Waarom tweestapsverificatie instellen?

Gepubliceerd op 5 mei 2021 om 15:00

Het aantal cyberaanvallen is sinds de coronacrisis vervijfvoudigd. Alleen al in de Microsoft cloud zijn er 300 miljoen frauduleuze inlogpogingen per dag. Jouw bedrijf neemt waarschijnlijk allerlei maatregelen om de kans op een datalek te verkleinen. Het instellen van tweestapsverificatie voor medewerkers is hierbij enorm belangrijk. Want 80 procent van de hacking-gerelateerde aanvallen komen binnen via wachtwoorden.

Belangrijke en effectieve beveiligingsmaatregel

Het instellen van tweestapsverificatie verkleint het risico op een datalek via wachtwoorden al snel met 99,9 procent. Het is dus een heel belangrijke en effectieve beveiligingsmaatregel. Je houdt de meeste hackers namelijk pas tegen als je meer dan één verificatiestap instelt. Want hackers achterhalen je wachtwoorden vaak vrij makkelijk, of deze zijn zelfs al bij hen bekend. Het wordt pas echt lastig voor hen als zij andere stappen moeten doorlopen. Ze hebben hiervoor informatie nodig waar zij moeilijk aan komen. Een systeem of applicatie binnenkomen is dan bijna onmogelijk.

Tom Abbing, CIO bij OGD: “Toepassing van tweestapsverificatie is een eenvoudige maatregel om te nemen, met groot effect op het veiligheidsniveau. Het is daarom een van de eerste, zo niet de eerste maatregel om te overwegen als je je ict-beveiliging wilt aanpakken.”

Met tweestapsverificatie speel je in op de volgende veelvoorkomende securityrisico’s:

  • Hackers die toegang krijgen tot zakelijke e-mail: als e-mailaccounts met slechts één wachtwoord zijn beveiligd, komen mensen hier vrij makkelijk onrechtmatig binnen. Vanuit daar kunnen zij de bedrijfsvoering ontwrichten en geld stelen.
  • Het hergebruik van wachtwoorden: uit onderzoek blijkt dat het merendeel van de werknemers voor verschillende accounts en applicaties hetzelfde wachtwoord gebruikt. De schade kan dan enorm zijn wanneer het wachtwoord in verkeerde handen valt en het systeem geen extra authenticatie vraagt van de hacker.

Wat is tweestapsverificatie precies?

Tweestapsverificatie is een manier om mensen ergens toegang toe te verlenen waarbij zij twee of meer beveiligingsstappen succesvol moeten doorlopen. Zo moeten gebruikers bijvoorbeeld een persoonlijk wachtwoord invoeren én een unieke, eenmalige code invullen die zij per sms ontvangen op hun telefoon, voordat zij een bepaalde applicatie in kunnen.

De mogelijke beveiligingstappen die je met tweestapsverificatie kunt instellen zijn onder te verdelen in vijf factoren. Het is bij tweestapsverificatie belangrijk dat de twee gekozen beveiligingsstappen zijn terug te voeren op twee verschillende van de vijf onderstaande factoren. Hieronder lees je welke vijf factoren er zijn binnen tweestapsverificatie:

  • Iets dat je weet

Het gaat bij deze factor om iets dat de gebruiker zelf weet en onthoudt: bijvoorbeeld een persoonlijk wachtwoord of het antwoord op een beveiligingsvraag (bijvoorbeeld: ‘Wat is de voornaam van je vaders vader?’).

  • Iets dat je bent

Het gaat hierbij om digitale herkenning van de persoon die inlogt, bijvoorbeeld via een vingerafdruk of irisscan.

  • Iets dat je hebt

Hieronder vallen gegevens die de gebruiker heeft ontvangen, zoals een hardware token of een eenmalige inlogcode die via e-mail of sms is verzonden.

  • Locatie

Met deze factor krijgen gebruikers alleen toegang wanneer zij zich op een bepaalde geografische plek bevinden, bijvoorbeeld binnen de muren van het bedrijf of in een bepaald land.

  • Tijd

Deze factor legt beperkingen op wat betreft het tijdstip waarop mensen kunnen inloggen. Bijvoorbeeld alleen op één bepaalde dag, of dagelijks tussen 09:00 en 13:00 uur.

Hoe stel je tweestapsverificatie in?

Tweestapsverificatie is een beveiligingsmaatregel die je relatief simpel instelt. Binnen Office 365 volg je bijvoorbeeld gewoon zelf een overzichtelijk stappenplan. Is deze (nog) niet helemaal toepasbaar op jouw organisatie en ict-landschap, dan kan een ict-dienstverlener natuurlijk altijd met je meedenken.

  • Zet het volgende eerst eens op een rijtje, dan weet je beter waar je aan begint.

- Welke systemen en applicaties wil je beveiligen met tweestapsverificatie?
- Welke tweestapsverificatie-technologie wil je gebruiken?
- Wat zal de impact op werknemers zijn? Hoe verandert hun werkwijze?

  • Zoek uit of de systemen en applicaties die je wilt beveiligen geschikt zijn voor tweestapsverificatie.

