlogmethode voor uw account en u ziet de toegangscode in de accountgegevens.

Een wachtwoord registreren via 'Beveiligingsgegevens' (iOS)

Een andere optie is om te beginnen bij het scherm "Beveiligingsinformatie" in de browser en je te laten begeleiden bij het aanmaken van de sleutel in Authenticator.:

  1. Open op dezelfde iPhone waarop Authenticator is geïnstalleerd, of op een ander apparaat (bijvoorbeeld een laptop), uw browser en log in met MFA. Veiligheidsinformatie.
  2. Klik op “+ Voeg een inlogmethode toe” en kies dan “Toegangssleutel in Microsoft Authenticator”.
  3. Druk indien gevraagd op volgend en rondt de MFA-opleiding af.
  4. Als je Authenticator nog niet hebt, kun je via de assistent een QR-code scannen om de app vanuit de App Store te installeren. Daarna kun je verdergaan.
  5. U wordt gevraagd Authenticator te openen om de toegangscode aan te maken.Open de app, sla de privacyschermen indien nodig over en voeg je account toe zoals in de vorige stap (of ga naar de app en tik op de instellingen). “Maak een toegangssleutel aan” (als het account al bestaat).
  6. Voltooi MFA, stel schermvergrendeling in als je dat nog niet hebt gedaan en schakel Authenticator in als je wachtwoordprovider.
  7. Controleer de instellingen op iOS. Wachtwoorden en toegangssleutels automatisch aanvullen Om ervoor te zorgen dat de authenticatiemethode is geselecteerd.
  8. Ga terug naar Authenticator en druk op Klaar / gereed en controleer of u de bijbehorende toegangscode ziet.
  9. Ga terug naar de browser en druk op volgend Wacht tot de assistent bevestigt dat de toegangscode is aangemaakt.
  10. Zodra het is aangemaakt, wordt het weergegeven in de lijst met methoden onder "Beveiligingsinformatie"..

Alternatieve workflow via WebAuthn vanuit “Beveiligingsinformatie” (iOS)

Als je tijdens de registratie problemen ondervindt bij het inloggen op Authenticator, kun je kiezen voor een alternatieve methode via WebAuthn. Om de toegangscode direct op het iOS-apparaat aan te maken:

Het is belangrijk dat zowel het apparaat waarmee "Beveiligingsinformatie" wordt geopend als de iPhone een actieve internetverbinding en Bluetooth-verbinding hebben.Daarnaast moeten de bovengenoemde domeinen (cable.ua5v.com, cable.auth.com en Apple-domeinen voor sitekoppeling) toegestaan ​​zijn in de bedrijfsomgeving.

  1. En VeiligheidsinformatieWanneer je een wachtwoord toevoegt in Authenticator, tik je op “Heb je problemen?”.
  2. Selecteer de optie om “Maak de toegangscode op een andere manier aan”.
  3. kiezen “iPhone of iPad” Volg de instructies op het scherm om de toegangscode op het apparaat te registreren.

Als u op enig moment wilt terugkeren naar de oorspronkelijke procedure (via Authenticator),, vanaf de eerste kennisgeving van “Heb je problemen?” Je kunt ervoor kiezen om de toegangscode aan te maken door in te loggen bij Authenticator.

  Cipher.exe op Windows: praktisch gebruik, gedetailleerde bestandsversleuteling en veilig verwijderen

Verwijder geregistreerde wachtwoorden in Authenticator voor iOS.

Als je een toegangscode van Authenticator op je iPhone wilt verwijderen, log dan in op je account, tik op 'Instellingen' en vervolgens op 'Toegangscode verwijderen'.Vergeet niet dat je het ook moet verwijderen van Veiligheidsinformatie als het daar steeds weer verschijnt.

Aanbevolen procedure: Registreer door in te loggen op Authenticator (Android).

