Het belang van multifactorauthenticatie

Een wachtwoord alleen biedt al jaren geen afdoende beveiliging meer. Criminelen handelen in gestolen inloggegevens, phishingaanvallen zijn nauwelijks te onderscheiden van echte e-mails, en credential stuffing (het geautomatiseerd proberen van eerder gestolen gebruikersnamen en wachtwoorden) is een industrieel proces geworden. Multifactorauthenticatie (MFA) is de meest effectieve tegenmaatregel die je relatief eenvoudig kunt invoeren.

Hoe werkt MFA?

MFA voegt een tweede verificatiestap toe bovenop het wachtwoord. Zelfs als een aanvaller het wachtwoord weet, komt hij er niet in zonder die tweede factor. Die tweede factor valt in drie categorieën:

• Iets wat je weet: een extra pincode of beveiligingsvraag.
• Iets wat je hebt: een authenticatieapp (zoals Microsoft Authenticator of Google Authenticator), een sms-code of een hardwaretoken (zoals een YubiKey).
• Iets wat je bent: biometrische verificatie, zoals een vingerafdruk of gezichtsherkenning.

De meest gangbare combinatie is: wachtwoord plus een tijdelijke code uit een authenticatieapp. Dat is ook meteen de veiligste optie voor zakelijk gebruik, omdat sms-codes nog steeds kwetsbaar zijn voor SIM-swapping.

Waarom is MFA zo belangrijk?

Wachtwoorden worden gestolen, lekken en geraden

Datalekken komen voor bij organisaties van alle groottes. Als jij hetzelfde wachtwoord gebruikt voor meerdere accounts en één van die diensten lekt, zijn al je accounts kwetsbaar. Met MFA is een gelekt wachtwoord op zichzelf niet genoeg om toegang te krijgen.

Hackers zijn geautomatiseerd en snel

Moderne aanvallen zijn geautomatiseerd. Miljoenen combinaties van gebruikersnamen en wachtwoorden worden per uur geprobeerd. Een sterk wachtwoord vertraagt dat proces; MFA stopt het vrijwel volledig.

Aanvullende beveiliging voor thuiswerkers

Medewerkers die vanuit huis werken, verbinden via thuisnetwerken en persoonlijke apparaten. De controle die je op kantoor hebt over de netwerkomgeving, bestaat thuis niet. MFA compenseert een deel van dat risico.

MFA is niet 100% waterdicht

MFA verkleint het risico drastisch, maar is geen garantie. Een aanvaller die het wachtwoord heeft, kan blijven proberen om ook de tweede factor te omzeilen.

Redactionele noot: Rond 2021-2022 werd “MFA-fatigue” als aanvalsmethode breed bekend: een aanvaller stuurt zoveel pushverzoeken dat een gebruiker er per ongeluk een goedkeurt. Gebruik bij voorkeur een authenticatieapp met getalscode boven pushverzoeken, en train medewerkers om nooit een verzoek goed te keuren dat ze zelf niet hebben geïnitieerd.

Aan de slag

Zet MFA aan voor:

• Microsoft 365 en Azure AD
• VPN-toegang
• Beheeraccounts (IT, financiën)
• Elke dienst waarbij een datalek grote gevolgen zou hebben

Gebruik waar mogelijk een authenticatieapp in plaats van sms. En zorg dat herstelcodes veilig worden opgeslagen, zodat een kwijtgeraakt apparaat niet leidt tot permanente uitsluiting.

MFA is geen luxe. Het is de minimale standaard voor ieder account dat telt.