Wat is MFA?
Multifactor authenticatie is een extra identiteitscontrole op medewerkers die bedrijfsinformatie willen raadplegen. Voorheen werd er alleen gebruik gemaakt van een gebruikersnaam en wachtwoord als primaire controle om medewerkers te identificeren. Dit bleek in de praktijk niet voldoende te zijn om hackers buiten de deur te houden en bedrijfsinformatie te stelen en/of ransomware aanvallen uit te voeren.
MFA zorgt voor een secundaire controle naast het gebruikersnaam en wachtwoord. In essentie gaat het dus uit van het principe dat een medewerker iets weet (gebruikersnaam/wachtwoord combinatie) en iets fysiek in bezit heeft (telefoon waar push, sms- of spraakberichten op binnen komen met een code). Hierdoor is er extra zekerheid dat degene die inlogt echt de persoon is die hij beweert te zijn.
Hiermee verkleint MFA de kans op een aanval omdat een hacker wel de gebruikersnaam en wachtwoord combinatie kan weten, maar nog steeds geen toegang heeft tot de het apparaat waar een secundaire controle mee wordt uitgevoerd.
Waar we steeds meer organisaties zien die MFA gebruiken kan het altijd beter. Veel bedrijven maken er helaas nog steeds geen gebruik van. Het Nationaal Cyber Security Centrum heeft het opgenomen als één van de acht maatregelen die iedere organisatie zou moeten hebben geïmplementeerd om hun cyberveiligheid naar een hoger niveau te tillen.
Download de handreiking van het NCSC hier.
Ben ik gegarandeerd veilig als ik MFA gebruik?
Helaas komt op iedere veiligheidsmaatregel weer een tegenactie van de hackers. Er is nu een beweging te zien waarbij er ingespeeld wordt op “MFA fatigue” of ook wel bekend als MFA spamming. Dit is een type cyberaanval waarbij er wordt ingespeeld op een combinatie van MFA als techniek en het bewustzijn van een medewerker. De medewerker wordt letterlijk gespammed met MFA-authenticatie berichten (bijvoorbeeld push- of voice berichten) op momenten van verminderd bewustzijn.
Denk hierbij aan vakanties, laat in de avond wanneer je op de bank zit en moe bent of juist wanneer je een MFA-authenticatie verwacht, maar een hacker deze net iets eerder laat versturen. Het ontvangen van authenticatie berichten blijft doorgaan totdat deze medewerker het bericht accepteert en een hacker toegang krijgt tot het account en daarbij behorende bedrijfsinformatie.
Is er wat te doen tegen MFA fatigue?
Ten eerste is het belangrijk dat medewerkers zich bewust zijn wanneer ze een MFA-authenticatie ontvangen dat dit ook daadwerkelijk door hen geïnitieerd is. Risico’s op cyberincidenten kunnen worden verkleind door bewustwording bij medewerkers. Training voor bewustwording op gevaren binnen het cybersecurity domein kunnen hieraan bedragen.
Tegelijkertijd kunnen er technische maatregelen worden genomen om extra bij te dragen aan deze bewustwording. Denk hierbij aan het gebruik van de specifieke inrichting waarbij de medewerker een tweecijferige code moet invoeren. In het verlengde hiervan kunnen fysieke USB-sleutels ook helpen tegen MFA fatigue omdat deze niet onderhevig zijn aan onderschepping door een derde partij.
Als je interesse hebt in de mogelijkheden om je bedrijfsinformatie nog beter te beveiligen, neem dan contact met NDI op. We adviseren je graag over de mogelijkheden die het beste passen bij jouw situatie.