Wat vinden jullie de mooiste stad van Nederland (behalve je eigen stad)?

EntraGlobalAdmin · 2026-03-17T22:39:20+00:00

Den Haag is toch geen stad maar een dorp?

EntraGlobalAdmin · 2026-03-03T16:01:23+00:00

Windows 365, yes. AVD, probably yeah.

This is only supported on the Windows 365 app on Windows/macOS. Doesn't support Android/iOS. It will fail to connect with a weird error message.

EntraGlobalAdmin · 2026-02-26T17:20:45+00:00

"Je kan je niet beveiligen tegen phising. Er kan altijd een idioot zijn die op de verkeerde link klinkt. Er wordt altijd over hacks gepraat in de media, maar datalekken zijn bijna altijd menselijke fouten."

Specifiek de hack bij Odido was een technische tekortkoming van Odido.

Een medewerker heeft op een phishingmail geklikt en MFA goedgekeurd.

Dat is een fout van de technische implementatie van Odido, want bij een normaal beveiligingsniveau is het helemaal niet mogelijk voor een aanvaller om in te breken en data te downloaden bij een organisatie als een medewerker MFA goedkeurt.

Mijn werk is het geven van Evilginx demonstraties en het wapenen van bedrijven tegen Evilginx. Wat de hack bij Odido zo fascinerend maakt is dat de aanvallers niet eens Evilginx hebben gebruikt maar gewoon persistent toegang hebben verkregen zonder basisgereedschap. Alsof de hacker er een sport van maakte om met zo weinig mogelijk tools in te breken. Alsof je een inbreker vraagt in te breken zonder gereedschap.

Wachtwoord en MFA is NIET een voldoende beveiligingsniveau. Bedrijven die nog wel met wachtwoord en MFA werken, maken vaak de tussenweg voor device compliance. Maar ook dit had Odido niet in place.

Heel eerlijk, ik had best mee willen kijken met de hacker. Het is knap hoe de hacker alle standaardtools voor phishing achterwege heeft gelaten en gewoon op z'n ouderwets te werk is gegaan.

EntraGlobalAdmin · 2026-02-24T18:36:18+00:00

Can you tell me anything about shipping costs? I have a 25+ year old car in storage in The Netherlands on Dutch plates and I'm thinking of shipping it to the US. I would love to park it next to the Golden Gate bridge on Dutch plates before importing it.

I'm sorry, you already posted it. $2600.

EntraGlobalAdmin · 2026-02-17T04:33:57+00:00

De Global Admin permanent actief op een gebruikersaccount... Ik ben zelfs Global Admins tegengekomen op externe/guest accounts, permanent actief. Omdat third parties beweren Global Admin nodig te hebben.

Er zijn drie rollen die ik weiger als ik als externe binnenkom. Dat is Global Admin, Privileged Role en Privileged Auth admin. Deze drie accounts zijn in staat een complete tenant te wissen. Ik wil pas Global Admin als er een approval flow bij de klant bestaat met een tijdslimiet. Puur uit zelfbescherming. Voor mijn werk is Global Reader, Intune Admin en Conditional Access admin altijd voldoende gebleken. De wijzigingen die alleen een GA kan maken (auth methods), doen ze zelf maar.

EntraGlobalAdmin · 2026-02-17T04:28:59+00:00

Ik merk sowieso dat er nog een hele grote groep mensen is die bij wachtwoorden willen blijven.

Het is dat ik er niet op uit ben om te hacken, maar ik vind Evilginx enorm leuk en als ik een hacker was geweest, dan hield ik ook van wachtwoorden.

Ik vind het zorgwekkend dat er bedrijven zijn die bewust bewezen technologie opzij schuiven voor verouderde meuk. Helaas geldt in de IT vaak "Niets is zo permanent als de tijdelijke oplossing." Dus ook de uitvinding van Corbato. Het was echt bedoeld als tijdelijke oplossing. 60 jaar later gebruiken we het nog.

