Access Management – Multi-factor authenticatie implementeren
Multi-factor authenticatie (MFA) tilt de veiligheid van gebruikersaccounts naar een hoger niveau. Dankzij MFA weet je zeker dat alleen bevoegde gebruikers toegang krijgen tot je systemen en data, zelfs indien inloggegevens uitlekken of gestolen worden. HelloID biedt uitgebreide ondersteuning voor MFA. In dit artikel lees je meer over de mogelijkheden en helpen we je aan de slag met MFA.
Wat is MFA?
MFA is een beveiligingsmethode waarbij gebruikers zich niet alleen authenticeren met behulp van een gebruikersnaam en wachtwoord, maar daarvoor ook een aanvullende stap doorlopen. Bijvoorbeeld door het invullen van een code die via een app, sms of e-mail wordt aangeleverd.
Doordat gebruikers zich met MFA op twee manieren authenticeren til je het beveiligingsniveau naar een hoger niveau. Krijgen onbevoegden onverhoopt de gebruikersnaam en wachtwoord van een gebruiker in handen? Dan voorkomt MFA dat zij hiermee toegang krijgen tot het account van deze gebruiker.
Diverse opties beschikbaar
HelloID ondersteunt een breed scala aan MFA-oplossingen. De volgende opties zijn beschikbaar:
Webauthn via de FIDO2 standaard voor wachtwoordloze authenticatie, waarvan onder meer de YubiKey van Yubico gebruikmaakt
Push to Verify via de HelloID Authenticator-app
One-time password via iedere andere softtoken-app
E-mail
Sms
Hoe wil je MFA aanbieden?
Je staat bij HelloID zelf aan de knoppen. Zo kan je het gebruik van een specifieke MFA-methode afdwingen voor gebruikers; dit is altijd één vaste MFA-optie. Je kunt daarbij kiezen uit een one-time password via een app naar keuze, sms, e-mail of een hardwaretoken. Een belangrijk voordeel is dat je deze methoden als beheerder vooraf kunt configureren, bijvoorbeeld door het invullen van attributen via HelloID Provisioning of het koppelen van een hardwaretoken aan een specifieke gebruiker.
Je kunt ook ervoor kiezen de gebruiker meer vrijheid te geven en zelf te laten bepalen welke MFA-optie zij willen hanteren. Je ondersteunt in dit geval meerdere MFA-opties, zodat gebruikers de methode waaraan zij de voorkeur geven kunnen omarmen. Tools4ever adviseert voor deze tweede optie te kiezen. De werkwijze biedt een aantal voordelen:
Ondersteuning voor Push to Verify: de gebruiker krijgt in de HelloID Authenticator-app een pop-up te zien en hoeft alleen nog op ‘ja’ te klikken om toegang te verkrijgen. Het is dus niet nodig handmatig een code in te voeren.
De mogelijkheid meerdere MFA-opties te omarmen: verliest een gebruiker door diefstal of schade onverhoopt de toegang tot zijn of haar smartphone? Of is de HelloID Authenticator op een nieuwe smartphone nog niet aanwezig? Dan kan de gebruiker via sms alsnog een one-time password ontvangen om toegang te verkrijgen tot een applicatie of systeem.
Dezelfde MFA-optie meerdere keren registreren: werkt een gebruiker op meerdere smartphones? Het is mogelijk een MFA-optie meerdere keren te registreren, en bijvoorbeeld te koppelen aan meerdere smartphones. Zo kan de gebruiker zich altijd authenticeren, ongeacht de smartphone die hij of zij op dat moment gebruikt.
Waarop moet je letten?
Bij het kiezen van de MFA-opties die je wilt omarmen zijn er een aantal aandachtspunten. Zo brengt het gebruik van sms additionele kosten met zich mee; met name indien deze optie veel wordt gebruikt kunnen de kosten snel oplopen. Ook moet je zelf zorgen voor een sms-provider.
Een ander aandachtspunt is het verstrekken van MFA-codes via e-mail. Kies hiervoor alleen indien dit e-mailadres niet direct is gekoppeld aan HelloID. Belangrijk, want in veel gevallen loggen gebruikers met dezelfde inloggegevens in op zowel HelloID als hun e-mailadres. Stuur je een MFA-code naar dit mailadres? Dan kunnen gebruikers alleen bij deze code indien je geen MFA toepast op dit e-mailaccount. Het account is hierdoor dan ook niet optimaal beveiligd.