Op Android is de aanbevolen workflow vrijwel gelijk aan die op iOS.:

  1. Installeer Microsoft Authenticator vanuit Google Play, open de app en doorloop de privacyinstellingen.
  2. Voeg uw professionele of educatieve account toe:
  • Eerste keer: in Bescherm je digitale leven., druk op “Voeg een professioneel of educatief account toe”.
  • Als je de app al had zonder account: tik "Account toevoegen" of de knop +kiezen “Werk- of onderwijsaccount” y luego "Inloggen".
  • Als het account al is toegevoegd: log in en tik op “Maak een toegangssleutel aan”.

Voltooi de MFA-procedure, stel indien nodig een schermvergrendeling in en schakel Authenticator in als aanbieder van toegangssleutels.De assistent zal u doorgaans begeleiden naar:

  1. Android-instellingen > Wachtwoorden en accounts.
  2. In de sectie “Aanvullende leveranciers”, Zeker weten dat Authenticator is geselecteerd.

Wanneer u terugkeert naar Authenticator, drukt u op 'Klaar' om te bevestigen.Je ziet dat de toegangscode is toegevoegd als inlogmethode voor je account. Deze wordt, conform het beleid van je organisatie, gebruikt naast inloggen zonder wachtwoord en MFA (Multi-Factor Authentication).

Een toegangscode registreren via 'Beveiligingsgegevens' (Android)

Je kunt het proces ook starten via 'Beveiligingsinformatie' in de browser van je Android-apparaat of een ander apparaat.:

  1. Open op je Android-apparaat je browser en log in met MFA. Veiligheidsinformatie.
  2. pers “+ Voeg een inlogmethode toe” en selecteer “Toegangssleutel in Microsoft Authenticator”.
  3. Indien nodig, druk op volgend en de MFA-opleiding opnieuw afronden.
  4. Als je Authenticator nog niet hebt, kun je een QR-code scannen om de app te downloaden via Google Play.
  5. De assistent zal u vragen Authenticator te openen om de toegangscode aan te maken; open de app en voeg uw account toe of selecteer deze, net zoals voorheen.
  6. Voltooi MFA, stel een schermvergrendeling in als die er nog niet is, en schakel Authenticator in als uw toegangssleutelprovider. Wachtwoorden en accounts > Aanvullende aanbieders.
  7. Ga terug naar Authenticator en druk op Klaar / gereed En zorg ervoor dat je de toegangscode als inlogmethode ziet.
  8. Ga terug naar de browser en druk op volgend Wacht tot de wizard bevestigt dat de toegangssleutel correct is aangemaakt.
  9. De nieuwe sleutel verschijnt in de lijst met methoden onder 'Beveiligingsinformatie'..

Alternatieve workflow met WebAuthn vanuit “Beveiligingsinformatie” (Android)

Als u niet kunt inloggen bij Authenticator om de toegangscode te registreren, kunt u dit rechtstreeks via WebAuthn doen.:

Je hebt Bluetooth en een internetverbinding nodig, en je organisatie moet connectiviteit toestaan.:

  • cable.ua5v.com
  • cable.auth.com
  1. En VeiligheidsinformatieWanneer u een wachtwoord toevoegt in Authenticator, drukt u op “Heb je problemen?”.
  2. Kies de optie om maak de toegangscode op een andere manier aan.
  3. kiezen "Android" en volg de instructies om de toegangscode op het apparaat te registreren.

Als je later wilt terugkeren naar de oorspronkelijke workflow (Maak de sleutel aan door in te loggen bij Authenticator), in hetzelfde probleemdialoogvenster kunt u die optie opnieuw selecteren.

Verwijder wachtwoorden in Authenticator voor Android

Om een ​​wachtwoord in Authenticator op Android te verwijderen, tik je op de accountnaam, ga je naar 'Instellingen' en selecteer je 'Wachtwoord verwijderen'.In de meeste gevallen wordt het ook verwijderd uit 'Beveiligingsinformatie'; zo niet, ga dan daarheen en tik erop. verwijderen om het te verwijderen.