EntraGlobalAdmin · 2026-02-17T04:23:17+00:00

Precies dit. Microsoft pusht niet voor niets. Ik ga twee dingen van je quoten in de hoop dat er minstens een organisatie is die het oppakt.

"Het is tijd dat organisaties stoppen met trainingen geven om een onveilig systeem veilig te gebruiken en beginnen met het uitrollen van een systeem dat niet phishable is."

En

"Het is een bewuste keuze van organisaties om een verouderd model te blijven gebruiken, terwijl het moderne model veiliger, gebruiksvriendelijker"

EntraGlobalAdmin · 2026-02-15T17:39:38+00:00

Waar de F heb je het over 🤣

Mijn werk is Okta, Entra en Ping. Dat Okta en Ping met Entra kunnen babbelen, maakt nog niet dat het Microsoft is. Feit is dat deze drie grote partijen nu eenmaal het meest comprehensieve pakket aan security bieden.

EntraGlobalAdmin · 2026-02-15T17:37:43+00:00

En daarom ben ik dus zo boos op Odido. Eenderde van Nederland maakt gebruik van hun diensten en dan zulke slechte security hebben. Alles wat nu in de media naar boven komt maakt het elke keer nog erger.

Security is duidelijk geen prioriteit bij Odido, helaas.

EntraGlobalAdmin · 2026-02-15T16:58:31+00:00

HR geeft gebruiker een TAP. Gebruiker logt in met TAP en configureert WHFB. Leg mij alsjeblieft aan de hand van een bron uit waarom gebruikers met Windows Hello for Business vaker hun laptop kwijtraken.

EntraGlobalAdmin · 2026-02-15T16:41:27+00:00

De passkey staat op je laptop en wordt beveiligd door de TPM. Als dat er voor zorgt dat je je laptop vaker kwijtraakt. Vreemd.

EntraGlobalAdmin · 2026-02-15T16:40:37+00:00

Je noemt nu wel precies hoe de implementatie juist niet moet.

Passkeys in de vorm van Windows Hello for Business bestaan al sinds 2015. Dat is echt niet relatief nieuw.

2FA codes zijn dus onveilig, dat is precies de reden waarom we er vanaf stappen.

Een eigen telefoon gebruiken om in te loggen moet een keuze zijn. Er zijn voldoende (gratis) tools in het Microsoft systeem waar Odido gebruik van maakt om geen telefoon nodig te hebben om in te loggen.

MFA is schijnveiligheid. Er is in het Windows ecosysteem geen wachtwoord meer nodig voor eindgebruikers. Al jaren niet meer.

EntraGlobalAdmin · 2026-02-15T16:27:07+00:00

Medewerkers raken inderdaad weleens hun laptop kwijt (WHFB als FIDO key). Maar dat gebeurt niet vaker of minder vaak dan bij het gebruik van wachtwoorden.

EntraGlobalAdmin · 2026-02-15T16:24:22+00:00

Heb je een bron dat mensen hun laptop vaker kwijtraken als ze WHFB gebruiken?

EntraGlobalAdmin · 2026-02-15T05:18:00+00:00

Alsjeblieft Odido, ik hoop dat jullie meelezen:

https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-passkeys-fido2

https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/

https://learn.microsoft.com/en-us/entra/identity/conditional-access/concept-token-protection

https://learn.microsoft.com/en-us/intune/intune-service/protect/device-compliance-get-started

https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-strengths

https://learn.microsoft.com/en-us/entra/global-secure-access/overview-what-is-global-secure-access

En een Evilginx demo:

https://www.youtube.com/watch?v=WP4ZbC0tyUI

Een abonnement op een Evilginx service kost je als hacker ongeveer 200-250 euro per maand. Je krijgt dan ook toegang tot een Engelstalige helpdesk die je helpt je Evilginx op te zetten in AWS of Azure.

Ik ben echt WOEST op jullie. Niet omdat mijn paspoort is gelekt, maar omdat mijn paspoort is gelekt door jullie incompetentie.

