12 juli 2023

Passwordless werken, MFA en FIDO keys

In dit artikel bespreken we het beste alternatief voor wachtwoorden: accounts beveiligen met Multi Factor Authentication (MFA) of inloggen met FIDO keys.

Wachtwoorden zijn er om je accounts en apparaten af te schermen voor ongewenste en ongeautoriseerde gebruikers. Maar wachtwoorden hebben een hoop nadelen en zijn vaak juist een zwakke schakel in de beveiliging, zelfs als het wachtwoord lang of “moeilijk” is.

Aan de ene kant ligt dit probleem bij de gebruikers, die verzinnen trucjes om al hun verschillende wachtwoorden te onthouden en om min of meer dezelfde wachtwoorden te hergebruiken. Aan de andere kant hebben wachtwoorden een technisch veiligheidsprobleem, want het is een “gedeeld geheim”. Een afspraak tussen jou en de provider waarbij je inlogt. En hoewel dit geheim encrypted is, kan iedere encryptie gehackt worden – via jouw device en op de server waar het wachtwoord is opgeslagen.

Maar wat is dan het alternatief? Wachtwoorden beveiligen met Multi Factor Authentication (MFA) of inloggen met FIDO keys? Het antwoord lees je in dit blogartikel.

Wat is Multi Factor Authentication (MFA) en hoe veilig is het?

MFA is een extra beveiligingslaag bovenop authenticatie met een wachtwoord. Naast het wachtwoord vraagt MFA om een 2e factor (en soms zelfs een 3e) van de gebruiker om zijn/haar toegang te bevestigen, bijvoorbeeld via push-notificatie, SMS, e-mail, of een authenticator-app.

Zo is MFA een stap veiliger dan enkel een wachtwoord, maar het is wel onhandiger om in te loggen en dus minder gebruiksvriendelijk. Bovendien is de veiligheid van MFA nog steeds beperkt, zowel door gebruikers als door de technologie.

Hackers brute-forcen bijvoorbeeld MFA door constant authenticatie notificaties naar de accounteigenaar te sturen totdat deze uiteindelijk uit irritatie en onwetendheid de toegang goedkeurt. Sommige authenticators hebben hier dan weer een oplossing voor door gebruikers te vragen om cijfers over te typen zodat ze niet “blind” toegang kunnen verlenen. Zo is er een constante wapenwedloop tussen hackers en beveiligingssystemen.

Maar het grootste nadeel van MFA is dat de technologie geen check doet of de authenticatie aanvraag wel van een valide bron komt. Dat moet je als gebruiker nog altijd zelf doen en door het ongebruiksvriendelijke karakter van MFA besteden gebruikers hier vaak te weinig aandacht aan.

Wat zijn FIDO Keys en hoe werken ze?

FIDO key is een technologie die gebruikmaakt van “asymmetrische encryptie” – een tweezijdige versleuteling en authenticatie. Zo bewijst de gebruiker met de FIDO Key autorisatie voor toegang tot een systeem en vraagt de Key tegelijkertijd aan het systeem om de sleutel die bewijst dat de gebruiker inlogt bij de juiste server. Hierbij hebben het account en de server allebei een eigen sleutel en is er dus geen “gedeeld geheim” tussenbeide. Zo hoef je dus ook geen wachtwoorden meer te onthouden en kunnen deze dus ook niet worden gehackt.

Dus als je als gebruiker naar “login.microsoft.com” gaat om in te loggen, werkt de FIDO Key alleen als de server van Microsoft zichzelf authenticeert als legitieme server. Dat betekent dat je niet voor de gek gehouden kunt worden door trucjes van malafide domeinen waar de “o” met een “0” is geschreven of met een spatie van nul breedte waardoor je niet kunt zien of de url klopt. FIDO Keys zijn dus de enige methode om 100% weerstand te bieden tegen phishing omdat je geen toegang kunt krijgen zonder dat het domein zichzelf valideert.

Hoe handig zijn FIDO Keys?

Er zijn twee soorten FIDO Keys: fysieke en softwarematige. De fysieke variant is een stick waarmee je via USB of NFC inlogt. Deze Keys kosten €20 - €40 en moet je dus net als een USB-stick altijd bij je dragen om in te kunnen loggen.

Een softwarevariant is bijvoorbeeld Windows Hello, waar je met een pin, vingerafdruk of gezichtsherkenning inlogt op je device en daarmee automatisch toegang krijgt bij  diverse websites en applicaties. Apple en Google hebben vergelijkbare software voor hun systemen, maar er zijn ook systemen die dit nog niet ondersteunen (wel steeds minder). Daarnaast moet je bij de eerste keer inloggen op een nieuw device nog wel een alternatief gebruiken zoals een fysieke FIDO Key of een eenmalig wachtwoord, en moet je maatregelen nemen om toegang te herstellen bij verlies of defect van de FIDO key.

Hoe implementeer je FIDO Keys in de organisatie?

De beperking in het aantal applicaties en de workaround voor de eerste keer inloggen is het voor veel organisaties een drempel om FIDO Keys te implementeren. Daarom raden wij aan om dit geleidelijk te doen, waarbij je in het begin een combinatie van FIDO Keys en MFA beveiligde wachtwoorden gebruikt. Begin hierbij met de administrator accounts, hierbij is de impact van een hack het grootst en de hoeveelheid accounts beperkt. Op deze manier kunnen de beheerders de best practices destilleren en hiermee FIDO Keys bij de rest van de organisatie implementeren.


Advies nodig bij het vinden van de beste oplossing voor uw bedrijf?
Wij helpen u graag verder!