www.belgium.be Logo of the federal government

Accounts beter beschermen met multifactorauthenticatie

Paper
2FA

Je wachtwoord beschermt je niet zoals je denkt. Vooral als iemand je wachtwoord kan raden door naar je sociale media te kijken. Maar laten we zeggen dat je een complex wachtwoord hebt - of zelfs een wachtwoordmanager – zelfs dan hebben cybercriminelen nog steeds manieren om achter je wachtwoord te komen. Als ze eenmaal in het bezit zijn van je gegevens, kan je je geld en eventueel je identiteit vaarwel zeggen.

Dus, wat heb je nodig? Meer dan een wachtwoord! Een tweede methode om je identiteit te verifiëren.

Waarom moet mijn organisatie multifactorauthenticatie (MFA) inschakelen?

Het implementeren van MFA maakt het moeilijker voor een cybercrimineel om toegang te krijgen tot informatiesystemen, zoals externe toegangstechnologie, e-mail en factureringssystemen, zelfs als wachtwoorden zijn gecompromitteerd door phishingaanvallen of andere middelen.

Die extra stap nemen die verder gaat dan alleen een wachtwoord gebruiken, kan je bedrijf, je online aankopen, bankrekeningen en zelfs je identiteit beschermen tegen potentiële hackers.

Verschillende benamingen voor MFA:

  • Multifactorauthenticatie
  • Tweestapsverificatie
  • Verificatie in 2 stappen
  • Tweefactorauthenticatie
  • 2FA

Wat is multifactorauthenticatie (MFA)?

MFA is een gelaagde aanpak om online accounts en de gegevens die ze bevatten te beveiligen. Als je MFA gebruikt bij online diensten (zoals e-mail), moet je een combinatie van twee of meer methodes voor authenticatie gebruiken om je identiteit te bewijzen voordat je toegang krijgt. Het gebruik van MFA beschermt je account meer dan enkel met een gebruikersnaam en wachtwoord. 

Bedrijven en organisaties die MFA inschakelen, lopen aanzienlijk minder kans om gehackt te worden. Waarom? Omdat zelfs als cybercriminelen één factor (zoals het wachtwoord) bemachtigen, ze niet kunnen voldoen aan de tweede stap van de authenticatie, waardoor ze uiteindelijk geen toegang krijgen tot de account.

Online diensten willen er zeker van zijn dat je bent wie je zegt dat je bent, en - nog belangrijker - ze willen voorkomen dat onbevoegden toegang krijgen tot je account en gegevens. Daarom nemen ze een stap om je identiteit dubbel te controleren. In plaats van alleen te vragen naar iets wat je weet (bv. een wachtwoord of PIN code) - dat kan worden hergebruikt, gemakkelijker kan worden gekraakt of gestolen - kunnen ze controleren of je het bent door je om een ander onafhankelijk gegeven te vragen:

  • Iets wat je hebt (telefoonoproep, authenticatie via een applicatie)
  • Iets wat je bent (vingerafdruk of gezichtsscan)

Hoe schakel ik MFA in?

Elk bedrijf moet ervoor zorgen dat alle toegang vanaf het internet tot bedrijfsapplicaties verplicht gebeurt via een vorm van MFA.

Nu je weet wat het is, zul je overal vragen zien over multifactorauthenticatie. Zorg er dus voor dat je het inschakelt wanneer het beschikbaar is.  Begin met de beveiligingsinstellingen van de meest gebruikte accounts. Mogelijk zie je opties om MFA in te schakelen als "Two Factor Authentication", "Multifactor Authentication" of "Two Step Factor Authentication". Er zijn vele manieren om te vragen naar een tweede vorm van authenticatie. 

Technisch gezien is integreren van Microsoft of Google MFA niet zo’n moeilijke opdracht. Bijna elke leverancier van software die cyberveiligheid ook maar een beetje ter harte neemt, biedt de optie voor MFA gratis aan. Wanneer je organisatie ervoor kiest om hardware tokens te integreren, zal er enige kennis hiervan aanwezig moeten zijn, want die instellingen zijn voor elke applicatie wat verschillend.

Populaire vormen van MFA zijn:

  • Applicatie gebaseerde MFA (“authenticatie app")
  • Verificatie via e-mail, code per sms of telefoonoproep
  • Vingerafdrukverificatie of gezichtsscan

Je moet er echt voor zorgen dat alle toegang vanaf het internet tot bedrijfsapplicaties verplicht gebruik maken van multifactorauthenticatie.

Dwing multifactorauthenticatie (MFA) af voor alle medewerkers binnen het bedrijf of de organisatie die:

  • Inloggegevens hebben om toegang te krijgen tot de bedrijfsapplicaties (email, boekhouding,…)
  • Van buitenaf toegang hebben tot de organisatie (VPN verbindingen, extern bureaublad (RDS,…)
  • Administratorsrechten hebben om zaken te configureren of te implementeren, zoals bijvoorbeeld de toegang tot de beheersmodule voor DNS, Active Directory, firewall en switch configuratie,  de beheersmodule voor je Cloud of hosting provider.

Onderstaande lijst is een niet-limitatieve opsomming van software waarbij multifactorauthenticatie (MFA) het best geactiveerd wordt.

Hoe MFA gebruiken binnen Operations Technology (OT) en Internet of Things (IoT)

In toenemende mate zijn gebruikers niet alleen individuen in de OT- en IoT-omgeving, maar ook apparaten en diensten, waarvoor sommige van de opties voor MFA niet haalbaar zijn. MFA contrasteert met het verwachte gebruiksgemak.

Authenticatiefactoren zoals vingerafdrukken, gezichtsherkenning, retinale scanning, stem- en handtekeningherkenning zijn niet mogelijk voor machine-to-machine en IoT, maar zouden in het veld door engineers of operators kunnen worden gebruikt.

Andere, zogenaamde adaptieve authenticatieopties zijn wel nuttig in de OT/IoT-omgeving. Deze zijn:

  • Locatie: Is de toegang afkomstig van een bekende locatie? Gaat een gebruiker van een particulier naar een openbaar netwerk?
  • Tijd: Is het tijd- en datapatroon voor de toegang tijdens de verwachte werkuren?
  • Apparaat: Is de toegang afkomstig van een bekend apparaat?

Hoe adaptieve authenticatie gebruiken en integreren in een OT-omgeving?

  • Locatie: De Bluetooth-capaciteit van een handapparaat en de bijbehorende authenticatie kunnen de locatie van een persoon ten opzichte van apparatuur bevestigen. Bluetooth heeft een beperkte straal en daarom moeten de twee apparaten zich binnen die straal bevinden.
  • Tijd: Werknemers worden geacht tijdens hun normale werkuren verbonden te zijn, terwijl apparaten met regelmatige updatecycli doorgaans consistente communicatiepatronen hebben. Veranderingen hiervan zijn een vlag. Interventies op de toestellen worden typisch wel buiten de werkuren uitgevoerd.
  • Apparaat: Maakt het apparaat verbinding/routering via een ander adres? Maak steeds gebruik van zonering in netwerken met Network Access Control (NAC) en kan bevestigen dat het MAC-adres overeenkomt met het apparaat.

Hoewel niet alle MFA-technieken geschikt zijn voor de OT-ruimte en machine-to-machine-identificatie, zijn ze zeker een goede stap, vooral om die achterdeuren te helpen beveiligen tegen misleiding.