'Windows 10 werpt nieuwe beveiligingwal op'

Een belangrijke is de komst van de Trusted Platform Module (TPM) die vanaf 2015 standaard is in nagenoeg elk Windows-gebaseerd apparaat. Deze module vormt de spil in de uitbanning van het traditionele wachtwoord als poortwachter bij het gebruik van het apparaat. De module fungeert als een password-manager. De eerste keer dat een account wordt gebruik maakt de computer een geheime code aan die in een door TPM beveiligde container komt te staan. Voor elk account komt er een aparte beveiligingscode. De TPM-container is te ontgrendelen met een handeling naar keuze: een PIN-code tot 20 karakters lang, een ontgrendelingsbeweging of een biometrisch kenmerk.

Twee-factor-authenticatie komt algemeen beschikbaar

Met het systeem is een twee-factor-authenticatie op te zetten. Een smartphone, Windows Phone, maar ook iOS of Android, kan de inloggegevens voor apps op de pc bevatten en omgekeerd. Met een Bluetooth-verbinding kunnen de gegevens worden uitgewisseld. Dat betekent dat twee-factor-authenticatie mogelijk is zonder digitale sleutelhangers of andere tokens.

Windows 10 kan verschillende afgeschermde containers aanmaken. Zo kunnen de inloggegevens van werkgerelateerde systemen apart worden gehouden. Die container kan ook draaien op een Hyper-V-virtualisatie, ofwel de Virtual Secure Mode zoals Microsoft die noemt. Ook Windows zelf draait in een container. Mocht onverhoopt toch een kwaadwillende een rootkit installeren en het systeem overnemen, dan blijven de andere containers beschermd.

Mini OS binnen Windows 10

Hallum legt uit dat deze VSM's eigenlijk een soort mini OS bevatten dat ongeveer 1 GB aan geheugen gebruikt en net genoeg capaciteit heeft om de Local Security Authority (LSA) te laten draaien die nodig is voor het leveren van de authentication-diensten.

Hallum is er van overtuigd dat dit een architectuur oplevert die een forse barrière opwerpt tegen misbruik. Hij voegt er overigens aan toe dat geen enkele maatregel 100 procent beveiliging kan geven.