Besparen op multi factor authenticatie

Door: Maikel Baars

05 juli 2019

Security en compliancy

Door: Maikel Baars, Senior Accountmanager bij Tools4ever

Het belang van informatiebeveiliging is groot, zeker in sectoren waar gegevens van burgers worden verwerkt. Binnen deze sectoren heeft dit onderwerp al jarenlang een focus waar tevens verschillende richtlijnen uit zijn voortgekomen. Voor de zorgsector, waar medische en patiëntgegevens worden beheerd en uitgewisseld, is dit de NEN 7510. Gemeenten moeten op hun beurt voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). Binnen het onderwijs bestaat er een Referentie Onderwijs Sector Architectuur (ROSA). Deze richtlijnen zijn allen grotendeels gebaseerd op het internationaal erkende ISO 27001/27002 normenkader. Sinds 25 mei 2016 is echter ook de Europese privacy verordening van kracht. De Europese Unie wil namelijk de privacy van haar burgers beter beschermen en heeft daarvoor de General Data Protection Regulation (GDPR) in het leven geroepen, beter bekend als de Algemene Verordening Gegevensbescherming (AVG).

In dit artikel

De noodzaak van Two-Factor Authenticatie (2FA)
Een veilige en goedkope 2FA-methode
Meer weten over HelloID Access Management?

De noodzaak van Two-Factor Authenticatie (2FA)

Een van de onderwerpen die veel aan bod komt gaat over eisen omtrent de authenticatieprocedures van gebruikers. Enkel de uitvraag van een gebruikersnaam en wachtwoord om in te loggen is voor veel applicaties niet voldoende. Informatie dient te worden geclassificeerd met betrekking tot “wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging”. De BIV-classificatie (Beschikbaarheid, Integriteit en Vertrouwelijkheid) is een binnen de informatiebeveiliging veel gebruikt framework hiervoor. Op basis van de verschillende classificatieniveaus dient vervolgens de geschikte authenticatievorm te worden toegepast waarbij er voor veel applicaties al snel wordt uitgekomen op de noodzakelijkheid van Two-Factor Authenticatie (2FA).

Naast dat organisaties hier zelf actief mee aan de slag moeten zien we momenteel dat veel applicatieleveranciers van bijvoorbeeld HR-systemen en EPD-applicaties het heft in eigen hand nemen en in versneld tempo 2FA binnen de door hen aangeboden cloudapplicaties verplicht stellen. Aangezien 2FA in vele vormen (SMS, E-mail, TOTP, Push, Keys etc.) en smaken (Microsoft, Google, Safenet, RSA, DUO) komt heb je als het even tegenzit voor iedere applicatie straks een andere 2FA methode nodig. Los van het feit dat dit voor een gebruiker erg onhandig en verwarrend is, is dit in potentie ook nog eens erg kostbaar. Zeker de laatstgenoemde ‘smaken’ staan er immers om bekend erg prijzig te zijn.

Een veilige en goedkope 2FA-methode

Veiligheid is nou eenmaal belangrijker dan gebruiksvriendelijkheid, niet alleen omdat dit nou eenmaal de regels zijn, maar ook vanwege de potentiele schade die een beveiligingslek tot gevolge kan hebben. Veiligheid hoeft echter niet te resulteren in een slechtere gebruikerservaring wanneer de gebruiker met één en dezelfde 2FA methode toegang kan verkrijgen tot al zijn/haar applicaties. Het kan zelfs leiden tot een verhoogde gebruiksvriendelijkheid wanneer een gebruiker, na de éénmalige toepassing van 2FA, via een overzichtelijk portaal en Single Sign-On (SSO) door kan naar alle applicaties waar deze voor gemachtigd is. Het hoeft ten slotte ook niet te leiden tot hoge kosten wanneer er gebruik wordt gemaakt van gratis 2FA-methoden zoals de Microsoft of Google Authenticator.

Met HelloID Access Management hoeven gebruikers door de toepassing van SSO slechts éénmaal in te loggen om toegang te verkrijgen tot al hun overzichtelijk weergegeven applicaties. Naast dat HelloID Access Management zelf verschillende 2FA methoden aanbiedt integreert het tevens naadloos met de gratis Authenticator apps van Microsoft en Google, maar is het desgewenst ook mogelijk om bestaande (maar veelal dure) 2FA methoden en tokens als Safenet, RSA en DUOMobile te gebruiken. Binnen HelloID is er de mogelijkheid om aan de hand van de gebruikerscontext (afdeling, locatie, tijd, device etc.) toegangsregels in te stellen op portaal- of applicatieniveau en zo te bepalen welk beveiligingsniveau van authenticatie wanneer gebruikt dient te worden. HelloID communiceert naar de applicatie of er al een 2FA is afgedwongen en de gebruiker logt hierdoor veilig en eenvoudig zonder verdere toegangsprocedures van de applicatie zelf in.

Meer weten over HelloID Access Management?

Wil je meer weten over wat HelloID Access Management voor je organisatie kan betekenen? Neem dan contact met ons op. Wij komen graag een keer langs om de mogelijkheden te bespreken.

Meer informatie over HelloID: Download HelloID whitepaper

Geschreven door:
Maikel Baars

Als Account Manager heeft Maikel Baars sinds 2015 klanten succesvol ondersteund bij het bereiken van hun doelstellingen en heeft hij hen geadviseerd bij eventuele uitdagingen op het gebied van Identity and Access Management (IAM). Maikel studeerde Commerciële Economie aan de Hogeschool van Amsterdam en behaalde zijn MBA bij Nyenrode. Tegenwoordig is hij als Marketing Manager verantwoordelijk voor alle marketinguitingen van Tools4ever Nederland. Om deze rol optimaal te vervullen, beschikt Maikel over kennis van het vereenvoudigen van het authenticatieproces en het effectief beheren van autorisatiegegevens.