Je kunt er niet omheen: multifactor-authenticatie, MFA, wordt steeds meer de norm. Maar hoe werkt het precies en waar moet je op letten?
Jouw beveiliging mag niet falen. Dat maakt authenticatie zo’n lastig item voor een IT-manager. Want er zijn voortdurend mensen die jouw authenticatiesysteem proberen te omzeilen. Enerzijds zijn dat hackers die steeds nieuwe aanvalsmethodes bedenken. En anderzijds zijn het de medewerkers die het teveel gedoe vinden. Of er gewoon slordig mee omgaan.
Daarom is een wachtwoord alléén allang niet meer voldoende voor een serieuze beveiliging. We weten allemaal waarom: wachtwoorden zijn vaak gemakkelijk te raden, ze worden niet geheim gehouden door de gebruikers of ze worden gewoon gestolen door hackers. Dus het gaat een keer mis. Als je pech hebt, wordt je bedrijf wekenlang lamgelegd. En dan weet je al wie de schuld krijgt: jij.
Hoe het niet moet
Er is dus méér nodig: multifactor-authenticatie (MFA). Om binnen te komen moet je niet alleen iets weten (het wachtwoord) maar ook iets hebben. Bijvoorbeeld een PIN-pas: het klassieke antwoord van de bankensector.
Bankpassen hebben het voordeel dat mensen er voorzichtiger mee zijn dan met een wachtwoord. Maar voor een bedrijf is het een duur systeem. De kaart kost weliswaar niet meer dan een paar euro, maar je moet hem om de paar jaar vervangen. En hij is makkelijk te verliezen. Dan komen mensen gestrest aankloppen bij de helpdesk, die de kaart snel moet blokkeren en vervangen. Kortom: een hoop overhead voor de extra veiligheid. De meeste experts verwachten dan ook dat hij binnen een paar jaar van het toneel zal verdwijnen.
Wat komt ervoor in de plaats? Hard tokens? Die apparaatjes produceren een inlogcode die voortdurend wisselt. Veilig? Ja, zolang de token niet wordt gestolen of verloren. Maar ook weer duur. En met een structurele beperking. Er is namelijk geen hard token zo handig als de smartphone.
Ideale oplossing
Voor IT-managers heeft de smartphone als beveiligingsmiddel vier enorme voordelen. Ten eerste: je kunt gewoon de bedrijfstelefoon gebruiken of – nog mooier – de gebruikers kopen hem zelf! Ook het beheer nemen de medewerkers voor hun eigen rekening, met steun van Apple en Google.
Ten tweede kun je erop rekenen dat ze hun smartphone goed in de gaten houden. Voor veel mensen is het een eerste levensbehoefte: ze zijn er voortdurend mee bezig.
Ten derde is het een token met biometrische beveiliging. Hij kan namelijk je vingerafdruk of gezicht herkennen. Zo heb je in feite nog maar nauwelijks een wachtwoord nodig voor de authenticatie: je moet nu iets hebben én iemand zijn.
Maar hoe zet je het mobieltje concreet in? In het begin was dat met SMS: je logt in bij je bank en die stuurt je een SMS’je met een code. Dat lijkt veilig, maar SMS is geen veilig protocol. Het is eenvoudig te faken, bijvoorbeeld met een SIM-wissel.
De ideale oplossing is een speciale app, zoals de Microsoft Authenticator. Die krijgt een versleuteld seintje dat de eigenaar bij een bepaalde dienst wil inloggen en vraagt hem dan met een pop-up om dit te bevestigen. Of de Authenticator produceert een inlogcode, à la de hard tokens.
Een authenticatie-app kan dus verschillende functies hebben, afhankelijk van de behoefte. Ook kunnen het gebruik en de werking van de app gemakkelijk in de gaten worden gehouden. Zo komen we bij het vierde voordeel van de smartphone: op basis van waargenomen bedreigingen kan de beveiliging intensiever gemaakt worden.
Keep it simple
Maar ook hier geldt: bezint eer ge begint. Ook de beste oplossing moet goed worden geïmplementeerd. Neem het voorbeeld van bedrijven die het wachtwoord voor beveiligde e-mail verzenden via – je raadt het al – datzelfde beveiligde e-mailsysteem.
Wat kan er dan misgaan met de implementatie van MFA? Om te beginnen: complexiteit. In het recente verleden worstelden medewerkers vaak met verschillende tokens voor authenticatie bij verschillende systemen binnen een organisatie. Dan raak je in de war en word je slordiger.
Eenvoud is dus cruciaal. Dat betekent idealiter: single sign-on (SSO). Als medewerker log je ’s ochtends in bij je organisatie en vervolgens kun je de hele sessie lang in alle systemen waar je bevoegd voor bent.
Dit alles maakt het natuurlijk essentieel om zeker te weten dat de telefoon inderdaad van deze gebruiker is. Dus moet bij zijn eigen registratie ook zijn mobieltje geregistreerd worden.
De kosten van MFA kunnen sterk variëren. Op zich hoeft het niet duurder te zijn dan een systeem met alleen wachtwoorden, maar dan moet je het wel goed integreren. Dus voeg niet zomaar een tweede factor toe bovenop je bestaande authenticatie. Met zulke bolt-on security introduceer je extra complexiteit zonder dat je weet of de combinatie echt veiliger is.
Noodingang
MFA is technisch nog zelden gehackt, maar de mens blijft de zwakste schakel in de keten. Een van de voordelen van single sign-on is dat inloggen een bewuste actie is die op begrijpelijke momenten gedaan moet worden. Je moet immers voorkomen dat mensen zonder nadenken elke pop-up van hun Authenticator goedkeuren. Want dat kan worden misbruikt door hackers.
Dit vergt ook training van gebruikers. Ze moeten goed beseffen wat ze moeten doen en waarom. Net zoals de banken er continu op hameren dat je je PIN geheim moet houden.
Speciale aandacht moet uitgaan naar de helpdesk. Stel: iemand belt dat zijn smartphone kapot is. Hij moet toch dringend in het systeem, want anders mist het bedrijf een grote opdracht. Wat doe je dan? Ieder systeem heeft een noodingang, maar die moet dan ook extra goed bewaakt worden. Stereotiepe controlevragen als de meisjesnaam van je moeder of je geboorteplaats zijn tegenwoordig door hackers gemakkelijk te beantwoorden. Van bekende mensen staan de antwoorden gewoon op Wikipedia, anderen hebben ze op Facebook staan.
Wapenwedloop
OK, de MFA is goed geïmplementeerd. Ook de helpdesk is klaar voor incidenten. Zijn we nu voor altijd veilig?
Het antwoord is natuurlijk nee. Hackers zullen steeds weer nieuwe trucs bedenken. Zo gaan er verhalen over experimenten met siliconen maskers om de gezichtsherkenning te bedotten. En over deep fakes.
Dat zal echter zo’n vaart niet lopen. Facial recognition kijkt naar heel subtiele details in een bewegend 3D-beeld. Er is Apple en Samsung veel aan gelegen om te zorgen dat het systeem veilig blijft. Hetzelfde geldt voor Microsoft. Als het nodig is, wordt de beveiliging gewoon verzwaard.
Zo moet elke organisatie dus steeds waakzaam zijn. Blijf het systeem goed monitoren. Er zullen altijd incidenten zijn, ook met MFA. Zorg dat je daarvan leert! Want IT-beveiliging is en blijft een wapenwedloop tussen de good en de bad guys.
Lees ook:
- Awareness – Maak je mensen fighting fit
- Phishing en de kunst van het verleiden