Irisscans, vingerprint, pincodes, inlogtokens via een app, sleutels en daarna jezelf door een labyrint van lasers maneuvreren

Multi-factor authenticatie inbouwen in een applicatie

Multi-factor authenticatie, ook wel afgekort tot MFA, is een extra laag beveiligen tijdens het inloggen op een account. Het is ontworpen om het verkrijgen van toegang tot iemand anders account tegen te gaan. Er zijn verschillende vormen van multi-factor authenticatie. De bekendste is de two-factor authenticatie (2FA) waarbij een gebruiker inlogt met een gebruikersnaam, paspoort en een unieke toegangscode. Echter zijn er nog tal van andere voorbeelden van MFA. In dit artikel lichten we de mogelijkheden tot account en inlogbeveiliging toe en geven we voorbeelden van verschillende multi-factor authenticaties en wanneer deze van pas komen.

Wat is multi-factor authenticatie

Multi-factor authenticatie staat voor een inlogmethode waarbij de gebruiker van een applicatie twee of meer acties, ook wel factoren genoemd, dient te ondernemen om succesvol toegang te kunnen verkrijgen tot een bepaald systeem of account.

De theorie v.s. de praktijk

In principe geldt, hoe meer acties hoe lastiger het voor een ander persoon is om in te loggen op een account waar hij/zij geen toegang toe heeft. Althans in theorie, want het toevoegen van extra factoren maakt een applicatie niet per definitie veiliger. En dat kan ik illustreren met een praktijkvoorbeeld:

Is MFA wel echt veiliger in de praktijk?

Een tijd geleden werkte ik in een ziekenhuis waarbij er een groot ICT migratie project gaande was. Onderdeel daarvan was het verbeteren van de ICT-security. Heel belangrijk gezien het feit dat sommige gebruikers toegang hebben tot patiëntengegevens.

Met de beste bedoelingen werd een modern two-factor authenticatiemethode uitgerold. Men moest op een computer kunnen inloggen met een gebruikersnaam/passwoord en een fysiek werknemerspasje. Vanuit een IT-perspectief een prima ontwerp.

Maar in de praktijk spelen ook andere factoren mee. Op afdelingen waar binnen seconden gehandeld moet kunnen worden, bij kwesties van leven of dood, wilde de doctoren geen enkele tijd verspillen aan inloggen. Logisch.

Het resultaat, op de afdelings-PC stond de arts met de meeste gebruikersrechten standaard ingelogd met zijn wachtwoord ingevuld/onthouden. Alle verpleegsters vroegen de arts gewoon even om zijn pasje als ze wilde inloggen. Hierdoor werd het in principe alleen maar nog makkelijker om bij gegevens te komen die niet voor iedereen bedoeld zijn.

*Toen dit duidelijk werd in een van de eerste proefperioden, werd direct het protocol aangepast en het personeel geïnformeerd over de risico’s.

Hoe ziet multi-factor authenticatie er dan uit?

Bovenstaande praktijkvoorbeeld is een two-factor authenticatie (2FA), maar er zijn ook methoden waarbij drie, vier of vijf factoren gebruikt worden. Als er meer dan twee factoren gebruikt worden noemen we dit voornamelijk multi-factor authenticatie (MFA). Diverse films illustreren heel mooi hoe ver MFA zou kunnen gaan. Stap maar eens een super geheim FBI/AIVD/MI6 lab in. Irisscans, vingerprint, pincodes, inlogtokens via een app, sleutels en daarna jezelf door een labyrint van lasers maneuvreren. Een voorbeeld van een 6-factor authenticatie methode.

Natuurlijk is deze combinatie van factoren pure fictie, maar ook in de praktijk zijn er veiligheidsvoorschriften die meer dan twee factoren gebruiken. Zoals het inloggen op het mainframe van een kerncentrale of het inschakelen van een raketafweersysteem.

De vijf type factoren

We hebben het al gehad over de termen multi-factor (MFA) en two-factor authenticatie (2FA) en de impact van het hebben van meerdere factoren. Maar naast de hoeveelheid van factoren speelt het type factor ook een rol in het goed ontwerpen van jouw IT-beveiliging.

1) Iets dat je weet

De eerste factortype is ‘something you know’, ofwel iets dat je weet en (kan) onthouden. Voorbeelden van dit type factor zijn pincodes, wachtwoorden en beveiligingsvragen. Als het goed is weet je ten alle tijden nog wat de meisjesnaam van je moeder is of de naam van je eerste huisdier. Maar hoe kan het dat wachtwoorden nog steeds geclassificeerd worden als ‘something you know’ terwijl een wachtwoord tegenwoordig makkelijk bestaat uit meer dan 20 karakters? Tja, techniek staat niet stil. Wie weet scharen we wachtwoorden over een tijd onder een andere factorclassificering.

2) Iets dat je hebt

Naast “iets dat je weet” is het ook mogelijk om een fysiek voorwerp te bezitten dat jou toegang verschaft. Bijvoorbeeld jouw huissleutel, maar ook de e-reader of identifier die jij van jouw bank hebt ontvangen is een voorbeeld van de classificatie: ‘Something you have’. Veel bedrijven maken ook gebruik van medewerkerpasjes. Een fysiek object dat werknemers toegang verleend tot ruimtes, kopieerapparaten of hun computersystemen.

Eén van onze Gillz Marketing klanten Atrea is gespecialiseerd in tijdregistratie en bied haar klanten fysieke druppels/tags aan. Dit is een mooi voorbeeld van de factor “iets dat je hebt” om middels fysieke voorwerpen toegang te verlenen tot een digitaal systeem.

