World Password Day – maak je medewerkers klaar voor multifactorauthenticatie (MFA)
Bijdrage van Lance Spitzner, senior instructor bij het SANS Institute met meer dan twintig jaar ervaring in cybersecurity.
Brussel, 4 mei 2022 - Morgen is World Password Day: de gelegenheid bij uitstek om het over sterke wachtwoorden te hebben. Want, zwakke wachtwoorden en gebrekkig wachtwoordgebruik zijn een van de belangrijkste oorzaken van inbraken geworden. Cyberaanvallers richten zich actief op gecompromitteerde wachtwoorden en maken er gebruik van, niet alleen om toegang te krijgen tot systemen, maar ook om stilletjes te opereren en organisaties te verkennen, zodat ze ongemerkt hun doelen kunnen bereiken.
Daarom implementeren organisaties oplossingen - zowel technisch als op het gebied van training - om ervoor te zorgen dat medewerkers niet alleen sterke wachtwoorden gebruiken, maar dit ook op een veilige manier doen. Want, veilige wachtwoorden alleen zijn vandaag niet langer voldoende: ze vormen nog steeds een zogenaamd ‘single point of failure’. Zelfs al heb je het langste, veiligste wachtwoord ter wereld, dan nog kunnen kunnen cyberaanvallers volledige toegang krijgen tot je account, systeem en gegevens als dat wachtwoord gecompromitteerd wordt.
Een van de meest effectieve en bewezen benaderingen voor sterke authenticatie is Multi-Factor Authentication of multifactorauthenticatie, kortweg MFA. Daarbij worden, zoals de naam aangeeft, meerdere factoren van authenticatie gebruikt voordat toegang wordt verleend. Op deze manier zijn je account, systeem en gegevens nog steeds veilig als je wachtwoord gecompromitteerd wordt, doordat de andere factor(en) je nog steeds beschermen. Hoewel MFA duidelijk aan populariteit wint, bestaat er nog steeds heel wat verwarring over hoe het net werkt en over de verschillende implementaties. Daarom volgt hieronder een korte uitleg om u beter voor te bereiden op het trainen van uw medewerkers voor deze zeer effectieve vorm van sterke authenticatie.
Wat is MFA?
Microsoft schat dat MFA 99% van de op authenticatie gebaseerde aanvallen weerstaat. Hoewel MFA dus niet 100% waterdicht is, is het zonder twijfel een van de meest effectieve stappen die organisaties kunnen nemen om het risico op inbraak drastisch te verminderen. Op zijn eenvoudigst is MFA een vorm van authenticatie op meerdere niveaus waarbij iemand zich niet alleen authenticeert met een wachtwoord (iets dat hij kent), maar ook met een soort unieke code of apparaat waarover hij beschikt. Helaas is MFA niet altijd even eenvoudig.
Ten eerste zijn er veel verschillende termen om MFA te beschrijven. Sommige organisaties of verkopers noemen het tweestapsverificatie, tweefactorauthenticatie (2FA), eenmalig wachtwoord (OTP of one-time password) of sterke authenticatie. Ze impliceren allemaal hetzelfde: authenticatie waarbij twee of meer vormen van authenticatie nodig zijn - meestal een wachtwoord en nog iets anders, zoals een unieke code die naar je mobiele apparaat wordt gestuurd of door dat apparaat wordt gegenereerd.
Bovendien zijn er meerdere manieren om MFA te implementeren. Hoewel de onderstaande lijst zeker niet exhaustief is, zijn enkele van de meest voorkomende methoden hieronder opgenomen.
1. SMS-code: Een eenmalige, unieke code wordt via sms naar je mobiele apparaat gestuurd. Je gebruikt deze code dan samen met je wachtwoord om je te authenticeren en in te loggen. Dit is de meest gebruikte methode, waarschijnlijk omdat ze het gemakkelijkst te implementeren is: een individuele gebruiker hoeft enkel zijn mobiele telefoonnummer te registreren in zijn account. Bij het inloggen met gebruikersnaam en wachtwoord wordt er dan een code naar het mobiele apparaat gestuurd, als tweede authenticatiemiddel. Deze aanpak is weliswaar gemakkelijk, maar houdt ook een risico in. Als iemand op de een of andere manier het telefoonnummer kan omleiden of de controle erover kan overnemen (zoals via SIM-swapping), krijgt de aanvaller je unieke code. Bij een andere aanvalsmethode doen cyberaanvallers zich voor als een bank of IT-support en verleiden ze slachtoffers ertoe deze unieke code door te geven, waarna ze de code snel gebruiken om in te loggen in naam van het slachtoffer.
2. Codegenerator: Bij deze methode gebruik je een authenticatie-app (zoals Google Authenticator) die je downloadt op je mobiele apparaat, die dan unieke eenmalige codes genereert. Om MFA in te schakelen voor je accounts synchroniseer je de authenticatie-app met elke account. Deze apps kunnen honderden accounts tegelijk ondersteunen. Een andere mogelijkheid is dat je een fysiek token krijgt dat de eenmalige, unieke codes genereert. Het gebruik van een mobiele app of een fysiek token om codes te genereren wordt veiliger geacht dan sms-codes, gezien het hierbij onmogelijk is voor cyberaanvallers om je telefoonnummer over te nemen. Deze methode is echter nog steeds kwetsbaar voor cyberaanvallers die mensen misleiden of overtuigen om hun unieke code te delen.