Verouderde software (legacy) heeft vaak minder goede opties qua beveiliging. Het is hier niet altijd mogelijk om een tweestapsverificatie in te stellen. Kijk dan of je legacy zoveel mogelijk kunt updaten of vervangen. Een proxyserver speciaal voor tweestapsverificatie biedt hier soms uitkomst.

  • Soms is het een goed idee om tweestapsverificatie eerst alleen deels door te voeren in je organisatie.

Bijvoorbeeld alleen binnen bepaalde applicaties, of voor een selecte groep gebruikers. Zo krijg je er meer feeling mee en weet je of het werkt voor jouw organisatie.

  • Onderschat de menselijke kant van de implementatie niet.

Waarschijnlijk krijgen alle mensen in de organisatie te maken met de nieuwe manier van inloggen. Soms voelen zij weerstand tegen het doorlopen van extra stappen. Of ze willen bepaalde gegevens niet delen uit angst voor datalekken. Het is belangrijk om hen te helpen begrijpen dat MFA hun (persoons)gegevens juist beter beveiligt.

Tweestapsverificatie is een effectieve en toegankelijke manier om je cyber security flink te verbeteren. Wil je weten hoe jouw organisatie tweestapsverificatie effectief kan inzetten en wat hierbij komt kijken? Neem dan vrijblijvend contact op met onze security experts.

Tweestapsverificatie nog niet voor alles beschikbaar

Helaas is elke dienst nog niet voorzien van tweestapsverificatie, maar steeds meer E-mailproviders, internetdiensten en sociale media bieden tweestapsverificatie aan. Een toegangscode kun je instellen bij de volgende diensten:

Apple | Dropbox | Facebook | Google | Instagram | LinkedIn | Microsoft | Snapchat | TikTok  | Twitter | WhatsApp | Yahoo

Bron: diensten, ogd.nl, agconnect.nl

Meer info over Cybercrime lees je hier

Tips of verdachte activiteiten gezien? Meld het hier.

Cybercrime gerelateerde berichten

Stelling: Het gebruik van wachtwoorden is een verouderde beveiligingstechniek die zijn langste tijd heeft gehad

Iedere seconde vinden er ergens ter wereld wel nieuwe pogingen plaats van cybercriminelen om websites, diensten, bedrijven of consumenten te hacken. Niet geheel onverwachts is er dus ook een toenemende kans op gelekte wachtwoorden, waardoor cybercriminelen eenvoudig toegang tot bedrijfsgegevens krijgen, aldus Beyond Identity, een leverancier van wachtwoordloze oplossingen voor identiteitsbeheer. Vorige maand meldde CyberNews dat er een bestand met de naam 'RockYou2021.txt' op een populair hackersforum is gezet. Daarbij gaat het om een verzameling van 8,4 miljard wereldwijd gelekte wachtwoorden. Ook in Nederland is het lekken van wachtwoorden schering en inslag.

Lees meer »

De belangrijkste cyberdreigingen voor Industrial Control Systems

Het beveiligen van industriële beheersystemen (Industrial Control Systems / ICS) is van vitaal belang. Onder meer de beveiliging van endpoints, de systemen waarop eindgebruikers vertrouwen, moet hierbij voldoende krijgen. In een rapport waarschuwt Trend Micro voor de risico’s en zet de belangrijkste dreigingen op een rijtje.

Lees meer »

10 jaar Cybersecuritybeeld Nederland: basis beveiligingsmaatregelen nog altijd niet op orde

Al tien jaar publiceert de overheid het Cybersecuritybeeld Nederland (CSBN) waarin cyberdreigingen en de kwetsbaarheid van de Nederlandse digitale infrastructuur centraal staan. De boodschap is al die tijd nagenoeg niet veranderd, en dat is dat organisaties basale beveiligingsmaatregelen nog altijd niet op orde hebben. Er ontstaat echter een kloof tussen bedrijven die wel en niet digitaal weerbaar zijn, zo laat de Nationaal Coördinator Terrorismebestrijding (NCTV) weten.

Lees meer »

De grootste cyberaanvallen van 2021

De afgelopen jaren is het moeilijk geworden om het feit te negeren dat het digitale leven waar we allemaal deel van uitmaken volledig kwetsbaar is voor cybercriminelen. Hackers zijn blij met bijna elke mogelijkheid om geld te verdienen of plezier te hebben - van het creëren van een gratis lidmaatschap van een sportschool voor hun hele gezin tot het hacken van energiesystemen van hele landen.

Lees meer »

De meest voorkomende soorten cyberaanvallen in 2021

Het aantal cyberincidenten in 2021 is beangstigend, ook al zijn er pas zes maanden verstreken. Inbreken in een waterleidingnet in Florida en proberen het water te vergiftigen voor 15.000 inwoners. Een cyberaanval op het kanaal 9News Australia heeft ochtendshows geannuleerd. Een ransomware-aanval veroorzaakte de sluiting van de grootste brandstofpijpleiding in de VS en kostte $ 5 miljoen. En dat is slechts een deel van het droevige nieuws voor nu.

Lees meer »

«   »