Wat is multi-factor-authenticatie (MFA)?
- IAM-woordenlijst
- Wat is multi-factor-authenticatie (MFA)?
Multi-factor-authenticatie (MFA) is een beveiligingsmaatregel waarbij gebruikers meer dan één vorm van authenticatie moeten hanteren om toegang te krijgen tot een service of app.
Definitie van multi-factor-authenticatie
Het idee achter MFA is om een extra beveiligingslaag te bieden naast een traditionele gebruikersnaam en wachtwoord door gebruikers een extra bewijs van hun identiteit te laten overleggen. Dit extra bewijs wordt een authenticatiefactor genoemd. Er zijn vier verschillende soorten authenticatiefactors:
Iets dat u kent: Dit kan een wachtwoord zijn, een pincode of een antwoord op een beveiligingsvraag.
Iets dat u hebt: Dit kan een fysieke tekenreeks zijn, zoals een smart card of USB-beveiligingssleutel, of een virtuele tekenreeks gegenereerd door een authenticatie-app op de smartphone van een gebruiker. Deze virtuele tekenreeksen worden One-Time Passwords (OTP's) genoemd, of Time-Based One-Time Passwords (TOTP's).
Iets dat u bent: Biometrische informatie, zoals een vingerafdruk, gezichtsherkenning of irisscan.
De plek waar u bent: Uw geografische locatie. Sommige apps en services zijn alleen toegankelijk voor gebruikers op een bepaalde geografische locatie. Deze authenticatie-factor wordt vaak gebruikt in zero-trust beveiligingsomgevingen.
MFA-systemen vereisen dat gebruikers minimaal twee verschillende factoren van twee verschillende categorieën verstrekken. We kunnen dit het best uitleggen aan de hand van een voorbeeld:
- Een systeem dat vereist dat gebruikers zowel een wachtwoord als een pincode invoert, wordt niet gekwalificeerd als MFA omdat beide factoren afkomstig zijn uit de categorie 'iets dat u kent'.
- Geldautomaten gebruiken MFA al jaren. Ze vereisen de inbreng van een bankpasje (iets dat u hebt) en het invoeren van een pincode (iets dat u kent).
Naast geldautomaten wordt MFA breed gebruikt om online accounts te beveiligen, zoals e-mail, online bankieren en opslag in de cloud, en om fysieke toegang te bieden tot gebouwen en andere beveiligde gebieden.
Niet alle authenticatiefactoren worden gelijkwaardig gemaakt
Sommige MFA-systemen gebruiken TOTP's die via telefoongesprekken, sms'jes of e-mail worden verstuurd om te authenticeren. Hoewel deze methoden technisch gezien 'geldige' MFA-factoren zijn, ontmoedigen veel beveiligingsexperts het gebruik ervan omdat ze makkelijk zijn om te compromitteren.
Het is daarom een goed gebruik om e-mail, telefoongesprekken of sms'jes te vermijden voor MFA, tenzij er geen andere methoden beschikbaar zijn. Tot de sterkere opties behoren biometrische gegevens, een fysiek beveiligingstoken of een losse authenticatie-app.
Wat is het verschil tussen MFA en 2FA?
2FA staat voor 2-factor-authenticatie. Het enige verschil tussen 2FA en MFA is dat 2FA verwijst naar een authenticatiemethode waarvoor slechts twee authenticatiefactoren nodig zijn, terwijl MFA een parapluterm is die verwijst naar een systeem waarbij twee of meer authenticatiefactoren nodig zijn.
Ons geldautomaatvoorbeeld van hierboven is een voorbeeld van 2FA, maar u kunt het ook MFA noemen. Omgekeerd is een systeem waarbij de gebruiker een pasje of beveiligingssleutel moet invoeren, een pincode moet typen en een vingerafdruk moet scannen, MFA en niet 2FA.
Welke bescherming biedt MFA?
Gecompromitteerde wachtwoorden zijn de grootste oorzaak van gegevenslekken en ransomware-aanvallen. MFA voorkomt wachtwoordgerelateerde cyberaanvallen door het exponentioneel moeilijker te maken voor aanvallers om een account te compromitteren. Zelfs als een bedreiger erin slaagt om een werkend wachtwoord te pakken te krijgen, is dat onbruikbaar zonder de aanvullende authenticatiefactor(en). Een statistiek van Microsoft onthulde dat MFA meer dan 99,9 procent van de accountaanvallen met gecompromitteerde wachtwoorden kan blokkeren.
Dit is de reden dat MFA een grote rol speelt in IT-naleving. Veel branches en regelgevende nalevingskaders vereisen dat organisaties MFA implementeren om hun interne systemen te beveiligen. MFA is ook onontbeerlijk als het gaat om de implementatie van een zero-trust beveiligingskader, waarbij gebruikers expliciet moeten worden geverifieerd.
MFA implementeren kan ook helpen om het gebruikersvertrouwen in een systeem te vergroten, omdat het aantoont dat de organisatie de beveiliging serieus neemt en zich richt op de bescherming van de gebruikersgegevens.
Hoe kan ik multi-factor-authenticatie implementeren?
Voor privégebruikers
Individuen moeten 2FA/MFA inschakelen op alle websites en in alle apps die het ondersteunen om hun persoonlijke accounts te beschermen tegen cybercriminelen. Veel sites en apps begeleiden gebruikers tijdens dit proces bij het instellen van een account. Anders kunnen gebruikers de hulpdocumenten voor de site of app raadplegen.
Vermijd het gebruik van e-mail, sms'jes of telefoongesprekken als authenticatiefactor, tenzij de site of app geen andere methoden ondersteunt.
Voor zakelijke gebruikers
De stappen die betrokken zijn bij de implementatie van MFA variëren, afhankelijk van de specifieke behoeften en middelen van uw organisatie. We raden u aan om de hulp van een beveiligingsexpert of IT-professional in te schakelen als u niet zeker weet hoe u het moet aanpakken. Hier vindt u echter een algemeen overzicht van de betreffende stappen:
Bepaal de soorten authenticatiefactoren om te gebruiken: Bepaal welke authenticatiefactoren u moet gebruiken op basis van uw beveiligingsbehoeften en de beschikbare middelen. Kies minimaal twee factoren van twee verschillende categorieën, en vermijd het gebruik van telefoongesprekken, e-mail of sms'jes als authenticatiefactor.
Kies een MFA-oplossing: Er zijn veel commerciële en open-source-oplossingen beschikbaar voor de implementatie van MFA. Kies een oplossing die de authenticatiefactoren die u hebt geselecteerd ondersteunt, en die past binnen uw budget en technische mogelijkheden.
Integreer de MFA-oplossing in uw systemen: Mogelijk kunt u de MFA-oplossing integreren in uw bestaande authenticatiesysteem of moet u uw bestaande authenticatiesysteem vervangen door een oplossing met MFA. Misschien moet u de app-code aanpassen of wijzigingen doorvoeren in uw netwerkinfrastructuur.
Gebruikers toevoegen: Zodra u de MFA-oplossing hebt geïntegreerd in uw systemen, kunt u gebruikers toevoegen door hen aanvullende authenticatiefactoren te laten verstrekken zoals die worden vereist door de MFA-oplossing.
Monitor en onderhoud de MFA-oplossing: Monitor de MFA-oplossing regelmatig op prestaties en beveiliging, en update die waar nodig om de effectiviteit ervan te behouden.