Het aantal cyberaanvallen is sinds de coronacrisis vervijfvoudigd. Alleen al in de Microsoft cloud zijn er 300 miljoen frauduleuze inlogpogingen per dag. Jouw bedrijf neemt waarschijnlijk allerlei maatregelen om de kans op een datalek te verkleinen. Het instellen van tweestapsverificatie voor medewerkers is hierbij enorm belangrijk. Want 80 procent van de hacking-gerelateerde aanvallen komen binnen via wachtwoorden.
Belangrijke en effectieve beveiligingsmaatregel
Het instellen van tweestapsverificatie verkleint het risico op een datalek via wachtwoorden al snel met 99,9 procent. Het is dus een heel belangrijke en effectieve beveiligingsmaatregel. Je houdt de meeste hackers namelijk pas tegen als je meer dan één verificatiestap instelt. Want hackers achterhalen je wachtwoorden vaak vrij makkelijk, of deze zijn zelfs al bij hen bekend. Het wordt pas echt lastig voor hen als zij andere stappen moeten doorlopen. Ze hebben hiervoor informatie nodig waar zij moeilijk aan komen. Een systeem of applicatie binnenkomen is dan bijna onmogelijk.
Tom Abbing, CIO bij OGD: “Toepassing van tweestapsverificatie is een eenvoudige maatregel om te nemen, met groot effect op het veiligheidsniveau. Het is daarom een van de eerste, zo niet de eerste maatregel om te overwegen als je je ict-beveiliging wilt aanpakken.”
Met tweestapsverificatie speel je in op de volgende veelvoorkomende securityrisico’s:
- Hackers die toegang krijgen tot zakelijke e-mail: als e-mailaccounts met slechts één wachtwoord zijn beveiligd, komen mensen hier vrij makkelijk onrechtmatig binnen. Vanuit daar kunnen zij de bedrijfsvoering ontwrichten en geld stelen.
- Het hergebruik van wachtwoorden: uit onderzoek blijkt dat het merendeel van de werknemers voor verschillende accounts en applicaties hetzelfde wachtwoord gebruikt. De schade kan dan enorm zijn wanneer het wachtwoord in verkeerde handen valt en het systeem geen extra authenticatie vraagt van de hacker.
Wat is tweestapsverificatie precies?
Tweestapsverificatie is een manier om mensen ergens toegang toe te verlenen waarbij zij twee of meer beveiligingsstappen succesvol moeten doorlopen. Zo moeten gebruikers bijvoorbeeld een persoonlijk wachtwoord invoeren én een unieke, eenmalige code invullen die zij per sms ontvangen op hun telefoon, voordat zij een bepaalde applicatie in kunnen.
De mogelijke beveiligingstappen die je met tweestapsverificatie kunt instellen zijn onder te verdelen in vijf factoren. Het is bij tweestapsverificatie belangrijk dat de twee gekozen beveiligingsstappen zijn terug te voeren op twee verschillende van de vijf onderstaande factoren. Hieronder lees je welke vijf factoren er zijn binnen tweestapsverificatie:
-
Iets dat je weet
Het gaat bij deze factor om iets dat de gebruiker zelf weet en onthoudt: bijvoorbeeld een persoonlijk wachtwoord of het antwoord op een beveiligingsvraag (bijvoorbeeld: ‘Wat is de voornaam van je vaders vader?’).
-
Iets dat je bent
Het gaat hierbij om digitale herkenning van de persoon die inlogt, bijvoorbeeld via een vingerafdruk of irisscan.
-
Iets dat je hebt
Hieronder vallen gegevens die de gebruiker heeft ontvangen, zoals een hardware token of een eenmalige inlogcode die via e-mail of sms is verzonden.
-
Locatie
Met deze factor krijgen gebruikers alleen toegang wanneer zij zich op een bepaalde geografische plek bevinden, bijvoorbeeld binnen de muren van het bedrijf of in een bepaald land.
-
Tijd
Deze factor legt beperkingen op wat betreft het tijdstip waarop mensen kunnen inloggen. Bijvoorbeeld alleen op één bepaalde dag, of dagelijks tussen 09:00 en 13:00 uur.
Hoe stel je tweestapsverificatie in?
Tweestapsverificatie is een beveiligingsmaatregel die je relatief simpel instelt. Binnen Office 365 volg je bijvoorbeeld gewoon zelf een overzichtelijk stappenplan. Is deze (nog) niet helemaal toepasbaar op jouw organisatie en ict-landschap, dan kan een ict-dienstverlener natuurlijk altijd met je meedenken.