3. Authenticatienotificaties: Sommige mobiele authenticatie-apps (zoals Authenticator van Microsoft) zorgen er ook voor dat wanneer je op bepaalde websites inlogt er geen een eenmalige code gevraagd wordt maar een authenticatieverzoek naar je mobiele app gestuurd wordt om te bevestigen dat jij effectief probeert in te loggen, en niet iemand anders. Dit is een aanpak die bijvoorbeeld vaak gebruikt wordt in het Apple-ecosysteem. Het wordt beschouwd als een veiligere aanpak, omdat er geen code is waarmee cyberaanvallers mensen kunnen proberen misleiden. Wel kan een cyberaanvaller, wanneer hij je wachtwoord in handen krijgt, in jouw naam proberen in te loggen, in de hoop dat je het authenticatieverzoek goedkeurt
4. FIDO: Bij deze methode krijg je een fysiek apparaat dat op je laptop of computer wordt aangesloten en vervolgens geregistreerd bij de websites waarop je regelmatig inlogt. Wanneer het apparaat op je computer wordt aangesloten (via de USB-poort) of ermee verbindt (via NFC-technologie) en je deze websites bezoekt, verifieert het apparaat je. Yubikey is een veelgebruikt en vrij beschikbaar voorbeeld van een dergelijk fysiek apparaat dat de FIDO-norm ondersteunt. Deze aanpak is de veiligste en volgens velen meest phishing-bestendige authenticatiemethode, aangezien er geen unieke code of authenticatieverzoek is en cyberaanvallers hun slachtoffers niet kunnen misleiden. Daartegenover staat dat deze methode voor organisaties vaak ook de meest complexe is om te implementeren en ondersteunen. Bovendien zijn veel websites nog niet compatibel met de FIDO-authenticatiestandaard.
MFA-training
Voor welke aanpak kiest je organisatie dan best? In de meeste gevallen wordt die beslissing genomen door het team dat instaat voor beveiliging en risicobeheer. Welke methode het ook wordt, weet dat ze stuk voor stuk beter zijn dan enkel wachtwoorden. Hieronder enkele belangrijke algemene doelstellingen die u best in acht neemt om MFA effectief te implementeren:
- Maak duidelijk en herhaal voldoende hoe mensen baat hebben bij deze methode, door te helpen in de verdediging tegen de meerderheid van de op authenticatie gebaseerde aanvallen;
- Probeer het concept van MFA zo eenvoudig mogelijk te houden. Er zijn zoveel verschillende termen en variaties van MFA in omloop dat mensen er vaak van in de war raken. Overstelp mensen dus niet met nodeloze info, leer hen alleen wat ze moeten weten;
- Benadruk hoe MFA niet alleen een oplossing is op het werk, maar iets dat mensen ook thuis best zouden implementeren om hun belangrijkste accounts te beschermen (bank, pensioen, investeringen, persoonlijke e-mail, enzovoort).
Wilt u uw organisatie trainen in het gebruik van MFA en de voordelen ervan, bereid u dan voor door het zelf te beginnen gebruiken. Stel MFA niet alleen in voor uw professionele maar ook uw persoonlijk accounts zoals Gmail, Amazon of andere. Op die manier raak je niet alleen meer vertrouwd met de technologie, maar maak je ook kennis met de verschillende methodes en benaderingen om MFA te implementeren.
Over het SANS Institute
Het SANS Institute werd in 1989 opgericht als een coöperatieve organisatie voor onderzoek en opleiding. Vandaag is SANS de meest vertrouwde en veruit grootste aanbieder van cybersecuritytrainingen en -certificeringen voor professionals in publieke en private instellingen wereldwijd. Gerenommeerde SANS-instructeurs geven meer dan 60 cursussen op fysieke en virtuele cybersecurity-events en op aanvraag.
GIAC, een dochteronderneming van het SANS Institute, valideert de vaardigheden van professionals door middel van meer dan 35 praktijkgerichte, technische certificeringen in cyberbeveiliging en biedt wereldwijd de hoogste en meest rigoureuze garantie inzake kennis en vaardigheden op vlak van cyberbeveiliging. Het SANS Technology Institute, een regionaal geaccrediteerde onafhankelijke dochteronderneming, biedt master- en bachelordiploma's, graduaten en een ondergraduaat in cyberbeveiliging aan. SANS Security Awareness, een divisie van SANS, biedt organisaties een complete en uitgebreide oplossing voor bewustwording rond beveiliging zodat zij hun ‘menselijke’ risico's op het gebied van cyberdreiging eenvoudig en effectief kunnen beheren. SANS levert ook een grote verscheidenheid aan gratis middelen aan de InfoSec-gemeenschap, waaronder consensusprojecten, onderzoeksrapporten, webcasts, podcasts en nieuwsbrieven. Verder beheert SANS ook het vroegtijdige internet-waarschuwingssysteem, het Internet Storm Center.
De kern van SANS wordt gevormd door de vele beveiligingsprofessionals die uiteenlopende organisaties van over de hele wereld vertegenwoordigen - van bedrijven tot universiteiten - die samenwerken om de wereldwijde cybersecuritygemeenschap te ondersteunen en informeren. www.sans.org
Paul Geens