Digital Investigation

Multi-Factor Authenticatie (MFA)

Waarom het gebruik van MFA uw bedrijf beschermt tegen hackers.

13-04-2022
Er gaat geen dag voorbij zonder datalek of ransomware-aanval. Cybercriminelen zijn constant op zoek naar ingangen die hen toegang geven tot uw netwerk of systemen. Cyberincidenten zijn kostbaar. Denk naast de financiële schade maar eens aan de gevolgen door imagoschade en het verlies van het klantvertrouwen. Om de risico's te verkleinen zijn maatregelen nodig. Een solide slot is immers de basis van een goed beveiligde omgeving. Multi-Factor Authenticatie (MFA) is een effectieve en toegankelijke manier om de cyberveiligheid te versterken. Het verkleint namelijk het risico op een datalek via wachtwoorden aanzienlijk.

Pas Multi-Factor Authenticatie toe bij accounts die vanaf het internet bereikbaar zijn, accounts die beheerrechten hebben en accounts op essentiële systemen.

Bij het gebruik van MFA moeten gebruikers hun identiteit verifiëren voordat zij toegang krijgen tot een apparaat of applicatie. Het verschil tussen Two-Factor Authenticatie (2FA) en MFA is dat 2FA beperkt is tot twee beveiligingsfactoren en MFA altijd minimaal twee factoren bevat. Dit betekent dat alle 2FA een MFA is, maar niet alle MFA een 2FA is. 2FA oplossingen zijn minder veilig. Via brute forced-methoden (o.a. dictionary aanvallen) achterhalen hackers gemakkelijk wachtwoorden, omdat deze vaak zwak zijn. Hoe meer factoren, hoe veiliger het wordt.

De authenticatiemiddelen van MFA zijn op te delen in vijf categorieën:

  1. Iets dat je weet: gebruikersnaam i.c.m. een wachtwoord of vraag.
  2. Iets dat je bent: digitale herkenning (vingerafdruk of gezichtsherkening).
  3. Iets dat je hebt: sleutelkaarten of eenmalige wachtwoorden en codes.
  4. Locatie: een geografische- of netwerkbeperking.
  5. Tijd: beperkingen m.b.t. het inloggen op bepaalde tijden.

Zoek eerst uit of uw systemen en applicaties geschikt zijn. Is dit niet het geval? Voorzie ze van een update of vervang ze. Een proxyserver kan uitkomst bieden. Voor het correcte gebruik van MFA is gedragsverandering nodig. De menselijke factor blijft de zwakste plek van de cyberveiligheid, dus goede voorlichting is cruciaal. Kies ervoor om MFA gedeeltelijk te implementeren door eerst een testgroep aan te wijzen of de methode op één applicatie of systeem te testen. Dit levert waardevolle inzichten op over de gebruiksvriendelijkheid en effectiviteit van de methode.

De menselijke factor is echter nog steeds de zwakste schakel van uw cyberbeveiliging, dus een goede voorlichting is cruciaal.

De volgende tips helpen met het succesvol implementeren van MFA

  • Verplicht het gebruik van MFA.
  • Schakel inactieve accounts uit in de Active Directory- en MFA-systemen.
  • Patch alle systemen en prioriseer de veel voorkomende kwetsbaarheden.
  • Realiseer time- en lockout functies als reactie op mislukte inlogpogingen.
  • Implementeer een beleid voor beveiligingswaarschuwingen voor alle wijzigingen in accounts met MFA.
  • Gebruik sterke, unieke wachtwoorden voor alle accounts.
  • Gebruik wachtwoorden niet voor meerdere accounts.
  • Sla wachtwoorden niet op in systemen die hackers kunnen kraken.
  • Monitor continu op ongeautoriseerde of ongebruikelijke inlogpogingen.
  • Herzie het configuratiebeleid voor berscherming tegen 'fail open' en 're-enrollment' scenario's.
Kleinere kans op cyberaanvallen

 

Eenvoudigere aanmeldprocedure

 

Goede stap richting conformiteit AVG

 

Advies uit de praktijk van Tarkan, ethical hacker bij Digital Investigation

  • Kies voor het laten genereren van tijdelijke codes in plaats van pushberichten met een acceptatieknop op een device. Het lukt mij steeds vaker MFA te omzeilen bij keuze voor pushberichten.
  • Zorg dat medewerkers die niet iedere dag werken MFA iedere keer opnieuw dienen te activeren. Deactiveer accounts bij afwezigheid.
  • Zorg dat de ‘security awareness’ niet verzwakt. Gebruikers vragen mij na implementatie: ‘’Moeten we nog sterke wachtwoorden instellen, moeten we accounts bij foutieve inlogpogingen nog blokkeren en moeten we wachtwoorden nog steeds periodiek wijzigen?’’. Het antwoord? Ja!
  • Zorg er tijdens de implementatie voor dat de eerste activatie op een beveiligd netwerk plaatsvindt. Het kan namelijk zo zijn dat een hacker al toegang heeft tot het netwerk en MFA eerder kan activeren dan de gebruiker zelf.
  • Controleer periodiek of MFA op alle accounts recent is geactiveerd. Blokkeer accounts die langere tijd niet actief zijn geweest.
  • Zorg dat er geen onnodige accounts zijn waarop men extern dient in te loggen (zoals groep- of service-accounts die niet aan één persoon zijn toegewezen). Hoe meer accounts, hoe groter de kans op een hack.

Benieuwd naar de mogelijkheden?

Kunnen wij u helpen met het implementeren van Multi-Factor Authenticatie? Neem dan gerust contact met ons op. Samen naar een veiligere digitale wereld.

info@digital-investigation.nl

+31 (0)35 677 4411