-
Zet het volgende eerst eens op een rijtje, dan weet je beter waar je aan begint.
- Welke systemen en applicaties wil je beveiligen met tweestapsverificatie?
- Welke tweestapsverificatie-technologie wil je gebruiken?
- Wat zal de impact op werknemers zijn? Hoe verandert hun werkwijze?
-
Zoek uit of de systemen en applicaties die je wilt beveiligen geschikt zijn voor tweestapsverificatie.
Verouderde software (legacy) heeft vaak minder goede opties qua beveiliging. Het is hier niet altijd mogelijk om een tweestapsverificatie in te stellen. Kijk dan of je legacy zoveel mogelijk kunt updaten of vervangen. Een proxyserver speciaal voor tweestapsverificatie biedt hier soms uitkomst.
-
Soms is het een goed idee om tweestapsverificatie eerst alleen deels door te voeren in je organisatie.
Bijvoorbeeld alleen binnen bepaalde applicaties, of voor een selecte groep gebruikers. Zo krijg je er meer feeling mee en weet je of het werkt voor jouw organisatie.
-
Onderschat de menselijke kant van de implementatie niet.
Waarschijnlijk krijgen alle mensen in de organisatie te maken met de nieuwe manier van inloggen. Soms voelen zij weerstand tegen het doorlopen van extra stappen. Of ze willen bepaalde gegevens niet delen uit angst voor datalekken. Het is belangrijk om hen te helpen begrijpen dat MFA hun (persoons)gegevens juist beter beveiligt.
Tweestapsverificatie is een effectieve en toegankelijke manier om je cyber security flink te verbeteren. Wil je weten hoe jouw organisatie tweestapsverificatie effectief kan inzetten en wat hierbij komt kijken? Neem dan vrijblijvend contact op met onze security experts.
Tweestapsverificatie nog niet voor alles beschikbaar
Helaas is elke dienst nog niet voorzien van tweestapsverificatie, maar steeds meer E-mailproviders, internetdiensten en sociale media bieden tweestapsverificatie aan. Een toegangscode kun je instellen bij de volgende diensten:
Bron: diensten, ogd.nl, agconnect.nl
Meer info over Cybercrime lees je hier
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
Techsector belangrijkste doelwit cybercriminelen
Malware wordt complexer. Dat moet blijken uit het securityrapport van NTT. De software die wordt gebruikt om bedrijven wereldwijd aan te vallen wordt ook steeds vaker geautomatiseerd.
49% toename aan verkoop cybercrime handleidingen op het darkweb
Uit onderzoek van 'Terbium Labs' blijken cybercrime handleidingen goed voor bijna de helft (49%) van de gegevens die op het darkweb werden verkocht, gevolgd door persoonlijke gegevens met15,6%.
Online gamers aantrekkelijk doelwit voor cybercriminelen
In de afgelopen maanden hebben Nederlanders zich in de quarantaineperiode massaal gestort op het oppakken van oude hobby’s in en rondom het huis: van koken tot het spelen van traditionele (bord)spellen en ander vermaak. Een groot deel van de Nederlanders heeft er echter voor gekozen zich te storten op een virtuele ontsnapping aan de werkelijkheid: online gamen.
Help! Ik ben opgelicht !!
De politie neemt elke dag aangiften op van veel zaken als vernieling, diefstal of mishandeling en oplichting. Bij oplichting wordt op een slinkse manier het vertrouwen gewonnen van veel mensen "we zien als politie dat er op deze manier veel geld wordt overgemaakt naar oplichters. Veel mensen maken tegenwoordig gebruik van sociale media zoals Facebook, Instagram en Snapchat. En ook handelen we bijna allemaal wel via Marktplaats of E-bay. Bij al deze online activiteiten laten we (meestal onbewust) informatie achter, die bruikbaar is voor oplichters. Hieronder enkele voorbeelden." aldus de politie
FBI bereikte op 12 maart '5 miljoen aangiftes'
In 20 jaar tijd heeft de FBI maar liefst 5 miljoen aangiftes ontvangen van Amerikanen die het slachtoffer zijn van cybercrime. Als de Amerikaanse veiligheidsdienst iets heeft geleerd in deze periode, is dat de online omgeving continu verandert en dat cybercriminelen met de tijd meegaan. Nu het coronavirus de gemoederen bezighoudt, maken hackers overuren.
Gamechangers: houd jongeren weg bij cybercrime
Speciale games moeten helpen jongeren uit de cybercriminaliteit te houden.