FIDO2-beveiligingssleutels (YubiKey en vergelijkbare sleutels) gebruiken met Microsoft

Naast wachtwoorden die gesynchroniseerd zijn met Authenticator, staat Microsoft nog steeds de registratie van fysieke FIDO2-beveiligingssleutels toe.Op zowel iOS als Android. Het gebruikelijke proces is:

  • Enter Veiligheidsinformatie vanuit de mobiele browser.
  • kiezen "Wachtwoord" of vergelijkbaar
  • Kies in het beveiligingsdialoogvenster de optie. “Op een andere manier besparen” y luego “Nog een apparaat” o “USB-beveiligingssleutel” zoals aangegeven.
  • Sluit de beveiligingssleutel aan op het apparaat (USB(NFC of Lightning), voer de pincode of biometrische gegevens in die specifiek zijn voor de sleutel en bevestig.
  • Aan het einde zal de website je vragen om een ​​naam voor het wachtwoord te kiezen, zodat je het makkelijk kunt herkennen. Druk vervolgens op Enter. Klaar.

Deze methode is ideaal als je een extra beveiligingslaag wilt die niet volledig afhankelijk is van het mobiele apparaat.omdat een YubiKey of iets dergelijks ook in andere FIDO2-diensten gebruikt kan worden.

5. Dwing het gebruik van wachtwoorden af ​​voor gevoelige bronnen (Authenticatiesterkte)

Als u binnen uw organisatie wilt dat bepaalde cruciale apps alleen bruikbaar zijn met FIDO2-wachtwoorden,U kunt vertrouwen op de “Sterke punten van authenticatie” Voer ID in, samen met voorwaardelijke toegang.

  1. Open het Microsoft-beheercentrum. Meld u aan als beheerder met voorwaardelijke toegang.
  2. Ga naar Inlog-ID > Authenticatiemethoden > Authenticatiesterkte.
  3. Maak een nieuwe authenticatiesterkte aan, geef deze een beschrijvende naam en, indien gewenst, een omschrijving.
  4. Merk “Toegangssleutels (FIDO2)” en open de geavanceerde opties.
  5. Selecteer de optie Phishbestendige MFA Of voeg specifiek de AAGUID's van de wachtwoorden toe in Authenticator:
  • Android: de1e552d-db1d-4423-a619-566b625cdc84
  • iOS: 90a3ccdf-635c-4729-a248-9b709135078f

Sla de nieuwe authenticatiesterkte op en pas deze toe op een beleid voor voorwaardelijke toegang. Dit heeft gevolgen voor gevoelige apps of bronnen waarvoor u FIDO2-wachtwoorden wilt vereisen.

6. Wachtwoorden verwijderen vanuit het perspectief van de beheerder

Als een gebruiker een wachtwoord verwijdert uit Authenticator, wordt dit wachtwoord ook verwijderd uit de inlogmethoden in Enter ID.Nu kan een beleidsbeheerder het beheerderscentrum openen, de gebruiker zoeken en verdergaan naar Authenticatiemethoden en handmatig een "Wachtwoord"-methode verwijderen.

Het verwijderen van de toegangscode uit het portaal verwijdert niet de sleutel die in Authenticator is opgeslagen.Tenzij de gebruiker de sleutel ook binnen de app verwijdert, kan deze lokaal blijven bestaan, zelfs als deze niet langer geldig is om mee in te loggen.

Hoe je wachtwoorden gebruikt met Apple: iPhone, iCloud Keychain en apps

Wachtwoorden op iPhone en Apple

Binnen het Apple-ecosysteem zijn toegangssleutels geïntegreerd in de Wachtwoorden-app (iCloud Keychain). En ze synchroniseren tussen al je Apple-apparaten via je iCloud-account. Hierdoor is een toegangscode die je op je iPhone hebt aangemaakt ook beschikbaar op je Mac, iPad, enzovoort.

Om een ​​wachtwoord aan te maken op een compatibele website of app vanaf je iPhone, de gebruikelijke stappen zijn:

  1. Ga naar het inlogscherm van de dienst in Safari of een app die wachtwoorden ondersteunt en volg, afhankelijk van uw situatie, deze stappen:
  • Als u een nieuw account aanmaaktTik op de knop of link. maak een account aan Volg de wizard totdat de optie om een ​​wachtwoord te gebruiken verschijnt.
  • Als je al een account hebtLog in met je gebruikersnaam en wachtwoord, ga naar account- of beveiligingsinstellingen en zoek naar de optie om Toegangssleutels toevoegen of beheren.
  VoidLink-malware: het geavanceerde framework dat een bedreiging vormt voor Linux en de cloud.

