Overal wordt geadviseerd het te implementeren, diep van binnen weten alle bedrijven dat ze eraan moeten, maar toch is het gros van de mkb-ondernemingen er nog niet mee bezig: tweefactorauthenticatie. Wat is tweefactorauthenticatie precies? Waarom is het nodig? Waar moet je het voor gebruiken? Hoe stel je het in? En wat is het verschil met tweestapsverificatie?
Tweefactorauthenticatie (2FA) is als extra beveiligingslaag voor het inloggen een van de effectiefste cybersecuritymaatregelen die je als bedrijf kunt treffen. Natuurlijk, het invoeren vergt wat tijd en moeite en een enkele medewerker zal gaan morrelen.
Het is een investering die zich in tienvoud terugbetaalt. Geen hacks en datalekken betekent ook geen reputatieschade, herstelkosten en privacyboetes. Het Nationaal Cyber Security Centrum én alle experts op het gebied van digitale veiligheid raden bedrijven dan ook met klem aan om in ieder geval 2FA in te stellen. Het liefst zelfs Multi-Factor Authenticatie.
Multi-Factor Authenticatie kan gezien worden als de overkoepelende vorm van 2FA. Two-Factor Authenticatie gebruikt dus maximaal twee verschillende factoren om de identiteit van de gebruiker te verifiëren, waar Multi-Factor Authentication meerdere factoren kan gebruiken.
Wat is tweefactorauthenticatie?
Tweefactorauthenticatie is een inlogmethode waarbij twee verschillende factoren worden gebruikt. Er zijn drie authenticatiefactoren:
1. Iets dat de gebruiker weet, zoals een wachtwoord of pincode.
2. Iets dat de gebruiker heeft, zoals een telefoon of token.
3. Iets dat de gebruiker is, zoals een gezicht, iris of vingerafdruk.
De meestgebruikte combinatie is een wachtwoord met een eenmalig te gebruiken authenticatiecode per sms. Authenticatie-apps voor de tweede stap, zoals Google Authenticator, Duo Mobile en Microsoft Authenticator, winnen snel aan populariteit.
Waarom is tweefactorauthenticatie nodig?
Wachtwoorden bieden een prima eerste beveiligingslaag, maar de kans op ongelukken is te groot. Allereerst omdat wachtwoorden buitgemaakt kunnen worden bij hacks. Het afgelopen decennium heeft een schier oneindige serie grootschalige hacks plaatsgevonden. Denk bijvoorbeeld aan de LinkedIn-hack in 2012 en de Yahoo-hack in 2013 waarbij 100 miljoen respectievelijk 3 miljard (!) accountgegevens zijn gestolen. Gebruik jij het gestolen wachtwoord voor meerdere accounts, dan kan het datalek opeens een stuk groter worden.
Daarnaast gebruiken veel mensen nog steeds makkelijk te kraken wachtwoorden. Bij voornoemde LinkedIn-hack waren de meestgebruikte wachtwoorden bijvoorbeeld ‘123456’, ‘linkedin’ en ‘password’. Kwaadwillenden gebruiken technieken om wachtwoorden te achterhalen door combinaties van letters, cijfers en symbolen te proberen. Tweefactorauthenticatie is daarom een stuk veiliger dan alleen een wachtwoord. In plaats van toegang te krijgen tot een account door een wachtwoord te stelen of raden, is nu ook bijvoorbeeld een bepaalde telefoon, token of vingerafdruk nodig.
Welke tweede authenticatiefactor kies je?
Authenticatiemiddelen verschillen qua beveiligingsniveau. Een e-mail of sms is makkelijker te onderscheppen dan een vingerafdruk. Daar staat tegenover dat biometrische toegang duurder en lastiger te realiseren is. Bovendien stelt het eisen aan de manier waarop je met persoonsgegevens omgaat, aangezien biometrische gegevens ‘bijzondere persoonsgegevens’ zijn volgens de AVG.
Het is daarom verstandig om via een risicoanalyse te bepalen welk middel het beste past bij de aard van zowel jouw organisatie, dienstverlening en data alsmede het dreigingsniveau.
Waar moet je 2FA voor gebruiken?
Stel tweefactorauthenticatie sowieso in voor externe toegang tot het bedrijfsnetwerk, dus voor medewerkers, freelancers of klanten die thuis, vanuit een (flex)kantoor elders of onderweg inloggen op het bedrijfsnetwerk.
Daarnaast valt 2FA aan te raden voor bedrijfskritische systemen, zoals de administratie, back-ups, ordersysteem en CRM. Ook applicaties en systemen die werken met gevoelige gegevens (zoals persoonsgegevens) kun je het beste voorzien van een tweefactorschild.
Hoe je het instelt verschilt per applicatie en systeem. Kom je er niet uit? Neem dan contact op met de IT-afdeling of kijk op de website van het softwarebedrijf in kwestie.
Tweefactorauthenticatie en tweestapsverificatie: wat is het verschil?
De termen tweefactorauthenticatie en tweestapsverificatie worden in de praktijk door elkaar gebruikt. Om het extra verwarrend te maken, kom je ook nog weleens tweestapsauthenticatie, tweetrapsauthenticatie en dubbele beveiliging tegen.
Op papier is er een verschil tussen tweefactorauthenticatie en tweestapsverificatie. Bij tweefactorauthenticatie gaat het om twee stappen met allebei een andere factor. Naast dat je iets weet, heb of ben je iets. Bij tweestapsverificatie is er ook sprake van twee stappen, maar slechts van één factor of type informatie. Je weet een code (je eigen wachtwoord) en krijgt een code via e-mail of sms. Bij tweestapsverificatie is doorgaans geen sprake van iets hebben of zijn.
Toegegeven: het onderscheid is niet erg duidelijk. Bij een code per sms als tweede stap kun je bijvoorbeeld zeggen dat je iets moet weten (de code), maar ook dat je iets moet hebben (het telefoonnummer waarop dat sms’je wordt ontvangen). Het is dus meer een definitiekwestie dan een feitelijk verschil.
Wat wordt bedoeld met security key?
De security key is als het ware de sleutel die je nodig hebt om de tweede stap te ontgrendelen. Het kan daarbij gaan om een fysieke ‘sleutel’ die je in een USB-poort doet, om apps als Google Authenticator of Duo Mobile en om codes die je ontvangt via sms of e-mail.
Heb ik bij tweefactorauthenticatie geen sterk wachtwoord meer nodig?
Tweefactorauthenticatie met een zwak wachtwoord is beter dan enkel een sterk wachtwoord. Veruit het beste is echter om 2FA te combineren met een sterk wachtwoord. Nog beter: zorg dat je voor al je accounts een ander sterk wachtwoord hebt. Daarvoor kun je een wachtwoordmanager gebruiken, zoals LastPass, KeePass of 1Password.
Biedt KPN tweefactorauthenticatie aan?
Absoluut. We noemen dit Strong Authentication. Je kunt het gebruiken om in te loggen op bedrijfsapplicaties en -netwerken, maar ook voor het digitaal ondertekenen van online transacties en digitale documenten. Smart Access van KPN Security is nóg veiliger, aangezien dat tweefactorauthenticatie combineert met onder meer VPN en een host checker om apparaten te controleren op zaken als de versie van het besturingssysteem en de aanwezigheid van een virusscanner.