De talloze diefstallen van logingegevens van de afgelopen jaren (bijvoorbeeld LinkedIn en Apple) laten zien dat authenticatie door middel van een gebruikersnaam-en-wachtwoordcombinatie niet meer afdoende is. Wanneer deze gegevens in verkeerde handen terecht komen (en dat komen ze steeds vaker), is het voor onbevoegden mogelijk toegang te krijgen tot allerlei gegevens waar ze geen toegang toe zouden moeten hebben. De vraag naar betere toegangsbeveiliging groeit dan ook met de dag, zeker ook gezien de komst van diverse cloud- en mobiele oplossingen. Een goede oplossing is: Multi Factor Authenticatie.
Wat is Multi Factor Authenticatie?
Multi Factor Authenticatie (MFA) is een manier waarop authenticatie verleend wordt door middel van meerdere factoren. Eigenlijk legt de benaming van de methode zichzelf al uit. Door meerdere factoren van authenticatie wordt er op een veiligere manier toegang verleend.
Er zijn drie soorten authenticatiemiddelen:
1. Iets wat iemand weet
Bijvoorbeeld een wachtwoord of pincode.
2. Iets wat iemand heeft
Toegangsmiddelen zoals ID-pasjes of een mobiele telefoon.
3. Iets wat iemand is
Biometrische gegevens zoals vingerafdruk, irisscan of gezichtsherkenning.
Door gebruik te maken van twee van deze verschillende authenticatiemiddelen wordt de beveiliging verhoogd. Gebruiksnamen en wachtwoorden zijn relatief eenvoudig te verkrijgen voor hackers. Andere authenticatiefactoren zoals de mobiele telefoon, een ID-pasje of vingerafdruk zijn niet of moeilijk te verkrijgen en maakt het hackers dus veel moeilijker. Zo niet onmogelijk.
Veel mensen zijn al bekend met Multi Factor Authentificatie
Schijnveiligheid
Bij veel organisaties ziet men de risico’s van het inloggen met alleen een gebruikersnaam en wachtwoord. Wachtwoorden zijn eenvoudig te kraken of kunnen in veel gevallen geraden worden. Vaak wordt er gekozen voor schijnmaatregelen, zoals zogenaamde complexe wachtwoorden of het regelmatig verplicht wijzigen van het wachtwoord. Dit resulteert alleen maar in ergernis bij de gebruikers en in nog meer voorspelbaarheid, want de 1 in het wachtwoord wordt veranderd in een 2 en een maand later wordt de 2 een 3 enzovoorts.
Hoe werkt Multi Factor Authenticatie?
Dit leggen we graag uit aan de hand van een voorbeeld uit de praktijk.
Een organisatie werkt met een omgeving waarbij de medewerkers vanuit huis kunnen inloggen op het bedrijfsnetwerk (via een zogenaamde Remote Desktop Gateway) en onder andere bij bedrijfskritische informatie en applicaties kunnen.
In onderstaand overzicht ziet u een schematische weergave van de inlogprocedure:
A) Een gebruiker logt in met zijn gebruikersnaam en wachtwoord. De Remote Desktop server verifieert de gebruikersnaam en wachtwoord met de Active Directory (een database waarmee beheer van gebruikers en toegang tot diensten en bestanden binnen netwerken kan worden geregeld).
B) Als de verificatie positief is gaat de gebruiker door naar zijn Remote Desktop.
De directie weet dat veel medewerkers voor zowel bijvoorbeeld Facebook als het inloggen op het bedrijfsnetwerk dezelfde wachtwoorden gebruiken. Ze willen hun netwerk en gegevens daarom beter beveiligen met verificatie op basis van meerdere factoren: wachtwoord en mobiele telefoon.
Het inlogproces verandert en ziet er als volgt uit:
1) Gebruiker logt in met gebruikersnaam en wachtwoord. De remote desktop server communiceert nu direct met de in het netwerk geïnstalleerde MFA-server welke via Active Directory controleert of de opgegeven gebruikersnaam en wachtwoord kloppen.
2) Als de MFA-server een positief antwoord ontvangt vanuit Active Directory legt de MFA-server een beveiligde verbinding met de MFA Cloud service.
3) Deze MFA Cloud service verifieert of de gebruiker in het bezit is van het van tevoren ingestelde telefoonnummer. De telefoonnummers worden uit de Active Directory gelezen. Met een automatisch telefoontje, een sms of een bericht via de MFA app verifieert de gebruiker zijn login. Bij bevestiging van de gebruiker communiceert de MFA-server een goedkeuring naar de Remote Desktop server. Nu is de login compleet en de gebruiker gaat door naar de Remote Desktop.
Schematisch ziet dat er zo uit:
De resultaten
Door de implementatie van MFA zijn de bedrijfsgegevens en applicaties beter beschermd tegen onbevoegden. De kans dat deze in handen vallen van cybercriminelen is stukken kleiner geworden. Bij een hack van logingegevens bij bijvoorbeeld LinkedIn of Facebook slaapt de directie nu een stuk beter.
Tegelijkertijd komt het tegemoet aan de wensen van de medewerkers: ze kunnen hun eigen gewenste authenticatiemethode kiezen en ze krijgen in geen enkel geval een tweede loginscherm, want de verificatie vindt volledig onder water plaats via zogenaamde Single Sign On.
Kortom, de bedrijfsgegevens zijn beter beschermd zonder de medewerkers op te zadelen met extra loginschermen. Sterker nog, ze zijn binnen deze organisatie nu ook af van de maandelijkse frustratie van het verplicht aanpassen van wachtwoorden.
