7 overwegingen bij een overstap naar MFA
Wachtwoorden zijn moeilijk. De voortdurend langer wordende lijst met securityvereisten is bedoeld om wachtwoorden veilig te maken, maar in veel gevallen wordt daarmee het tegenovergestelde effect bereikt. Ingewikkelde wachtwoorden die aan alle vereisten voldoen zijn vaak moeilijk te onthouden, reden waarom ze voor veel verschillende sites worden gebruikt. Gebruikers noteren ze op post-its. Ze nemen makkelijk te achterhalen namen van huisdieren, verjaardagen en telefoonnummers op in hun wachtwoorden. Dat is niet de manier om data veilig te houden. Gelukkig begrijpen en ondersteunen organisaties steeds beter het concept dat het hackers zo moeilijk mogelijk moet worden gemaakt om toegang te krijgen en dat dit voor legitieme gebruikers juist gemakkelijk moet zijn. De beste manier om dat voor elkaar te krijgen is met behulp van multi-factor authenticatie, oftewel MFA.
MFA is een uitstekende manier om de apps en services van uw gebruikers te beschermen tegen niet-geautoriseerde toegang. Hier zijn enkele punten die u mee kunt nemen bij het plannen van uw implementatie.
1. Gebruikers voorlichten
U implementeert multi-factor authenticatie om securityrisico's die voortkomen uit toegang met alleen wachtwoorden terug te dringen, maar sommige gebruikers kunnen dat onhandig vinden. Misschien zijn ze bang dat dit proces tijd in beslag neemt die ze beter aan iets anders kunnen besteden.
Zorg er desalniettemin voor dat iedereen, vanaf het management tot de eindgebruikers, weet waarom u de overstap naar MFA maakt. Het is belangrijk dat dit door iedereen binnen de organisatie wordt gedragen omdat iedereen een rol speelt bij de beveiliging ervan. Doe dat door middel van voorlichting, zodat iedere gebruiker beseft wat de securityvoordelen zijn waaraan zij met deze extra stap hun bijdrage leveren.
2. Neem uw MFA-beleid onder de loep
Bij een goede implementatie van MFA is er sprake van evenwicht tussen security en bruikbaarheid om te voorkomen dat het gebruik te lastig wordt. Denk dus na over wat u in uw MFA-beleid opneemt over hoe en wanneer er een extra factor vereist is.
Het lijkt misschien tegen het gezond verstand in te druisen, maar soms is het beter step-up authentication niet vaker, maar juist minder vaak in te zetten. In een goed doordachte, op risico's gebaseerde beleidsconfiguratie moet step-up authentication alleen worden gebruikt wanneer dat noodzakelijk is.
In het beleid kan bijvoorbeeld worden opgenomen dat een tweede factor alleen vereist is voor aanmelding bij een service wanneer die plaatsvindt buiten het bedrijfsnetwerk (op basis van een reeks IP-adressen) of vanuit het buitenland (op basis van GeoIP-locatie). Of misschien hebt u een bepaalde groep gebruikersaccounts met uitgebreide toegang tot gevoelige data en wilt u daarvoor een stringenter beleid hanteren. Met MFA kunt u om een tweede factor vragen bij toegang tot die gevoelige informatie, maar bijvoorbeeld niet bij toegang tot de evenementenagenda. De grondgedachte is dat extra verificatie voor de gebruiker zo transparant mogelijk moet zijn om te zorgen voor een goede gebruikerservaring zonder afbreuk te doen aan security.
3. Zorg voor alternatieve toegangsmogelijkheden
Er bestaan scenario's waarin een gebruiker wel toegang tot internet heeft, maar weinig of geen signaal van de internetprovider. Dat kan zich voordoen in een vliegtuig met wifi, op een afgelegen plek of gewoon in het souterrain van een groot betonnen gebouw. In zulke gevallen, waar het gebruik van spraak- en sms-oproepen niet aan de orde is, is Okta Verify met push of een eenmalig wachtwoord (one-time password, OTP) een betere keuze, omdat daarbij de communicatie versleuteld is op de internetverbinding van de telefoon.
