Dit moet je weten over MFA

DELEN

Microsoft noemt het wel de belangrijkste securitymaatregel die organisaties kunnen treffen: het inschakelen van multifactorauthenticatie. Reden genoeg om dit fenomeen aan een nadere inspectie te onderwerpen. Wat is MFA? Waarom is dit belangrijk? En hoe pas je het toe?

Het zal je maar gebeuren: vanaf jouw e-mailadres worden maar liefst ruim 43.000 frauduleuze e-mailtjes verstuurd. In slechts enkele uren tijd. Dan heb je wel iets uit te leggen aan collega’s, klanten, partners en andere relaties. En aan de medewerker van je organisatie die bij de Autoriteit Persoonsgegevens melding moet maken van een datalek.

 

Tienduizenden phishingmails

Het overkwam een medewerker van de gemeente Ede. De ambtenaar ontving een bericht dat de Outlook-mailbox vol zat en bijgewerkt moest worden. De link in de e-mail leidde naar een nepwebsite met het verzoek hier even gebruikersnaam en wachtwoord in te vullen. Met de vriendelijke groeten van zogenaamd de ‘IT Service Desk’.

In werkelijkheid vielen de inloggegevens rechtstreeks in handen van de aanvaller die hiermee toegang had tot de mailbox van het slachtoffer. En vervolgens massaal phishingmails kon versturen vanaf een legitiem @ede.nl adres. Ruim 43.000 keer kans om nog meer mailboxen te kapen, of zelfs volledige Office 365-omgevingen inclusief de OneDrives van de slachtoffers. De vertrouwelijke gegevens liggen dan mogelijk voor het oprapen.

 

MFA voorkomt ellende

De gemeente Ede adviseerde burgers die op een nepwebsite gegevens hadden ingevuld zo snel mogelijk het wachtwoord te wijzigen. Daar hoort wat ons betreft nog een advies bij: maak standaard gebruik van mutlifactorauthenticatie (MFA).

Met MFA heb je naast een gebruikersnaam en wachtwoord nog één of meerdere factoren extra nodig om in te kunnen loggen. Een cybercrimineel heeft dan niets aan alleen gestolen combinaties van gebruikersnamen en wachtwoorden. De aanvaller moet bijvoorbeeld ook in het bezit zijn van de smartphone waarop het slachtoffer codes ontvangt die nodig zijn om in te loggen. Of die codes onderscheppen. Dat is niet onmogelijk, maar wel lastig.

Vijf verschillende typen authenticatie-factoren

Voor MFA kun je kiezen uit vijf verschillende typen authenticatiefactoren. Factoren kunnen gebaseerd zijn op:

1. Kennis. De gebruiker voert dan iets in wat hij weet, zoals een wachtwoord of een pincode.
2. Bezit. Dat kan een hardwaretoken zijn die een code genereert, of de smartphone waarop de gebruiker een sms-code of pushnotificatie ontvangt.
3. Biometrie. Denk aan inloggen met behulp van een vingerafdruklezer of gezichtsherkenning.
4. Plaats. De gebruiker kan dan alleen vanaf een bepaalde locatie inloggen, bijvoorbeeld alleen vanaf de kantoorlocatie.
5. Tijd. Het bekendste voorbeeld is het time-based one-time password (TOTP). Dit wachtwoord wordt op het moment van de authenticatiesessie gegenereerd en is voor een bepaalde tijd geldig.

 

Voor systemen en applicaties

MFA moet op verschillende plaatsen worden toegepast. Met MFA bescherm je de toegang tot:

1. Devices
De eerste stap is toepassen van MFA op de devices die in gebruik zijn, zoals de smartphones, laptops en servers. Op smartphones zijn gebruikers er vaak al aan gewend dat ze inloggen met behulp van een vingerafdruk of irisscan. Laptops met vingerafdruklezer zijn eveneens geen unicum meer.

Op laptops met Windows 10 of 11 kan MFA worden gerealiseerd via een toepassing als Hello for Business. Inloggen gaat dan met behulp van een veilig opgeslagen sleutel en biometrische kenmerken zoals je vingerafdruk, gezichtsherkenning of een pincode. Het invoeren van een wachtwoord is hiermee niet meer nodig. Het inloggen is ‘passwordless’.

2. Applicaties
Windows Hello is zeker niet alleen bedoeld om devices te ontgrendelen. Gebruikers kunnen zich hiermee ook aanmelden bij hun Microsoft-account, Active Directory- of Azure AD-account en andere persoonlijke accounts. Maar hiervoor kan bijvoorbeeld ook de Microsoft Authenticator-app worden gebruikt die is te downloaden voor Android en iPhone.

Voorwaarde is wel dat in de accounts waarop wordt ingelogd MFA is ingeschakeld. Dat geldt voor Microsoft 365-accounts, maar ook voor de andere applicaties die binnen organisaties in gebruik zijn. De mogelijkheden zijn daar meestal voor aanwezig.

Mogelijkheden benutten
Volgens Microsoft is met MFA 99,9 procent van de aanvallen op accounts te voorkomen. Voorwaarde is wel dat de geboden mogelijkheden voor MFA worden benut. Ratho helpt je graag bij het inrichten van MFA. Neem voor meer informatie contact op met mij via cas@ratho.nl of bel 040 2370 426.