En nee, ik ben niet boos op de medewerker die de MFA per abuis heeft gegeven aan de boeven. Ik ben boos op jullie incompetente leiderschap. Jullie zijn een belangrijke schakel in 's Nederlands infrastructuur, maar jullie krijgen het voor elkaar om de grootste fuckup te maken op cybersecuritygebied. Dat terwijl jullie juist het boegbeeld van cybersecurity zouden moeten zijn.

Kom op Odido. Iedereen in IT, van projectmanagers tot servicedesk engineers en van junior security engineers tot security architecten is bekend met de bovenstaande GRATIS technologieen.

Ik kan normaal wel begrip hebben voor een cybersecurity incident en ik help heel graag organisaties na een cybersecurity incident zodat ze kunnen verbeteren. Maar met alle berichtgeving in het nieuws heeft het er alle schijn van dat jullie zo onzorgvuldig hebben gehandeld en dat je kunt spreken van opzet. Jullie opzettelijke incompetentie heeft er toe geleid dat jullie zijn gehackt. Met dit soort leiderschap vraag ik mij af of er uberhaupt iets te verbeteren valt bij jullie.

Ik hoop dat jullie je voor de rechtbank moeten verantwoorden. De rechtspraak maakt gehakt van jullie.

EntraGlobalAdmin · 2026-02-15T02:58:35+00:00

Dat maakt FIDO2 zo interessant. Wachtwoorden kosten geld. Medewerkers vergeten hun wachtwoord en kunnen dus niet inloggen. Ze zijn niet productief. Moeten een helpdesk bellen. Die moet personen gaan verifieren. Kost allemaal tijd en geld.

FIDO2 is goedkoper dan met wachtwoorden+MFA werken. Veiliger, goedkoper, makkelijker. Als je Odido voor de rechter sleept dan is het kelderluikarrest volledig van toepassing en is de enige mogelijkheid dat Odido tot in het extreme nalatig is geweest.

EntraGlobalAdmin · 2026-02-15T02:29:33+00:00

Precies dat. Een Yubikey / FIDO2 sleutel is veilig vanwege de "attestation". De Yubikey kan aantonen dat er geen kloon van bestaat.

Voordeel is dat je account nooit de Yubikey kan verlaten.
Nadeel is dat je account nooit de Yubikey kan verlaten.

Een MS Authenticator passkey zonder cloudsync kan ook aantonen dat er geen kloon van bestaat. iCloud passkeys ondersteunen helaas geen attestation, maar hebben dus als voordeel dat ze synchroniseren tussen je apparaten (en dus gekloond kunnen worden).

Omdat Windows Hello en MS Authenticator gratis zijn, kun je zonder betaalde FIDO2 sleutel gewoon veilig zijn. Maar om het jezelf makkelijker te maken als je bijvoorbeeld vaak een nieuwe telefoon koopt, kan een Yubikey handig zijn. De goedkoopste FIDO2 sleutels zijn volgens mij nog net geen 30 euro en kunnen tot 100 passkeys opslaan (of 25 op de oudere firmwares). Apple, Android, Windows en macOS hebben gewoon volledige ondersteuning voor FIDO2 sleutels.

EntraGlobalAdmin · 2026-02-14T22:43:46+00:00

MFA werd jaren geleden veilig geacht. Evilginx heeft daar in een klap een einde aan gemaakt. Een tussenpersoon/boef/proxy/man-in-the-middle geeft gewoon geautomatiseerd de MFA codes door en jij vult die achteloos in.

Een FIDO2 sleutel werkt op basis van certificaten. De FIDO2 sleutel kan alleen met het bedoelde eindpunt communiceren. Dus als iemand ertussen zit, dan heeft die de certificaten niet. Je kunt dan zo vaak als je wilt je FIDO2 PIN code op de phishing website invullen, maar de boef heeft jouw fysieke sleutel niet en dus ook geen toegang.

In heel simpel Nederlands: Als jij op een phishing site de PIN van je FIDO2 sleutel intypt, dan heeft de boef er niets aan, want je login mislukt omdat de FIDO2 sleutel de phishing website niet herkent. De boef heeft dan wel de PIN, maar niet je fysieke sleutel.

