Het lijkt wel of we elke dag horen over een nieuw datalek of een ransomwareaanval tegen grote en kleine bedrijven. Het is een van de nadelen van zo'n snelle technologische groei – net zo snel als cyberbeveiligers hun verdediging kunnen verbeteren, breiden cybercriminelen hun aanvalsarsenaal uit.
Om de risico's te beperken, moeten zowel particulieren als bedrijven doen wat ze kunnen om hun eigen persoonsgegevens en die van hun klanten te beschermen. Multi-factorauthenticatie (MFA) is een stap die iedereen zou moeten nemen om een extra beveiligingslaag toe te voegen aan het inloggen op accounts.
MFA vereist een extra bevestiging van de identiteit van een gebruiker, naast de eenvoudige invoer van een wachtwoord. Dit lijkt misschien een snelle oplossing, maar de invoering ervan in een hele onderneming kan ingewikkeld zijn. We leggen uit hoe belangrijk het is om multi-factorauthenticatie te gebruiken en geven enkele stappen die bedrijven kunnen nemen om MFA in te stellen om hun systemen te beschermen.
De risico's
Een inbreuk op de cyberbeveiliging is altijd duur voor bedrijven. Inbreuken zijn niet alleen duur in termen van losgeld of andere financiële lasten, ze brengen ook andere grote risico's met zich mee, zoals het verlies van vertrouwen van de klant.
De CEO van Colonial Pipeline moest bijvoorbeeld de beslissing nemen om een losgeld van 4,4 miljoen dollar te betalen, en dan hebben we het nog niet eens over de gevolgen voor de hele regio die door gastekorten wordt getroffen.
Alleen al in 2020 waren er 4000 bevestigde datalekken die iedereen troffen, van kleine bedrijven tot techgiganten als Microsoft. Incidenten zoals ransomware- en malware-aanvallen, oplichting via phishing en andere hacks maken dagelijks persoonlijke gegevens openbaar. Deze aanvalsvectoren worden nog uitgebreider met de opkomst van cloud computing, het Internet of Things (IoT), digitaal bankieren en vele andere ontwikkelingen die ons digitale leven gemakkelijker maar ook gevaarlijker maken.
Een van de grootste problemen is dat hoe geavanceerd de technologie ook wordt, mensen toch kwetsbaar blijven. Zo zijn mensen berucht om hun slechte wachtwoorden. De meeste mensen gebruiken wachtwoorden die ze kunnen onthouden, wat betekent dat ze ook kunnen worden geraden of geforceerd met behulp van databases van veelgebruikte wachtwoorden. De meeste mensen gebruiken ook hetzelfde wachtwoord voor meer dan één account, dus één kleine inbreuk en al uw accounts kunnen in gevaar zijn.
Er is al enige actie ondernomen om dit risico aan te pakken. Twee-factorauthenticatie (2FA) is wijdverbreid en neemt meestal de vorm aan van een e-mail- of sms-code die naar de telefoon of e-mail van een gebruiker wordt gestuurd. Helaas zijn gewone 2FA-oplossingen niet zo veilig.
Telefoons kunnen worden gestolen en veel telefoons hebben geen beveiliging, behalve misschien een viercijferige pincode voor schermvergrendeling (die kan worden achterhaald). Evenzo kunnen e-mailaccounts gemakkelijk worden gecompromitteerd en zijn mensen vatbaar voor phishingpraktijken via e-mail. Dit betekent dat we een andere laag nodig hebben dan eenvoudige wachtwoorden en 2FA.
Hoe MFA kan helpen
Het toevoegen van extra beveiligingslagen kan het hackers veel moeilijker maken om toegang te krijgen tot uw online accounts, en MFA is een van de minst tijdrovende of indringende manieren om dit te doen. Het is zelfs zo belangrijk dat bedrijven als Google MFA verplichten voor alle gebruikers om het risico te verkleinen.
U zou MFA moeten implementeren, zelfs als u denkt dat uw systeem veilig is. Volgens cyberbeveiligingsdeskundige Ludovic Rembert van Privacy Canada moet u altijd meerdere beschermingslagen hebben, zelfs voor zoiets als een privé wifinetwerk of een beveiligingssysteem voor thuis:
“Als een van uw apparaten via wifi is verbonden, kunnen [hackers] ook toegang krijgen tot uw netwerk in het algemeen”, zegt Rembert. “Om ervoor te zorgen dat dit niet gebeurt, kunt u extreem lange wachtwoorden maken met unieke symbolen, uw wachtwoord vaak wijzigen, de beveiligingsinstellingen controleren of een extra beschermingslaag gebruiken met encryptiesoftware.”
De toenemende alomtegenwoordigheid van IoT-apparaten en cloudgebaseerde oplossingen maakt dit nog belangrijker. Vooral tijdens de pandemie maakte thuiswerken het voor bedrijven noodzakelijker om hun werknemers te voorzien van apparaten op afstand en veilige connectiviteit. Helaas maken cloudgebaseerde oplossingen en IoT-apparaten de cyberbeveiligingsinfrastructuur complexer en zijn er talrijke gevallen geweest die de kwetsbaarheid van dergelijke apparaten hebben aangetoond.
MFA voegt beveiligingslagen toe door te eisen dat u uw identiteit op meer dan één manier bewijst. Authenticatie gebeurt meestal aan de hand van drie opties: iets dat u weet (bv. wachtwoord of pincode), iets dat u heeft (bv. smartcard of veiligheidstoken) en iets dat u bent (bv. vingerafdruk of stemherkenning). MFA werkt door ten minste twee van deze opties te combineren voor extra veiligheid.
