Wat is MFA?

MFA staat voor Multi Factor Authentication, naar het Nederlands vertaald zou dit meerdere stappen van authenticatie zijn. Er zijn drie vormen van authenticatie. Iets dat je weet bijvoorbeeld zoals een wachtwoord. Iets dat je hebt bijvoorbeeld een sleutel. Iets dat je bent bijvoorbeeld met een vingerafdruk.

Om de MFA techniek goed uit te leggen gebruiken we het voorbeeld van een deur. Standaard hebben deuren een cilinderslot. Als je de sleutel hebt kun je het slot openen. In de van wereld  IT vertaalt dit zich naar een inlognaam (de voordeur) en het bijbehorende wachtwoord (de sleutel).

Met het inschakelen van MFA, ofwel een tweede vorm van authenticatie moet er naast de sleutel nog aan een tweede beveiligingsvoorwaarde voldaan worden.

Bijvoorbeeld nadat je het slot van de deur geopend hebt met je sleutel dien je, je vinger op een vingerscanlezer te plaatsen om de deur daadwerkelijk open te kunnen maken.

Dat is het punt waar MFA in de techniek instapt. Naast dat je, je inlognaam en wachtwoord hebt ingegeven dien je een tweede sleutel in te geven om in te kunnen loggen. Het ontvangen van een eenmalige sms-code, het ontvangen van een aanmeldingsverzoek in een gekoppelde app op je smartphone of het overnemen van een gegeneerde code zijn een paar voorbeelden van de mogelijkheden op het gebied van MFA.

Het is totaal niet moeilijk om MFA te gaan gebruiken. Sterker nog: banken gebruiken dit systeem al jaren bij het online bankieren. Nadat je de pincode(sleutel) van je bankrekeningnummer (deur) in hebt gegeven dien je nog een tweede actie uit te voeren oftewel een extra code in te geven.

Waarom zou ik MFA toepassen?

We moeten vele gebruikersnamen en wachtwoorden onthouden. Deze wachtwoorden zijn voor tal van diensten en accounts ongeveer hetzelfde. En daarom vaak ook kwetsbaar. Ook zijn niet al diensten waarvan we gebruik maken niet even goed beveiligd. De beveiliging van de servers van Google of Microsoft  voor je Email account zal beter zijn dan de beveiliging dan het inlogaccount van de plaatselijke bioscoop waarbij je de film online gereserveerd hebt.

Hackers en Cybercriminelen die identiteiten willen stelen zijn nog steeds de grootste oorzaak van datalekken. Wat is in veel gevallen de reactie van bedrijven wanneer dit gebeurt? De gebruikerswachtwoorden wijzigen.

MFA authenticatie

Wachtwoorden hebben echter heel wat beperkingen. Eerst en vooral bieden wachtwoorden geen strenge identiteitscontrole. Iedereen die een wachtwoord bemachtigt, kan gewoon inloggen op een account en de informatie bemachtigen die hij wil. Bovendien is de beveiliging van de account enkel gebaseerd op de sterkte van het wachtwoord, dat zoals we allemaal weten, vaak niet sterk genoeg is. Niemand onthoudt graag een reeks tekens bestaande uit hoofdletters, kleine letters, cijfers en speciale tekens. Gebruikers willen een eenvoudig wachtwoord dat ze gemakkelijk kunnen onthouden en bijgevolg ook gemakkelijk te hacken is.

Dat is de reden waarom bedrijven wachtwoorden vaak combineren met Multi-factor Authenticatie. Oftewel MFA om een extra toegangscontrole uit te voeren of dit in sommige gevallen gebruiken als alternatief voor wachtwoorden.

Met MFA is je account een stuk beter beveiligd tegen hackers. Mocht je wachtwoord door Cybercriminelen gehackt worden, hebben ze niet direct toegang tot je account.

Je kunt met een gerust gevoel inloggen op een andere (vreemde) computer. Mocht een wachtwoord opgeslagen worden in de internetbrowser, of als deze computer minder goed beveiligd is, zal men immers altijd een tweede stap uit moeten voeren om een inlogpoging succesvol te laten verlopen.

