Cybersecurity
News 5 mei 2022

World Password Day: train je personeel op multi-factor authenticatie

Source: SANS

Vandaag vieren we niet alleen onze vrijheid, maar ook veiligheid - met World Password Day. Het is voor bedrijven een extra mogelijkheid om de discussie rondom het gebruik van sterke wachtwoorden aan te halen. Zwakke wachtwoorden (of slecht wachtwoordgebruik) zijn nu eenmaal de voornaamste oorzaak van inbreuken. In deze bijdrage gaat SANS Institute in op de noodzaak van aandacht voor én het gebruik van sterke werkwoorden en ‘MFA’.

Cyberaanvallers richten zich op gecompromitteerde wachtwoorden en maken er zonder enige vorm van rancune misbruik van: niet alleen om toegang te krijgen tot gegevens en systemen, maar ook om onopgemerkt door de digitale organisatie te spitten. In dat licht: zelfs als je het langste/veiligste wachtwoord ter wereld hebt én dat wordt gecompromitteerd, hebben cyberaanvallers volledige toegang tot alles.

MFA: multi-factor authenticatie

Een van de meest effectieve en bewezen benaderingen voor sterke authenticatie is Multi-Factor Authentication. ‘MFA’ is wanneer meerdere authenticatiefactoren worden gebruikt voordat toegang wordt verleend. Op deze manier zijn accounts nog steeds veilig als een wachtwoord is gecompromitteerd, aangezien de andere factor (of factoren) je nog steeds beschermen. MFA wordt wereldwijd beschouwd als een van de sterkste authenticatiemethoden: Microsoft schat zelfs dat MFA 99% van de op authenticatie gebaseerde aanvallen verslaat. Hoewel MFA niet onfeilbaar is, is het een van de meest effectieve stappen die organisaties kunnen nemen om het risico op inbreuken drastisch te verminderen.

            LEES OOK: NCSC factsheet ‘Volwassen authentiseren’

Er zijn meerdere manieren om MFA binnen de organisatie te implementeren. Hieronder een overzicht van de meest gebruikte technieken.

Sms-code: een eenmalige, unieke code wordt via sms naar een smartphone verzonden. Deze code gebruik je dan samen met je wachtwoord om te authenticeren en in te loggen. De SMS-code is de meest gebruikte benadering.

Codegenerator: je mobiele apparaat heeft een mobiele authenticatie-app (zoals Google Authenticator) die unieke eenmalige codes genereert, die vervolgens moeten worden ingevoerd op de computer. Deze authenticatie-apps kunnen honderden accounts tegelijk ondersteunen.

Verificatiemeldingen: sommige mobiele authenticatie-apps (waaronder Authenticator van Microsoft) zorgen ervoor dat wanneer je je aanmeldt bij bepaalde websites, de website een authenticatieverzoek naar de mobiele app stuurt met de vraag of dat je inderdaad probeert in te loggen. Als dat het geval is, keur je het authenticatieverzoek via het apparaat goed.

FIDO: je krijgt een fysiek apparaat dat verbinding maakt met je laptop of computer en dat is geregistreerd bij de websites waarop je regelmatig inlogt. Wanneer het apparaat is aangesloten op de computer en je deze websites bezoekt, authenticeert het apparaat de gebruiker. Deze benadering is de veiligste authenticatiemethode, aangezien er geen unieke code of authenticatieverzoek is en er niets is voor cyberaanvallers om hun slachtoffers te misleiden of voor de gek te houden.

Trainen, trainen, trainen

Welke methodieken er binnen een organisatie worden gebruikt, hangt in grote mate af van het eigen securityteam. Wanneer organisaties gaan oefenen in het gebruik van MFA, is een van de beste voorbereidingen om het zelf te gebruiken. Stel MFA niet alleen in voor werkaccounts, maar schakel het ook in voor persoonlijke accounts zoals Gmail, Amazon of andere sites. Via deze manier raak je vertrouwd met de technologie, maar maak je ook kennis met verschillende methoden en benaderingen voor het implementeren van MFA.

Checklist: hoe zorg je voor een effectieve invoering van nieuwe veiligheidsmaatregelen?

 

Blijf alert

Blijf alert. Installeer patches en let op phishing mails. En -voor alle bedrijven in de Rotterdamse haven- sluit je aan bij FERM. Zodat je acute dreigingsinformatie kunt ontvangen en vragen kunt stellen aan de vertrouwde community om je heen. Dat is de afgelopen weken erg nuttig gebleken, van MKB (zonder eigen IT) tot aan de grote multinationals.

Voorkomen is uiteraard beter dan genezen. Wil je weten wat jij kunt doen om de cyberveiligheid van jouw organisatie én van de gehele keten te verhogen? Bekijk dan onze infographicword lid van FERM en zet een FERME stap in je cyberweerbaarheid.

 

VIND FERM OOK OP LINKEDIN  | TWITTER 

SCHRIJF JE IN VOOR DE NIEUWSBRIEF