Kort samengevat is Multi-Factor Authenticatie (MFA) een authenticatie methode waarbij de online gebruiker minimaal twee stappen succesvol moet doorlopen om ergens toegang toe te krijgen. Dit soort authenticatie wordt ook wel Two-Factor Authenticatie (2FA) genoemd. Hoewel ‘ two-factor authenticatie’ een populaire term blijft, is MFA steeds meer de overkoepelende term geworden omdat je meerdere factoren kunt hanteren om de gewenste beveiliging toe te passen.
De eerste stap is de bekendste: Een gebruikersnaam en wachtwoord, dit is tegenwoordig de meest voorkomende vorm van authenticatie. Sinds het aanmaken van individuele gebruikersaccounts voor computer- en applicatietoegang zijn gebruikersnamen en wachtwoorden de norm. Het wachtwoord is de populairste en een van de meest gebruikte veiligheidsmaatregelen, maar vaak ook de meest kwetsbare. Meestal zijn alle accounts gekoppeld aan een e-mailadres. Van alle gebruikers gebruikt zelfs 2/3 hetzelfde wachtwoord voor meerdere accounts, daarom is het belangrijk om voor ieder account een uniek wachtwoord in te stellen. Door voor ieder account een uniek wachtwoord te gebruiken verlaag je het risico dat al je accounts ineens gehackt kunnen worden aanzienlijk. Deze vorm van hacken noemt men ook wel ‘brute-force attacks. In een volgend artikel gaan we hier verder op in, en hoe je het beste wachtwoorden kunt opslaan en bedenken.
De tweede stap is dat je naast het ingeven van een inlognaam en wachtwoord een tweede sleutel dient in te geven om in te kunnen loggen. Een aantal voorbeeld mogelijkheden zijn: Het ontvangen van een sms-code, een aanmeldingsverzoek in een gekoppelde app op je smartphone of het overnemen van een gegeneerde code. Alleen deze combinatie zorgt ervoor dat je toegang krijgt.
DigiD vereist bijvoorbeeld tegenwoordig dat je een gebruikersnaam en wachtwoord + een 2e factor (app of smscode) nodig hebt om in te kunnen loggen op overheidswebsites.
Log je nog ergens in met alleen een gebruikersnaam of wachtwoord? Pas het dan snel aan en schakel MFA in. Een extra handeling is misschien vervelend, maar veel vervelender is het als kwaadwillenden toegang krijgen tot je account en namens jou bijvoorbeeld een bestelling plaatsen.
De 5 factoren die je kunt toepassen:
We kunnen authenticatiemiddelen in vijf categorieën (of factoren) indelen: iets dat je weet, iets dat je bent, iets dat je hebt, locatie en tijd. Als het op beveiliging aankomt, dan heeft elke factor andere eigenschappen.
1. Iets dat je weet – Deze eerste factor kennen we allemaal: de gebruikersnaam en het wachtwoord. Daarnaast vallen de beveiligingsvragen hier ook onder. Het combineren van een gebruikersnaam en wachtwoord met een beveiligingsvraag wordt nog steeds beschouwd als single-factor authenticatie, omdat ze beide in deze categorie vallen.
2. Iets dat je bent – Deze authenticatiefactor omvat alle biometrische gegevens die als referenties kunnen dienen. Voorbeelden zijn vingerafdrukken, gezichtsherkenning of irisscans. Dit type authenticatie is steeds populairder geworden bij mobiele apparaten met ingebouwde vingerafdrukscanners en gezichtsherkenning. Deze middelen zijn gemakkelijk in gebruik. Je hebt je vingerafdruk immers altijd bij je en die raak je ook niet zomaar kwijt.