Maakt een gebruiker echter gebruik van een extern e-mailadres met een unieke gebruikersnaam en wachtwoord? Dan speelt dit probleem niet en is het verstrekken van een MFA-code via e-mail veilig. Lekken de inloggegevens van HelloID onverhoopt uit? Dan krijgt een aanvaller hiermee geen toegang tot het e-mailaccount en dus ook niet tot de MFA-code van de gebruiker. Lekken de inloggegevens van het e-mailaccount uit? Dan geven deze inloggegevens geen toegang tot HelloID.
Een ander aandachtspunt is het gebruik van hardwaretokens. Deze tokens moeten altijd door een beheerder op naam van de gebruiker worden gezet; de gebruiker kan dit niet zelf. Let op: ook het gebruik van hardwaretokens brengt extra kosten met zich mee. Zo moeten de token worden aangeschaft en beheerd.
Een populaire en bekende MFA-optie is een FIDO2-sleutel, zoals de YubiKey van het bedrijf Yubico. Wil je hiermee aan de slag? Let dan goed op welke FIDO2-sleutel je kiest; diverse varianten zijn op de markt beschikbaar die ieder andere opties bieden. Werken gebruikers bijvoorbeeld op mobiele apparaten als smartphones en/of tablets? Dan moet de FIDO2-sleutel ook NFC of Bluetooth ondersteunen, wat doorgaans alleen beschikbaar is op duurdere varianten. Kies je voor een FIDO2-sleutel met USB-aansluiting? Dan bestaat het risico dat gebruikers hun FIDO2-sleutel in de USB-poort van hun apparaat laten zitten, wat veiligheidsrisico’s met zich meebrengt. Hoewel FIDO2-sleutels in tegenstelling tot veel andere hardwaretokens door gebruikers zelf geconfigureerd kunnen worden, moeten beheerders de FIDO2-sleutels uiteraard wel aanschaffen en distribueren onder gebruikers.
MFA configureren
Op het gebied van MFA zijn dus een breed scala aan mogelijkheden beschikbaar binnen HelloID. Bij het configureren van MFA leg je vast welke mogelijkheden je aanbiedt, en hoe je dit exact doet. Zo kan je voor alle HelloID-gebruikers dezelfde regels hanteren en één specifieke MFA-optie hanteren. Het is echter ook mogelijk binnen de portal of application access rules aparte regels op te nemen, en bijvoorbeeld voor een bepaalde applicatie MFA via sms of e-mail af te dwingen. In dit laatste geval kan je ervoor kiezen het e-mailadres of telefoonnummer dat een gebruiker moet gebruiken vooraf in te vullen, of deze keuze juist aan de gebruiker laten. Een derde optie is de gebruiker zelf te laten bepalen welke MFA-optie zij willen omarmen en zo meer flexibiliteit te bieden.
Ook bij het uitrollen van MFA zijn diverse mogelijkheden beschikbaar. Zo kan je ervoor kiezen gebruikers via het securitymenu binnen hun HelloID-profiel zelf MFA te laten instellen. Je kunt MFA echter ook op basis van groep gefaseerd inschakelen op portal- of applicatieniveau. Leden van deze groep krijgen de eerstvolgende keer dat zij inloggen een wizard aangeboden waarmee zij MFA kunnen instellen. De derde optie is MFA in één keer uitrollen naar alle gebruikers, zodat alle gebruikers in één keer deze additionele veiligheidslaag omarmen.
Aan de slag
Wil jij aan de slag met HelloID Access Management? Op onze website vind je meer informatie over de mogelijkheden. Heb je vragen? Neem contact met ons op!
Geschreven door:
Wim Bronswijk
Wim Bronswijk is dé HelloID Access Management expert bij Tools4ever. Hij heeft jarenlang HelloID geïmplementeerd bij velen klanten en is sinds een aantal jaar Domein Expert voor HelloID Access Management en beheert mede alle hardware en netwerken bij Tools4ever.