Pas sterke authenticatie toe

Authenticatie is de techniek waarmee een systeem kan vaststellen wie een gebruiker is. Hiermee krijgt een gebruiker toegang tot gegevens of systemen.

Multi-factor authentificatie

Een factor is een middel waarmee een gebruiker zich aanmeldt. Factoren worden ingedeeld in drie categorieën: iets dat je weet (bijvoorbeeld een wachtwoord), iets dat je hebt (bijvoorbeeld een token) of iets dat je bent (bijvoorbeeld een vingerafdruk). Log je in met factoren uit minimaal twee van deze categorieën, dan is er sprake van multi-factor authenticatie. Het gebruik van exact twee factoren wordt ook wel twee-factor authenticatie genoemd. Voorbeelden van multi-factor authenticatie zijn een wachtwoord in combinatie met een token of gebruik van een vingerafdruk in combinatie met een eenmalige code.

Pas multi-factor authenticatie toe bij accounts die vanaf het internet bereikbaar zijn, accounts die beheerrechten hebben en accounts op essentiële systemen. Het gebruik van multi-factor authenticatie voorkomt dat een aanvaller toegang tot een account verkrijgt door het wachtwoord te raden of te achterhalen. Deze wachtwoorden kan een aanvaller bijvoorbeeld verkrijgen door een phishingaanval uit te voeren.


Wachtwoorden vermijden te gebruiken

Kies, als dat mogelijk is, zo veel mogelijk voor oplossingen waarbij geen wachtwoorden meer worden gebruikt. Wachtwoorden zijn kwetsbaar en als beveiligingsmechanisme sterk achterhaald. Het is tegenwoordig mogelijk om op applicaties en systemen in te loggen met bijvoorbeeld een stukje hardware (token of telefoon) en een biometrisch kenmerk. Gezichts- en vingerafdruk herkenning op een telefoon zijn hier een voorbeeld van. Controleer of je applicaties wachtwoordloos kunnen laten aanmelden en neem dit mee als een vereiste voor toekomstig aan te besteden software en systemen. Dergelijke inlogmechanismes zijn veiliger én gebruiksvriendelijker dan ouderwetse wachtwoorden.


Veilig inloggen

Naast het bepalen van een manier waarop gebruikers veilig kunnen inloggen, moet ook worden nagedacht over welke apparaten vanaf welke locatie mogen inloggen op systemen. Naar aanleiding daarvan kan een specifiek bereik worden ingesteld, zodat de toegang tot systemen vanaf onbekende locaties en door middel van onbekende apparaten wordt afgeschermd. Opereert jouw organisatie hoofdzakelijk in Nederland, met in Nederland woonachtige medewerkers en alleen met specifieke apparaten? Overweeg dan om dit ook systeemtechnisch af te dwingen.

Tot slot is het ook nog mogelijk, wanneer afschermen niet haalbaar is, inlogpogingen van onbekende plekken te signaleren en de gebruiker hierop te attenderen bijvoorbeeld via de mail zodat de gebruiker hier zelf actie op kan ondernemen.