Wanneer de website u vraagt ​​een toegangssleutel op te slaan, tikt u op 'Doorgaan'.De toegangscode wordt aangemaakt en automatisch opgeslagen in Wachtwoorden binnen het systeem (wat voorheen "Wachtwoorden en sleutelbos" heette).

Je kunt zowel een wachtwoord als een toegangscode hebben voor dezelfde website of app.Beide opties worden in de Wachtwoorden-app onder dezelfde vermelding weergegeven. Wanneer u inlogt, toont iOS u suggesties om te kiezen tussen het gebruik van uw toegangscode of uw klassieke wachtwoord.

Apple biedt ook de mogelijkheid om een ​​toegangscode op een beveiligingssleutel op te slaan. hardwareAls u opties ziet zoals 'Andere opties', 'Opslaan op een ander apparaat' of iets dergelijks, kunt u het aanmaken van de toegangscode omleiden naar een YubiKey of een ander compatibel FIDO2-token, door de instructies op het scherm te volgen.

Om je iPhone-wachtwoorden vanaf een Windows-computer te gebruiken met een QR-code (platformoverschrijdend scenario)De workflow zou in browsers zoals Edge of Chrome moeten werken, mits:

  • De mobiele telefoon en de pc zijn verbonden met internet.
  • Bluetooth moet op beide apparaten ingeschakeld zijn.
  • Het netwerk blokkeert de domeinen die nodig zijn voor de uitwisseling niet (zoals cable.* en Apple).

Als je bij het scannen van de QR-code met je iPhone op je Windows-pc een bericht ziet zoals 'De bewerking kon niet worden voltooid. Probeer het opnieuw',Controleer eerst de verbindings- en Bluetooth-instellingen. In veel gevallen ligt het probleem bij beveiligings- of netwerkbeleid dat de verbinding blokkeert, en niet zozeer bij de browser zelf.

Wachtwoorden in Google (Android) en beheerders van derden

Op Android integreert Google toegangscodes in de wachtwoordmanager van Google-accounts. Het stelt ook andere beheerders van toegangssleutels (zoals bepaalde wachtwoordmanagers) in staat om deze inloggegevens te registreren en te synchroniseren.

Wanneer een compatibele service aanbiedt om een ​​wachtwoord aan te maken op een Android-apparaatJe krijgt meestal een dialoogvenster te zien waarin je wordt gevraagd waar je de sleutel wilt opslaan: in je Google-account, in een wachtwoordmanager van een derde partij, of zelfs op "een ander apparaat" (bijvoorbeeld een USB- of NFC-beveiligingssleutel).

Deze flexibiliteit stelt u in staat om meerdere wachtwoorden voor dezelfde service te gebruiken op verschillende authenticatieapparaten.Eén is gekoppeld aan je Google-ecosysteem, een andere aan Apple (als je ook een iPhone gebruikt) en nog een aan je wachtwoordmanager. Ze voldoen allemaal aan de FIDO2/WebAuthn-standaard, maar elk is gekoppeld aan een andere "site" of authenticatie-app.

Diensten zoals HubSpot integreren wachtwoorden door juist op deze systeemauthenticators te vertrouwen. (Windows, macOS, compatibele browsers of beheertools van derden). Vanuit uw beveiligingspaneel kunt u:

  • Stel een persoonlijke toegangssleutel in vanaf Algemeen > Beveiliging > Toegangssleutels configureren.
  • Voeg meer toegangssleutels toe als u meerdere apparaten gebruikt (bijvoorbeeld een op uw Mac en een ander op uw Android-apparaat). “Voeg nog een toegangssleutel toe”.
  • Sta superbeheerders toe om wachtwoorden als extra inlogmethode voor gebruikers in te schakelen, waarbij altijd vereist is dat er ten minste één alternatieve methode beschikbaar is zolang de functie zich in de bètafase bevindt.

