Nu we allemaal zeker weten dat wachtwoorden tot onveilige situaties leiden willen we graag MFA toepassen in onze organisatie. De meeste gebruikers kennen dit al van hun Google-, Microsoft- of iCloud-account. Daar gebruiken ze naast hun wachtwoord nog een ander inlogmiddel, zoals SMS of een pushnotificatie. Dus het lijkt erop dat het zonder al te veel problemen is in te voeren. Maar is het dan veilig?
De ene multifactor is de andere niet en de wijze van uitrollen en beheren heeft een grote invloed op de veiligheid. Daarbij komt dat bij inlogaccounts u ook zeker wil weten met wie u van doen heeft. De registratie van de gebruiker moet dus ook veilig zijn.
In de IT wordt hiervoor vaak het begrip Level of Assurance gebruikt, meestal aangeduid met LoA. LoA bekijkt een combinatie van aspecten die van belang zijn bij het inloggen, waarbij elk aspect een goede, matige of slechte betrouwbaarheid kan hebben. De optimale veiligheid wordt bereikt als alle aspecten een goede betrouwbaarheid hebben. De aspecten zijn:
- De registratie van de gebruiker
- Het inlogmiddel
- Het beheer van het inlogmiddel
Registratie
Voor de registratie van gebruikers maakt u in uw organisatie meestal gebruik van bestaande instroomprocessen, zoals het HR-proces voor medewerkers of het inschrijfproces voor studenten. Maar daarnaast kent elke organisatie nog uitzonderingen hierop, gebruikers die buiten deze processen om aan worden gemaakt, bijvoorbeeld door IT, een servicedesk of door managers en secretariaten. Daarvan is minder duidelijk of het identiteitsbewijs is gecheckt. De registratie van zulke gebruikers is eigenlijk matig of slecht betrouwbaar. Tenzij uw organisatie ook deze processen heel gedegen heeft ingericht en controleert. Maar als dat niet zo is, dan zouden deze gebruikers eigenlijk niet bij informatie moeten kunnen die kritisch is, of er nu MFA wordt gebruikt of niet.
Het inlogmiddel
Wachtwoorden zijn niet erg betrouwbaar. Ze zijn kwetsbaar doordat gebruikers er slordig mee om gaan en er wordt naar ge-phisht. Daarbij moeten wachtwoorden niet te kraken zijn, hetgeen betekent dat ze lang moeten zijn en niet met behulp van een woordenboek te raden moeten zijn (zie de link aan het begin van dit artikel). Wachtwoorden vragen dus om een groot veiligheidsbewustzijn bij de gebruikers.
Toch blijven we wachtwoorden gebruiken, al was het maar omdat op dit moment alle IT-systemen en applicaties er mee werken. Om geen wachtwoorden te gebruiken, maar alleen een ander inlogmiddel is daarom lastig (zie het FIDO initiatief). Gemakkelijker is het om een tweede veiliger inlogmiddel toe te voegen.
De tijd dat we daarvoor zogenaamde security-vragen gebruikten, die je eerst moest invullen en dan later weer herinneren, is gelukkig voorbij (‘de naam van de hond van de buurman bij je eerste woning?’). Dat is niet alleen onveilig, maar ook lastig in het gebruik.
Een code die je moet invullen die verstuurd wordt via email of SMS is een goed te gebruiken methode, maar is niet heel veilig. Email accounts kunnen worden gehackt, vooral omdat de code vaak wordt gestuurd naar een account dat niet met MFA is beveiligd. Bovendien is Email überhaupt een erg onveilig medium. SMS is dat ook, omdat SIM kaarten kunnen worden verwisseld, een nieuw telefoonnummer kan worden doorgegeven, omdat de oude telefoon zogenaamd is verloren, of de telefoon malware bevat die SMS-jes onderschept.
Dan zijn er hardware tokens die een eenmalige code verstrekken die moet worden ingevuld. Deze methode is echter kwetsbaar voor een man in the middle (MITM) aanval (dan worden de codes dus onderschept en gebruikt door een cybercrimineel) en dus ook niet zeer veilig.
Al deze methoden zijn wellicht veilig genoeg om niet erg kritische informatie te beveiligen, maar combineer ze met een zwak registratieproces en ze helpen eigenlijk niet.
Beter beveiligde MFA-oplossingen zijn push berichten, die minder gevoelig zijn voor MITM aanvallen en kennen verder ook weinig echte bedreigingen. Dit zijn de oplossingen die met een app werken, waar de gebruiker moet bevestigen dat zij/hij inderdaad wil inloggen.
Een nog veiliger alternatief voor een app die pushberichten ontvangt is MFA die het FIDO2 project gebruikt. Dit maakt gebruik van public key encryptie, een methode die al jaren wordt gebruikt voor meerdere toepassingen en combineert dat met biometrie. Naar de toekomst toe zal biometrie een veilige MFA-oplossing bieden. Windows hello is daar een voorbeeld van. Bij deze oplossingen is het echter lastig om ze eenvoudig uit te rollen. Overigens beogen FIDO2 en Windows hello om zonder wachtwoorden in te loggen.
Het beheer van het inlogmiddel
Hoe wordt een MFA inlogmiddel verstrekt? Hoe ga je er mee om als het niet werkt? Hoe ga je om met verlies van een middel, of dat nu een wachtwoord is, een telefoon of een hardware token.
Als iemand via een eenvoudig belletje naar de servicedesk kan regelen dat er een nieuw token wordt gestuurd, dan is de betrouwbaarheid van het token zeer laag, want hoe kan je controleren of degene werkelijk de persoon is die ze zegt dat ze is?
Er moet gezorgd worden dat het ‘ik heb een nieuwe MFA nodig proces’ oploopt met de primaire processen. Een nieuw token halen bij de servicebalie, die open is van 8 tot 18, leidt in een 7 x 24-uurs organisatie tot onveilige situatie als het gebruik van andermans accounts.
De veiligheid van het middel valt of staat dus met de zorgvuldigheid van het inrichten van de beheerprocessen. Er moet goed over na worden gedacht.
Verder is het beheer van de technische voorzieningen die erbij komen kijken van belang. Als het makkelijk is om het beheerportaal van de MFA te misbruiken, is de veiligheid van alle middelen in gevaar. Dus hoe goed beschermd zijn de beheermiddelen zelf? Soms ligt dit beheer bij uw organisatie, maar vaak is het uitbesteed aan een cloud dienst. Kan de cloudleverancier u laten zien hoe veilig het beheer is ingericht?
Tot slot
Eigenlijk zoals bij alle beveiligingsmaatregelen helpt een classificatie van de informatie en vervolgens een risicoanalyse om te bepalen wat de beste keuze is. De risicoanalyse kan per LoA aspect worden gedaan om zo de juiste combinatie van een registratieproces, MFA-middelen en beheerprocessen te bepalen voor elke klasse van informatie. Of de uitkomsten dan inderdaad geïmplementeerd kunnen worden hangt nog af van twee belangrijke andere aspecten: wat zijn de kosten en is het werkbaar?
©Peter Jurg, februari 2020
