MFA, het is echt nodig ja
Jaarlijks ontstaan veel datalekken door hacking, malware of phishing. Deze datalekken hadden veelal voorkomen kunnen worden als er multifactorauthenticatie (MFA) als beveiligingsmaatregel was doorgevoerd. Bovendien geldt dat MFA in veel gevallen een essentiële en daarmee verplichte maatregel is om aan de eisen te voldoen uit de Algemene Verordening Gegevensbescherming (AVG). Het niet toepassen van MFA kan leiden tot een overtreding van de AVG. De Autoriteit Persoonsgegevens zal dan ook strenger gaan toezien op het gebruik van MFA. Bedrijven en instellingen gebruiken steeds vaker MFA om achterdeurtjes op slot te doen. Maar wat is MFA ook al weer, en wat is het niet?
Nog één keertje dan: wat is MFA
MFA staat voor Multi-factor Authentication. Een MFA betekent dat je jezelf op verschillende manieren authenticeert om in te loggen. De bekendste vorm van een MFA is een 2FA, oftewel een Two-factor Authentication. Je authenticeert jezelf dan op 2 manieren, om in te loggen of om ergens toegang toe te krijgen. Een pinpas is een voorbeeld van een 2FA die we regelmatig gebruiken. Je hebt twee dingen nodig om toegang tot je bankrekening te krijgen: je pinpas (iets dat je hebt) en de bijbehorende pincode (iets dat je weet). Er zijn dus verschillende manieren om jezelf te authenticeren. Deze verdelen we onder in de volgende categorieën:
- Iets wat je weet: bijvoorbeeld en gebruikersnaam en een wachtwoord, een pincode of het antwoord op een beveiligingsvraag.
- Iets dat je hebt: bijvoorbeeld een pinpas of een unieke inlogcode ontvangen per sms. Maar ook een code die wordt gegenereerd door een token.
- Iets dat je bent: hieronder vallen biometrische gegevens die uniek zijn voor ieder persoon. Denk aan een vingerafdruk of je gezicht t.b.v. gezichtsherkenning.
- Locatie: vaak kan je een applicatie alleen gebruiken als je bent ingelogd op een thuiswerkomgeving of als je bent verbonden via een VPN-verbinding. Daarmee is de toegang tot de applicatie beperkt tot de (digitale) locatie van jouw organisatie.
- Tijd: de toegang tot een applicatie kan tijdsgebonden zijn. Je kan dan alleen binnen een bepaalde periode inloggen.
Waarvoor gebruik je een MFA?
Een inlognaam en wachtwoord beschermen je account niet voldoende. Het is lastig om een echt sterk wachtwoord te bedenken. Eisen voor een lang of complex wachtwoord werken daarbij een zwak wachtwoord gemakkelijk in de hand. Ook de eis voor een complex wachtwoord leidt zelden tot een sterk wachtwoord. Dit komt doordat bijna iedereen complexe wachtwoordeisen op dezelfde manier toepast. Bijvoorbeeld door een i te vervangen door een 1 en een a te vervangen door een @. Hackers weten dit en spelen daar dan ook op in. Daarnaast lekken wachtwoorden regelmatig uit. Op dit moment zijn er al meer dan 613 miljoen wachtwoorden wereldwijd uitgelekt. Een inlognaam en wachtwoord beschermt je account dus niet genoeg. Door MFA te gebruiken los je dit probleem op.
Wat is géén MFA
Zoals eerder is aangegeven is een inlognaam en wachtwoord geen vorm van MFA, omdat het beide dingen zijn die je weet. We zien een gebruikersnaam en wachtwoord daarom als één manier om jezelf te authenticeren. Verder zien we in de praktijk dat het feit dat je op het bedrijfsnetwerk bent ingelogd, als een MFA wordt gebruikt. Je kunt immers alleen inloggen op het bedrijfsnetwerk als je fysiek toegang hebt tot een werkplek op kantoor. De fysieke toegang tot (een werkplek met toegang
tot) het bedrijfsnetwerk is daarmee een vorm van jezelf authenticeren op basis van de locatie. Dit kan inderdaad als MFA worden gebruikt, mits de toegang tot de werkplekken goed beveiligd is. Bijvoorbeeld doordat de toegang tot een werkplek in het kantoorgebouw alleen toegankelijk is middels een personeelspas. Daarnaast moet ook de digitale toegang tot het bedrijfsnetwerk via een VPN-verbinding beveiligd zijn met een MFA. Anders staat de spreekwoordelijke achterdeur alsnog open. Houd er echter rekening mee dat er vaak geen daadwerkelijke fysieke toegang noodzakelijk is om op het bedrijfsnetwerk te komen. De noodzaak om een personeelspas in te zetten (MFA op basis van locatie) komt daarmee te vervallen. Er zijn gevallen bekend waarbij de Autoriteit Persoonsgegevens hoge boetes heeft uitgedeeld, omdat organisaties geen MFA hadden toegepast binnen de muren van het gebouw.
Hoe past Zivver MFA toe
Met het veilige communicatieplatform Zivver kan je eenvoudig gevoelige gegevens met de hele wereld delen. Om deze gegevens goed te beschermen past Zivver asymmetrical zero-knowledge-encryption toe en wordt je Zivver-account standaard beveiligd met een 2FA7. Zo zijn de gevoelige gegevens optimaal beveiligd. Zivver zet een 2FA niet alleen in om de toegang tot Zivver-accounts te beveiligen. Ook de toegang tot een bericht kan eventueel met een 2FA worden beveiligd. Zo weet je zeker dat alleen de beoogde ontvanger het bericht kan lezen. Als jouw organisatie een MFA-oplossing gebruikt, dan is de 2FA-oplossing van Zivver niet meer noodzakelijk. Zivver vraagt een gebruiker bij het inloggen dan niet langer om een 2FA. Daarvoor moet de gebruiker inloggen in Zivver via Single Sign-On (SSO). De Identity Provider (IdP) van jouw organisatie authenticeert de gebruiker in dat geval middels een MFA.