Zodra de toegangscode in HubSpot is ingesteld, kunt u deze gebruiken in zowel de desktopbrowser als de mobiele apps voor iOS en Android. (ook al wordt de eerste versie op de computer aangemaakt). Kies bij het inloggen simpelweg 'Inloggen met toegangssleutel' en bevestig met biometrische gegevens of de pincode van het apparaat.

Wachtwoordbeheerders die passkeys ondersteunen, fungeren als een platformonafhankelijke brug.Ze bieden je de mogelijkheid om één toegangssleutel te gebruiken die werkt op Windows, macOS, Android en iOS, ongeacht het ecosysteem, zolang je de manager maar hebt geïnstalleerd en de sessie hebt gestart.

Veelvoorkomende problemen met de toegangscode oplossen

Hoewel het concept het inloggen aanzienlijk vereenvoudigt, zijn er in de praktijk verschillende veelvoorkomende problemen die je kunt tegenkomen bij het gebruik van wachtwoorden.vooral bij de combinatie van apparaten en strikte bedrijfsnetwerken.

Bij Microsoft Authenticator (zowel voor iOS als Android) kan het voorkomen dat de toegangscode lokaal wordt aangemaakt, maar niet op de server wordt geregistreerd.Dit kan gebeuren als:

  • De aanbieder van de toegangscode is geblokkeerd op grond van beleid.
  • De verbinding wordt tijdens het proces verbroken of verloopt.
  • Er is een probleem met de machtigingen in het FIDO2-beleid of in de toegestane AAGUID's.

Als u bij een nieuwe registratiepoging een foutmelding krijgt dat de toegangssleutel al bestaat, kunt u deze gebruiken.Het wordt echter niet als een geldige methode vermeld in de "Beveiligingsinformatie", dus de meest effectieve methode is doorgaans:

  • Log in bij de Authenticator-app.
  • Zoek de lokaal aangemaakte toegangscode.
  • Verwijder die toegangssleutel uit de app..
  • Start de registratieprocedure opnieuw (via Authenticator of via 'Beveiligingsinformatie').

Een ander klassiek probleem is dat wachtwoordoverdrachten tussen apparaten (bijvoorbeeld QR-codes tussen iPhone en Windows) mislukken zonder duidelijke verklaring.De aanwijzing zit hier bijna altijd in:

  • Bluetooth is uitgeschakeld of beperkt.
  • Beperkte internetverbinding.
  • Vereiste domeinen worden geblokkeerd of onderschept door het netwerk van de organisatie.

Als u fysieke FIDO2-beveiligingssleutels gebruikt, kunt u ook fouten tegenkomen bij het opnieuw invoeren van de sleutel of het valideren van de pincode.In dergelijke gevallen is het raadzaam een ​​andere poort te proberen, te controleren of de browser onbeperkte WebAuthn ondersteunt en, indien u een mobiel apparaat gebruikt, te controleren of de adapter (USB-CLightning) heeft OTG-compatibiliteit of een equivalent daarvan.

Vergeet ten slotte niet dat sommige ingebedde omgevingen, zoals de browser die is geïntegreerd in de Outlook-desktopapp, deze functie mogelijk niet ondersteunen.Ze bieden nog geen ondersteuning voor wachtwoorden, hoewel dezelfde service deze wel accepteert in een gewone browser. Dit is bijvoorbeeld het geval bij HubSpot in de Outlook-invoegtoepassing: het wachtwoord werkt in Outlook Web, maar niet in de ingebouwde browser van de desktop-app.

De overstap naar een wereld zonder wachtwoorden is gebaseerd op passkeys en is bij Google, Microsoft en Apple al werkelijkheid.Als u de vereisten correct configureert (MFA, Bluetooth, toegestane domeinen), het Entra ID-beleid aanpast, Microsoft Authenticator, iCloud Keychain op de iPhone en Google of sleutelbeheerders van derden gebruikt, kunt u een veel snellere, handigere en phishingbestendige inlogervaring creëren, waarbij wachtwoorden alleen nog als noodoplossing dienen en niet als primaire toegangsmethode.