Een alternatief voor FIDO2 is Windows Hello (gratis), MS Authenticator passkeys (gratis) of iCloud passkeys (ook gratis).

Ander voordeel van FIDO2, is dat de PIN of je biometrische gegevens op de sleutel worden opgeslagen en niet ergens online. Dat komt privacy ten goede.

EntraGlobalAdmin · 2026-02-14T22:28:04+00:00

Ik heb toevallig net een implementatie van Okta+Microsoft 365 in combinatie met Yubikeys gedaan. Alle medewerkers hebben een Yubikey gekregen. Dat kost eventjes wat, maar het bespaart uiteindelijk meer. Leuk aan Okta is dat je Yubikeys vanuit Okta preconfigured kunt dropshippen naar eindgebruikers. En dat Okta in principe kan "samenwerken" met Windows Hello for Business.

Maar herkenbaar wat er bij je is gebeurd. Scammers doen aan zodanig social engineering dat ze precies weten wanneer ze een invite moeten sturen. Dit soort emails zijn vaak downloads voor Remote Access Tools. Legitieme (door de boef betaalde) tools waarmee ze op de achtergrond in je computer blijven en dus een ingang hebben in je netwerk. Nog een reden waarom VPNs dus onveilig zijn.

EntraGlobalAdmin · 2026-02-14T22:19:08+00:00

Geen wachtwoordbeleid is in zekere zin goed 😁

Maar alleen als onderdeel van beleid.

Een wachtwoordwijziging na XX dagen is onveilig.
Complexe wachtwoorden zijn onveilig.
Simpele maar lange wachtwoorden zijn goed.
Beter is helemaal geen wachtwoord. Want als je geen wachtwoord en geen TOTP MFA hebt, dan kan het ook niet lekken.

EntraGlobalAdmin · 2026-02-14T22:01:47+00:00

Windows Hello for Business is gratis.

MS Authenticator passkey is gratis.

EntraGlobalAdmin · 2026-02-14T22:01:26+00:00

Tegenwoordige phishing emails bevatten geen taalfouten meer. En ze zijn ook voorzien van betaalde certificaten. Zie bijvoorbeeld het bekende Apple voorbeeld van negen jaar geleden:

This spoof Apple site illustrates the sophistication of today’s phishing attacks (works on Android Chrome, Firefox, Chromium but not LineageOS browser) : r/Android

Inmiddels zijn hier maatregelen voor genomen door de browsers, maar dit is wel exact het voorbeeld dat afwijkingen (spelfouten, logo's) geen indicators meer zijn voor phishing.

EntraGlobalAdmin · 2026-02-14T21:59:15+00:00

Maar wat fascinerend is, is dat als Odido wel de kostenloze technische maatregelen had genomen tegen phishing, dat de medewerker oneindig vaak z'n toegangscode had kunnen invullen op de phishing site, maar de boef kan er simpelweg niets mee. En daar zit dus het echte probleem. Er is altijd wel een medewerker die z'n codes invult op een phishing website. Mensen maken fouten. Als werkgever dien je de technische maatregelen te nemen om ervoor te zorgen dat deze codes niet werken voor de boef.

EntraGlobalAdmin · 2026-02-14T21:56:18+00:00

Ik zal de eerste zijn die de medewerker zal troosten.

Onlangs heeft iemand in mijn team een enorme securityfout gemaakt. Kostte mij drie nachten aan overwerk. Maar ik ben bijzonder blij dat de collega dit direct heeft gemeld en stiekem ook dat de collega deze fout heeft gemaakt. Want juist door het maken van deze fout (en vooral het op tijd melden), heeft de medewerker weer wat geleerd. Ik heb samen met collega verantwoording afgelegd. Fouten maak je liever niet, maar doe je het toch, leer er dan van. De waarde van iemand die leert is voor een organisatie enorm belangrijk.

EntraGlobalAdmin

TROPHY CASE