Bij het werken met vertrouwelijke data heeft de eindgebruiker vandaag de dag een steeds hogere verwachting in het zorgvuldig handelen met gevoelige informatie. Met MFA vergroot je deze beveiliging.

Wat we niet moeten vergeten is dat er in principe geen perfecte authenticatiefactor bestaat. Elke factor heeft zijn sterktes en zwaktes. Het concept van multi-factor authenticatie is dat een tweede of derde factor de zwakte van de andere factor(en) compenseert en omgekeerd.

De voordelen van MFA

Betere beveiliging

Zoals hiervoor besproken, is het principe van MFA dat elke factor de zwakte van de andere factoren compenseert. Authenticatiefactoren over “iets dat de gebruiker weet”, zoals wachtwoorden en pincodes, kunnen bijvoorbeeld kwetsbaar zijn voor brute-force-aanvallen (hackers forceren login) of social engineering-aanvallen. Je kan dit combineren met een authenticatiefactor die niet zo gemakkelijk te raden is, zoals “iets dat je hebt” door gebruikers te authenticeren met hun mobiele apparaat of “iets dat je bent” zoals een biometrisch kenmerk zoals een vingerafdruk of stem. Tenzij de hacker over alle factoren beschikt die het systeem vereist, krijgt hij geen toegang tot de account.

Een stap in richting van conformiteit

Naast de encryptie van gegevens wordt door de wet en of overheid van bedrijven verlangt dat zij MFA moet implementeren in bepaalde situaties. Dit zie je vooral terug bij het beschermen van gevoelige gegevens zoals persoonlijk identificeerbare informatie (PII) of financiële gegevens. Dat betekent dat MFA een stap is die nodig is voor conformiteit.

En zelfs als multi-factor authenticatie niet specifiek gevraagd wordt, is het vaak toch de beste stap. De Health Insurance Portability and Accountability Act (HIPAA) bepaalt bijvoorbeeld niet dat MFA moet worden gebruikt, maar delen van de beveiligingsregel bevat bepalingen die de nood aan een sterk verificatieproces benadrukken. En welk sterk verificatieproces kennen we? MFA.

Vereenvoudiging van aanmeldingsprocedure

Je zou denken dat multi-factor authenticatiefactoren het aanmelden bij accounts ingewikkelder zouden maken. Dankzij de extra beveiliging van multi-factor authenticatie kunnen bedrijven echter meer geavanceerde aanmeldingsopties gebruiken, zoals single sign-on, een eenmalige aanmelding.

Single sign-on valideert de gebruiker via MFA tijdens de aanmeldingsprocedure. Zodra de gebruiker geverifieerd is, wordt deze aangemeld bij zijn single sign-on software. Van daaruit heeft de gebruiker toegang tot de apps van de single sign-on software, zonder dat deze zich bij elke app afzonderlijk hoeft aan te melden.

Dit scenario maakt MFA praktisch toepasbaar, want een van de uitdagingen om dit implementeren is ‘aanmeldingsmoeheid’. Dit verwijst ernaar dat gebruikers het beu worden om bij verschillende accounts in te loggen en dat MFA de gebruikers nog meer stress zou bezorgen. In combinatie met single sign-on (SSO) kan multi-factor authenticatie (MFA) echter worden gebruikt voor alle apps die de gebruiker nodig heeft. Een goede UEM oplossing bevat deze de optie voor SSO in combinatie met MFA.

Wat zijn de nadelen van MFA?

  • Aanmelden bij de dienst waarop MFA geactiveerd is, vereist een extra stap om uit te voeren voordat je kunt inloggen. Dit proces herhaalt zich elke ochtend, en soms gedurende de dag bij inactiviteit.

  • MFA werkt goed samen met je telefoon, maar als je deze vernieuwt dien je de authenticatie apps opnieuw te installeren en te koppelen met je account.

  • Mocht je je telefoon verliezen, niet bij je hebben of als de batterij op is kan er misschien niet ingelogd worden.

authentication

Tenslotte

Nu denk je wellicht na het lezen van dit artikel: ‘ach zo’n vaart loopt het niet en het is me de nadelen niet waard’. Toch willen we actief aandringen op het gebruik. Voorkomen is tenslotte beter dan genezen. Meer weten over MFA en hoe dit te implementeren neem dan contact met ons op.