Bovendien worden de MFA-opties nog geavanceerder door gebruik te maken van kunstmatige intelligentie (AI) voor authenticatie op basis van gedrag. Zogenaamde intelligente verificatie biedt een meer gepersonaliseerde verificatie door naast de traditionele gebruikersgegevens ook rekening te houden met de locatie, het IP-adres, het tijdstip, enz. van inloggen. Dit biedt een blik op de toekomst van MFA die, in combinatie met protocollen voor digitaal identiteitsbeheer, organisaties nog betere beveiliging zou kunnen bieden.
Hoe MFA instellen
Hoewel MFA vanuit het oogpunt van de gebruiker een van de minst belastende beveiligingsmaatregelen is, kan het voor bedrijven nog steeds een uitdaging zijn om de juiste oplossingen te kiezen. Hier zijn een paar tips om in gedachten te houden bij het gebruik van multi-factorauthenticatie voor uw organisatie.
Diversifieer uw authenticatiestappen
Er zijn veel mogelijke factoren die u in uw MFA kunt opnemen. We hebben het al gehad over eenmalige wachtwoorden (OTP's), en hoewel die op zich misschien niet volstaan, kunnen ze een gemakkelijke manier zijn om het hackers moeilijker te maken zonder het werk van uw werknemers nog frustrerender te maken. Veiligheidsvragen zijn vergelijkbaar; ze zijn op zichzelf niet genoeg, maar het is tenslotte multi-factor.
Authenticatie met een softwaretoken of push-gebaseerde authenticatie, is een vergelijkbaar maar sterker alternatief voor op sms gebaseerde OTP's. Dit vereist een extra toepassing om aanmeldingen te verifiëren, maar als dit eenmaal is ingesteld, zou het voor gebruikers geen gedoe moeten zijn. Een push is veiliger omdat het buiten de band om gebeurt, dat wil zeggen over een beveiligde verbinding die fysiek gescheiden is van het primaire netwerk.
Deze meldingen worden via een gecodeerd kanaal verstuurd en bevatten geen echte code. Terwijl OTP's op basis van sms'jes vanaf een vergrendeld telefoonscherm kunnen worden gelezen, moeten pushberichten worden bevestigd door het toestel te ontgrendelen en op de bevestiging te klikken. Welke oplossing u ook kiest, uw MFA-software moet voor ten minste één laag digitale certificaten en encryptie gebruiken.
MFA hoeft niet lastig te zijn voor IT (of gebruikers)
Het opzetten van MFA hoeft geen nachtmerrie te zijn voor uw IT-afdeling. Veel bedrijven – vooral in het mkb – vermijden dit omdat ze denken dat het een gedoe zal zijn, maar u kunt zich richten op oplossingen die flexibel zijn en op grote schaal kunnen worden ingezet. Veel MFA-oplossingen kunnen worden geïntegreerd met uw bestaande infrastructuur en worden geïnstalleerd zonder dat u elk apparaat handmatig hoeft te installeren.
Zoals bij alles is ook bij dergelijke software het gebruikersgemak van groot belang – zowel een onbelemmerde ervaring voor werknemers als een gestroomlijnde configuratie voor beheerders. En zelfs als u nog niet beschikt over de infrastructuur voor intelligente authenticatie, kunt u uw eigen gedragsinstellingen inbouwen, zoals rekening houden met timing en gelijktijdige apparaatverbindingen, zodat gebruikers zich niet voor elk gebruik hoeven te authenticeren.
Licht uw werknemers voor over veiligheid
Het is jammer maar waar: mensen zijn meestal de zwakke schakel. Als u MFA implementeert, moet u tegelijkertijd uw medewerkers opleiden over het kiezen van lange en complexe wachtwoorden en het herkennen van phishing en andere dubieuze activiteiten.
U kunt hen leren hoe ze MFA ook op persoonlijke apparaten kunnen gebruiken. Vooral als ze thuis werken, lezen ze hun werkmails en dergelijke waarschijnlijk op hun mobiele telefoon. Zorg ervoor dat uw werknemers VPN's gebruiken voor laptops en telefoons en dat ze bedrijfsgegevens alleen opslaan op door het bedrijf beveiligde apparaten en servers.
Als u over de nodige infrastructuur beschikt, zijn biometrische gegevens waarschijnlijk de moeilijkst te hacken MFA-oplossing. Maar zelfs als u dit niet in uw hele bedrijf kunt implementeren, bedenk dan dat de meeste smartphones deze mogelijkheid al hebben. Moedig werknemers aan om vingerafdruksloten te gebruiken voor hun werktelefoons en hun persoonlijke toestellen.
Conclusie
Als MFA goed wordt uitgevoerd, is het een van de eenvoudigste en minst belastende vormen van beveiliging die een bedrijf kan implementeren. Gezien de toenemende cyberveiligheidsrisico's in het huidige digitale landschap is er eigenlijk geen reden waarom bedrijven en particulieren geen gebruik zouden maken van deze oplossing. Als u investeert in de modernste hulpmiddelen, zal uw meerlagige beveiligingsinfrastructuur uw werknemers en gevoelige gegevens in hoge mate beschermen.
Opmerking: Dit blogartikel is geschreven door een gastauteur om onze lezers een gevarieerder aanbod te kunnen geven. De meningen die in dit artikel van de gastauteur worden geuit, zijn uitsluitend die van de auteur en komen niet noodzakelijk overeen met die van GlobalSign.