Hardware-devices die event-gebaseerde of tijdgebaseerde eenmalige wachtwoorden (time-based one-time passwords, TOTP) genereren, hebben helemaal geen communicatiekanaal nodig. Er valt ook moeilijker mee te knoeien en ze zijn lastiger te kopiëren. Maar naast alle kosten voor de implementatie, is een fysiek device voor werknemers alweer iets dat ze bij zich moeten hebben, thuis kunnen laten liggen of kwijt kunnen raken. Daarom lijkt dat niet de beste keuze voor tijdelijke werkkrachten of bij een groot verloop van werknemers.
Wat betreft MFA-factoren zijn er heel wat opties voor een breed scala aan scenario's. Kies wat het beste werkt voor elk scenario in uw organisatie en denk eraan dat verschillende beleidsregels en factoren kunnen worden gebruikt wanneer er geen uniforme oplossing voor alle situaties is (en die is er zelden!).
4. Denk goed na over het gebruik van sms voor OTP
Sms is handig en met al die mobiele telefoons en tablets is het overal te gebruiken, zodat het een veelgebruikt communicatiekanaal voor het werken met OTP is geworden. Er wordt over het algemeen aangenomen dat sms daarvoor veilig genoeg is, maar dat heeft deels te maken met het feit dat de infrastructuur voornamelijk zowel proprietary als ondoorzichtig is.
Uit onderzoek is gebleken dat sms-security tekortschiet en dat geldt niet alleen voor de gedocumenteerde kwetsbaarheden. Met sms legt u de security in handen van telecombedrijven en zelfs als u erop vertrouwt dat ze best practices op het gebied van security hanteren, bestaat er nog altijd het risico van inbreuk via spoofing en social engineering. In veel gevallen is het voor een aanvaller technisch gezien helemaal niet zo moeilijk om uw nummer door te sluizen naar een device dat zij beheren en toegang te krijgen tot uw sms-berichten en OTP's.
Weliswaar raadt NIST het gebruik van sms om die redenen af, maar u moet zelf een risicobeoordeling maken aan de hand van uw gebruikers, use cases en de data die beveiligd moeten worden. Per slot van rekening is MFA met sms nog altijd beter dan helemaal geen MFA.
5. Wees zorgvuldig met compliancevereisten
De meeste IT-compliancenormen zoals PCI DSS, SOX en HIPAA schrijven krachtige controles voor gebruikersauthenticatie voor, wat ze prima kandidaten zou kunnen maken voor het implementeren van MFA. Het lijkt voor de hand te liggen, maar als u zich ten doel stelt aan dergelijke normen te voldoen, zorg er dan wel voor dat u precies weet wat de vereisten zijn, zodat u daar uw configuratie en beleid op kunt afstemmen.
Voor compliance met bijvoorbeeld PCI en HIPAA is robuuste authenticatie vereist, wat inhoudt dat er minstens twee van deze drie robuuste authenticatiemethoden worden gebruikt: iets wat u weet, iets wat u hebt en iets wat u bent. SOX is minder gericht op technologie, maar om voor een audit te slagen moet u wel kunnen bewijzen dat de financiële en boekhoudkundige gegevens van uw organisatie veilig zijn.
IT-compliance vereist het implementeren van relevante normen, maar ook het vermogen om te bewijzen dat u aan die normen voldoet. Maak documentatie onderdeel van uw configuratie en implementatie zodat u snel en met vertrouwen tijdens een audit kunt bewijzen dat eraan is voldaan. U zult uzelf daar later zeker dankbaar voor zijn (net als uw organisatie!).
6. Stel een plan op voor het verlies van devices
Het tweede type authenticatiefactor in een doorsnee MFA-implementatie is "iets wat u hebt" (de eerste factor is "iets wat u weet" en de derde "iets wat u bent"). Bij gebruik van sms, spraak of een authenticatie-app zoals Okta Verify of Google Authenticator, heeft de gebruiker een telefoon. Bij gebruik van een hardwaretoken van YubiKey, RSA en dergelijke, heeft de gebruiker een token. Maar alles wat een gebruiker heeft, kan kwijtraken.