3) Iets dat je bent

Een veelgebruikte methode voor het unlocken van onze smartphones is de vingerafdrukscanner. Deze manier van beveiliging valt onder de factorclassificatie: “Something you are”. Maar er zijn meer alternatieven. Zo zijn veel biometrische gegevens geschikt voor beveiliging. Irisscanners, handpalmscanners, voice recognition, faceID, allemaal voorbeelden van inlogmethoden die werken vanuit het principe dat jij ook echt de persoon bent die toegang moet krijgen.

4) Ergens waar jij je bevind

Dit is een methode die niet heel bekend is, maar het is ook mogelijk om personen alleen toegang te verlenen als zij zich ergens bevinden. Voor één van onze klanten genaamd: Tap hebben wij een systeem gemaakt waarbij Nederlanders voor minder dan de dagprijs een dagje weg konden naar sauna’s, pretparken en dierentuinen. De gebruiker kon eenvoudig in- en uit tappen op de app om aan te geven hoelang ze ergens gespendeerd hadden. Een van de methoden die wij gebruiken voor de verificatie en beveiliging is de locatie van de gebruiker. Een goed voorbeeld van de factor: ‘Somewhere you are’. Het beveiligen op basis van Geolocatie, IP of MAC-adres.

5) Iets wat je doet

Dit een factortype die (nog) niet heel erg bekend is. Maar het principe is simpel. Je voert een bepaald actie uit die jou identificeert. Windows experimenteerde met een inlogmethode waarbij ze gebruikers een afbeelding gaven waar de gebruikers vervolgens routes op kon tekenen, zoals bijv. een cirkeltje tekenen rondom de zon, dan een lijn van de zon naar de derde boom op de afbeelding en daarna de plooiing van het landschap volgen.

Een methode die wellicht bekender is, is de smartphone unlock met de negen bolletjes waartussen lijnen getrokken moeten worden. De kracht van deze methode is dat de mogelijkheden oneindig zijn. Wellicht gaan we deze methode in de toekomst vaker zien.

Praktijkvoorbeelden van succesvolle MFA methoden

Nu we besproken hebben wat voor verschillende soorten multi-factor authenticaties er bestaan is het tijd om onze kennis in de praktijk te brengen. Welke MFA zijn succesvol en welke methoden kan je beter niet gebruiken. Kortom wat zijn de best practices van multi-factor authenticatie.

GitHub

GitHub two-factor authenticatie

Over het algemeen hechten developers veel waarde aan hun privacy en de veiligheid van hun accounts en systemen. En terecht. GitHub is een veelgebruikt platform waarin developers de broncode achter applicaties in opslaan voor versiebeheer. En je wilt natuurlijk niet dat andere bij je code kunnen! Dus heeft GitHub een MFA inlogmethode.

  • Log op je desktop in met wachtwoord en gebruikersnaam (factor 1, “Iets wat je weet”);
  • Open de authenticator app op je telefoon en vul de token online in (factor 2, “Iets wat je hebt”).

ING

Inloggen bij de ING bank

Inloggen bij banken is al gelange tijd via een MFA methode. Zo had voorheen iedereen fysieke identifiers waar het pasje ingeschoven kon worden. Die genereerde een code en dat kon dan vervolgens weer online ingevoerd worden. Tegenwoordig hanteren sommige banken een andere methode, zoals de ING bank.

Inloggen bij de ING werkt als volgt:

  • Op de desktop log je in met gebruikersnaam en wachtwoord (factor 1, “Iets wat je weet”);
  • Vervolgens voer je een pincode in om de ING app te openen (factor 2, “Iets wat je weet”);
  • In de app bevestig je een actie tot inloggen (factor 3, “Iets wat je doet”);
  • Vervolgens kan je via de browser van je desktop je bankzaken regelen.

DigiD

Nederlandse DigID

Een van de belangrijkste accounts is je DigiD. Het geeft je toegang tot de belastingdienst, toeslagen en andere rijksoverheid sites. Beveiliging van dit account is dan ook belangrijk. De overheid heeft daarom een app ontwikkeld voor MFA op het DigiD.

Stel je wilt inloggen op een rijksoverheid website terwijl je op een desktop zit:

  • Vul de koppelcode in op de desktop (factor 1, “Iets dat je hebt”);
  • Scan de QR-code met je telefoon (factor 2, “Iets dat je hebt”);
  • Klik op Inloggen op de desktop;
  • Vul uw pincode in op de app (factor 3, “Iets dat je weer”).

Hulp nodig bij de juiste implementatie?

Advies nodig bij het opzetten van de juiste MFA voor jouw applicaties? Geen probleem. Gillz heeft IT-consultants die jouw organisatie goed kunnen adviseren in de juiste methode en tegelijkertijd hebben wij ook de development capaciteit zitten om direct aan de slag te gaan. Neem gerust vrijblijvend contact met ons op via onze chat of door te bellen naar +31 (0)172 – 785 464 of te mailen naar info@gillz.nl.

Daniel
Kan ik met je meedenken?

Wil je een prijsindicatie of
sparren over de mogelijkheden?

Mail Daniel Schneiders
Of bel naar +31172785464

Wellicht ook interessant:

Growthsourcing het nieuwe detacheren

  • Opleiden

Growthsourcing het nieuwe detacheren

Verkerk: IT van levensbelang

  • React Native App

Verkerk Service Systemen - Sherpa app

Intelligente bedrijfsapplicaties

  • Mendix

Voorbeeld van digitaal middel-kleinbedrijf