3. Iets dat je hebt – Hieronder vallen items zoals sleutelkaarten en hardware tokens. Eenmalige wachtwoorden die via een sms of e-mail naar mobiele telefoons van gebruikers worden verzonden, worden in toenemende mate ook onder deze factor ingedeeld. Het gebruik van mobiele apparaten helpt het risico van verlies van fysieke items te bestrijden. In sommige systemen fungeert het apparaat van de gebruiker zelf als een factor in deze categorie, nadat het is gemarkeerd als een “vertrouwd apparaat”.
4. Locatie – Verwijst naar de geografische of netwerkbeperkingen die kunnen worden toegevoegd aan authenticatiemethoden voor extra beveiliging. Gebruikers hebben bijvoorbeeld alleen toegang tot een applicatie wanneer ze zich binnen het bedrijfsnetwerk of in een specifiek land bevinden.
5. Tijd – Verwijst naar eventuele beperkingen die kunnen worden toegevoegd om authenticatie binnen een bepaald bereik van uren te houden. Op tijd gebaseerde factoren biedt beveiliging als uw gebruikers alleen binnen een bepaalde periode mogen inloggen – bijvoorbeeld tussen 09.00 en 17.00 uur.
Voorwaardelijke toegang
Bedrijven gebruiken daarnaast ook steeds vaker voorwaardelijke toegang, hierbij worden bepaalde minimale eisen gecombineerd, deze vorm van beveiliging is het meest ideale omdat je dan ook nog extra eisen kunt stellen, bijvoorbeeld welk apparaat, welke app of welke versie van een besturingssysteem je minimaal moet hebben (laatste updates) om toegang te kunnen krijgen.
Voorwaardelijke toegang is daarmee dus eigenlijk ook een factor maar hoort niet helemaal thuis in het bovenstaande rijtje, voorwaardelijke toegang is juist de verbinder om meerdere factoren samen te brengen tot een minimale beveiligingseis.
Waarom is MFA voor mij de oplossing?
Er zijn veel voordelen verbonden aan Multi-Factor Authenticatie, we hebben de belangrijkste hieronder uitgewerkt om je te overtuigen dat het echt zorgt voor een betere nachtrust:
- Betere beveiliging: Niet alleen omdat je diefstal van wachtwoorden voorkomt, maar ook omdat het inloggen met alleen een gebruikersnaam en wachtwoord kwetsbaar is voor brute-force-aanvallen of social engineering/ social hacking.
- Eenvoudigere aanmeldingsprocedure: Je zou denken dat MFA het aanmeldproces bij accounts ingewikkelder maakt. Echter, kunnen bedrijven dankzij de extra beveiliging van MFA meer geavanceerde aanmeldingsopties gebruiken, zoals eenmalig inloggen ook wel SSO (Single-Sign-On) genoemd. Door het loginscherm te vervangen met een app op je telefoon vereenvoudigt de aanmeldingsprocedure enorm. Gebruikers hoeven daarna alleen nog maar een PIN of wachtwoord in te voeren of zelfs alleen maar via de telefoon “goedkeuren” te tikken zonder iets in te hoeven typen.
- Een stap richting extra bevestiging: De AVG verplicht bedrijven om er alles aan te doen om ongeoorloofde toegang zoveel mogelijk tegen te gaan. Dat geldt vooral bij het beschermen van gevoelige gegevens zoals persoonlijk identificeerbare informatie of financiële gegevens. Dat betekent dat MFA een stap is die nodig is om dit te realiseren.
- Essentieel onderdeel in de realisatie van cybersecurity: We doen steeds meer in de cloud, in principe is de cloud veiliger dan de lokale applicaties omdat in de cloud de update cyclus veel centraler uitgevoerd wordt. Zonder MFA in 2023 ergens inloggen is eigenlijk uit den boze, ga dus zo snel mogelijk na of je ergens nog accounts gebruikt waarbij geen MFA wordt toegepast, en schakel dit in. Ondersteunt een applicatie of website dit niet? Probeer dan op zoek te gaan naar een alternatief die dat wel heeft.
Updaten, bescherm jezelf tegen hackers (1) – PC-APK (pcapk.nl)