Een procedure die regelt wat er gebeurt bij verlies van devices, moet eigenlijk al zijn opgenomen in het uitgebreide draaiboek van uw IT-helpdesk. Neem in dat draaiboek ook devices op die werken met MFA en zorg ervoor dat melding van een verloren device resulteert in het volgende:
-
Alle actieve sessies worden afgesloten en de gebruiker wordt gevraagd zich opnieuw te verifiëren
-
Het device loskoppelen van het account en de toegangsrechten van de gebruiker
-
Op afstand wissen van bedrijfsinformatie op mobiele devices, indien nodig
Het is ook belangrijk de activiteiten van het account van de gebruiker te controleren tot aan het moment waarop het device verloren raakte om eventuele ongebruikelijke activiteiten vast te stellen. Wordt er iets verdachts gevonden, houd dan rekening met de mogelijkheid van een beveiligingslek en onderneem de juiste escalatie.
Zodra de acute securityproblemen zijn aangepakt, moet de werknemer zo snel mogelijk weer aan het werk kunnen met een vervangend device of tijdelijke inlogmethode. Met een alternatieve procedure zoals bellen met de IT-helpdesk om identityvereisten te verifiëren kan de werknemer gewoon aan het werk terwijl er vervangende factoren worden geïmplementeerd.
7. Wees voorbereid op controleren en aanpassen
Het komt maar zelden voor dat complexe implementaties enerzijds en beleid anderzijds meteen de eerste keer goed op elkaar aansluiten. Als er een procedurewijziging plaatsvindt die mogelijk op alle werknemers betrekking heeft, is het altijd een goed idee om de effectiviteit van een MFA-oplossing tijdens de implementatie en het gebruik ervan te volgen om zo het beleid te kunnen bijstellen aan de hand van observaties.
Als u al vroeg in het proces vertrouwd raakt met de controlefunctie is dat van onschatbare waarde voor het oplossen van problemen met en het aanpassen van de beleidsconfiguratie. Nadat u MFA hebt geïmplementeerd voor gebruikers, kunt u met behulp van auditingtools de invoering en het gebruik ervan controleren. Het is ook een goed idee een mechanisme op te nemen om feedback van gebruikers te verwerken.
En ook al nemen gebruikers niet altijd de tijd om geschreven feedback te geven, een audit trail geeft altijd enig inzicht in wat ze feitelijk hebben ervaren. Kostte het drie pogingen om hun OTP in te voeren? Gaven ze het op? Zulke problemen kunnen duiden op een verkeerde configuratie, een hiaat in de voorlichting aan de gebruikers of simpelweg een scenario waarmee geen rekening werd gehouden in het aanvankelijke plan.
Door gebruik te maken van audittools en gebruikers te stimuleren feedback te geven, kunnen alle belanghebbenden ervan op aan dat het systeem werkt zoals de bedoeling was en het nieuwe securitybeleid met succes is ingevoerd.
Bonus: denk ook eens aan adaptieve MFA
Deze tips vormen een prima begin en step-up MFA biedt zelfs ruimte voor fijnmazige controle op hoe en wanneer MFA wordt toegepast, maar er moet wel goed naar de configuratie ervan worden gekeken. In sommige gevallen, en dat geldt zelfs voor beleid en criteria die zorgvuldig zijn gedefinieerd, kan het gebeuren dat er nog gaandeweg beslissingen genomen moeten worden op basis van wijzigingen met betrekking tot gebruikers of devices.
Bekijk eens de Adaptieve MFA-oplossing van Okta waarmee u dynamische wijzigingen kunt doorvoeren. Adaptieve MFA stelt toegangspatronen vast en past vervolgens het beleid rondom iedere gebruiker of groep aan.
Zo is er voor een werknemer die geregeld op reis is en e-mails vanuit het buitenland stuurt misschien alleen maar op bepaalde tijden een tweede authenticatiefactor nodig, maar werknemers die nooit elders werken, krijgen onmiddellijk een MFA-vraag als ze dat wel zouden doen. Op risico gebaseerde beleidsregels, zoals het sturen van een vraag voor step-up authenticatie bij een toegangspoging tot resources via een niet-geautoriseerde proxy of door toegang vanaf bekende schadelijke IP-adressen automatisch te blokkeren, kunnen ook worden geactiveerd in geval van verdachte gebeurtenissen.
Adaptieve MFA is een krachtig hulpmiddel om dynamisch beleid automatisch en tijdgebonden aan te passen. Het gaat dan om beleid dat stringent genoeg is om alle bescherming te bieden die uw organisatie nodig heeft, maar ook flexibel genoeg om de gebruikers als individuele personen te behandelen.