U kunt er niet omheen: multifactor-authenticatie wordt steeds meer de norm. Maar hoe werkt het precies en waar moet u op letten?
Uw beveiliging mag niet falen. Dat maakt authenticatie zo’n lastig item voor een IT-manager. Want er zijn voortdurend mensen die uw authenticatiesysteem proberen te omzeilen. Enerzijds zijn dat hackers die steeds nieuwe aanvalsmethodes bedenken. En anderzijds zijn het de medewerkers die het teveel gedoe vinden. Of er gewoon slordig mee omgaan.
Daarom is een wachtwoord alléén allang niet meer voldoende voor een serieuze beveiliging. We weten allemaal waarom: wachtwoorden zijn vaak gemakkelijk te raden, ze worden niet geheim gehouden door de gebruikers of ze worden gewoon gestolen door hackers. Dus het gaat een keer mis. Als u pech heeft, wordt uw bedrijf wekenlang lamgelegd. En dan weet u wie de schuld krijgt: dat bent u.
Hoe het niet moet
Er is dus méér nodig: multifactor-authenticatie (MFA). Om binnen te komen moet u niet alleen iets weten (het wachtwoord) maar ook iets hebben. Bijvoorbeeld een PIN-pas: het klassieke antwoord van de bankensector.
Bankpassen hebben het voordeel dat mensen er voorzichtiger mee zijn dan met een wachtwoord. Maar voor een bedrijf is het een duur systeem. De kaart kost weliswaar niet meer dan een paar euro, maar u moet hem om de paar jaar vervangen. En hij is makkelijk te verliezen. Dan komen mensen gestrest aankloppen bij de helpdesk, die de kaart snel moet blokkeren en vervangen. Kortom: een hoop overhead voor de extra veiligheid. De meeste experts verwachten dan ook dat hij binnen een paar jaar van het toneel zal verdwijnen.
Wat komt ervoor in de plaats? Hard tokens? Die apparaatjes produceren een inlogcode die voortdurend wisselt. Veilig? Ja, zolang de token niet wordt gestolen of verloren. Maar ook weer duur. En met een structurele beperking. Er is namelijk geen hard token zo handig als de smartphone.
Ideale oplossing
Voor IT-managers heeft de smartphone als beveiligingsmiddel vier enorme voordelen. Ten eerste: u kunt gewoon de bedrijfstelefoon gebruiken of – nog mooier – de gebruikers kopen hem zelf! Ook het beheer nemen de medewerkers voor hun eigen rekening, met steun van Apple en Google.
Ten tweede kunt u erop rekenen dat ze hun smartphone goed in de gaten houden. Voor veel mensen is het een eerste levensbehoefte: ze zijn er voortdurend mee bezig.
Ten derde is het een token met biometrische beveiliging. Hij kan namelijk uw vingerafdruk of gezicht herkennen. Zo heeft u in feite nog maar nauwelijks een wachtwoord nodig voor de authenticatie: u moet nu iets hebben én iemand zijn.
Maar hoe zet u het mobieltje concreet in? In het begin was dat met SMS: men logt in bij de bank en die stuurt een SMS’je met een code. Dat lijkt veilig, maar SMS is geen veilig protocol. Het is eenvoudig te faken, bijvoorbeeld met een SIM-wissel.
De ideale oplossing is een speciale app, zoals de Microsoft Authenticator. Die krijgt een versleuteld seintje dat de eigenaar bij een bepaalde dienst wil inloggen en vraagt hem dan met een pop-up om dit te bevestigen. Of de Authenticator produceert een inlogcode, à la de hard tokens.
Een authenticatie-app kan dus verschillende functies hebben, afhankelijk van de behoefte. Ook kunnen het gebruik en de werking van de app gemakkelijk in de gaten worden gehouden. Zo komen we bij het vierde voordeel van de smartphone: op basis van waargenomen bedreigingen kan de beveiliging intensiever gemaakt worden.
Keep it simple
Maar ook hier geldt: bezint eer ge begint. Ook de beste oplossing moet goed worden geïmplementeerd. Neem het voorbeeld van bedrijven die het wachtwoord voor beveiligde e-mail verzenden via – u raadt het al – datzelfde beveiligde e-mailsysteem.
Wat kan er dan misgaan met de implementatie van MFA? Om te beginnen: complexiteit. In het recente verleden worstelden medewerkers vaak met verschillende tokens voor authenticatie bij verschillende systemen binnen een organisatie. Dan raakt men in de war en worden ze slordiger.
Eenvoud is dus cruciaal. Dat betekent idealiter: single sign-on (SSO). Als medewerker logt u ’s ochtends in bij uw organisatie en vervolgens kunt u de hele sessie lang in alle systemen waar u bevoegd voor bent.
Dit alles maakt het natuurlijk essentieel om zeker te weten dat de telefoon inderdaad van deze gebruiker is. Dus moet bij zijn eigen registratie ook zijn mobieltje geregistreerd worden.
De kosten van MFA kunnen sterk variëren. Op zich hoeft het niet duurder te zijn dan een systeem met alleen wachtwoorden, maar dan moet u het wel goed integreren. Dus voeg niet zomaar een tweede factor toe bovenop uw bestaande authenticatie. Met zulke bolt-on security introduceert u extra complexiteit zonder dat u weet of de combinatie echt veiliger is.
Noodingang
MFA is technisch nog zelden gehackt, maar de mens blijft de zwakste schakel in de keten. Een van de voordelen van single sign-on is dat inloggen een bewuste actie is die op begrijpelijke momenten gedaan moet worden. U moet immers voorkomen dat mensen zonder nadenken elke pop-up van hun Authenticator goedkeuren. Want dat kan worden misbruikt door hackers.
Dit vergt ook training van gebruikers. Ze moeten goed beseffen wat ze moeten doen en waarom. Net zoals de banken er continu op hameren dat u uw PIN geheim moet houden.
Speciale aandacht moet uitgaan naar de helpdesk. Stel: iemand belt dat zijn smartphone kapot is. Hij moet toch dringend in het systeem, want anders mist het bedrijf een grote opdracht. Wat doet u dan? Ieder systeem heeft een noodingang, maar die moet dan ook extra goed bewaakt worden. Stereotiepe controlevragen als de meisjesnaam van uw moeder of uw geboorteplaats zijn tegenwoordig door hackers gemakkelijk te beantwoorden. Van bekende mensen staan de antwoorden gewoon op Wikipedia, anderen hebben ze op Facebook staan.
Wapenwedloop
OK, de MFA is goed geïmplementeerd. Ook de helpdesk is klaar voor incidenten. Zijn we nu voor altijd veilig?
Het antwoord is natuurlijk nee. Hackers zullen steeds weer nieuwe trucs bedenken. Zo gaan er verhalen over experimenten met siliconen maskers om de gezichtsherkenning te bedotten. En over deep fakes.
Dat zal echter zo’n vaart niet lopen. Facial recognition kijkt naar heel subtiele details in een bewegend 3D-beeld. Er is Apple en Samsung veel aan gelegen om te zorgen dat het systeem veilig blijft. Hetzelfde geldt voor Microsoft. Als het nodig is, wordt de beveiliging gewoon verzwaard.
Zo moet elke organisatie dus steeds waakzaam zijn. Blijf het systeem goed monitoren. Er zullen altijd incidenten zijn, ook met MFA. Zorg dat u daarvan leert! Want IT-beveiliging is en blijft een wapenwedloop tussen de good en de bad guys.
Hoe houdt u ransomware buiten de deur?
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.