Stel, een van uw medewerkers is op een luchthaven, in een restaurant, café of hotelkamer. De werknemer logt in op uw bedrijfsnetwerk door gebruik te maken het gratis, openbare (en onveilige) Wi-Fi netwerk. Wat de werknemer waarschijnlijk niet weet is, dat openbare Wi-Fi netwerken voor iedereen toegankelijk zijn, dus ook voor cybercriminelen. Daarom zijn ze niet veilig, zelfs niet als het netwerk een wachtwoord heeft.

De vraag is nu of uw organisatie multifactor authenticatie afdwingt. Als dit niet het geval is en uw werknemer wordt slachtoffer van bijvoorbeeld phishing, dan kan een cybercrimineel zoals een hacker of een ander kwaadwillend persoon, inloggen op uw bedrijfsnetwerk en zo toegang krijgen tot allerlei bedrijfsgevoelige informatie.

Met behulp van multifactor authenticatie brengt u een extra beveiligingslaag aan

Een voorbeeld. Op het sociaal platform LinkedIn kunt u authenticatie in twee stappen (ook bekend als twee-factor authenticatie) aanzetten. Wanneer u hierna opnieuw inlogt ontvang u op uw telefoon een verificatiecode om in te vullen en de inlogprocedure af te ronden. Op deze manier kunt u, zelfs als iemand uw wachtwoord gestolen heeft, alsnog voorkomen dat men zomaar toegang krijgt tot uw persoonlijke informatie.

Het is dus goed om voor het inloggen op uw bedrijfsnetwerk multifactor authenticatie af te dwingen, waarbij de identiteit van uw gebruikers wordt gecontroleerd.

Authenticatiefactoren

Drie mogelijke authenticatiefactoren zijn:

  • Iets wat de gebruiker heeft, zoals een mobiele telefoon of een token;
  • Iets wat de gebruiker weet, zoals een wachtwoord of een pincode;
  • Iets wat bij de gebruiker hoort, zoals een vingerafdruk, spraakherkenning of gezichtsherkenning. Dit zijn unieke lichaamskenmerken, of biometrische gegevens.

Geen multifactor authenticatie

Een combinatie van hetzelfde type authenticatiefactor is geen multifactor authenticatie. Bijvoorbeeld wanneer er meerdere combinaties van gebruikersnamen en wachtwoorden nodig zijn om toegang te krijgen.

Gebruikersnamen en wachtwoorden vallen beide binnen het type authenticatiefactor ‘iets wat de gebruiker weet’, waardoor deze combinaties niet als multifactor authenticatie gekwalificeerd worden.

Over het algemeen zijn de volgende voorbeelden geen authenticatiefactoren voor het gebruik van een computer of applicatie:

  • Een toegangspas waarmee toegang wordt verkregen tot een ruimte waar meerdere mensen toegang hebben;
  • Een unieke telefoon of unieke computer (tenzij de mobiele telefoon een tijdelijk wachtwoord genereert of gebruik maakt van een ingebouwde authenticatiefactor);
  • Een uniek IP-adres.

Voorbeelden multifactor authenticatie

Combinatie van:

  • Gebruikersnaam, wachtwoord en een eenmalig te gebruiken toegangscode, toegezonden per sms of push melding;
  • Gebruikersnaam, wachtwoord en gezichtsherkenning of een vingerafdruk;
  • Gebruikersnaam, wachtwoord en een eenmalige unieke cijfercode welke gegenereerd wordt door een hardware token of authenticator app;
  • Mobiele telefoon en een geverifieerde QR-code.

Nationaal Cybersecurity Bewustzijnsonderzoek

Uit het Nationaal Cybersecurity Bewustzijnsonderzoek 2018, uitgevoerd in het kader van de jaarlijkse awareness-campagne ‘Alert Online’, blijkt dat 38% van de Nederlanders met zijn laptop online gaat via openbare Wi-Fi. Met de smartphone is dat 31%.

Informatie

Hulp nodig bij de AVG?

Ik help u graag

    Telefonisch consult