MFA

MFA: De nieuwe standaard

Onlangs las ik een artikel dat er met regelmaat “ingebroken” wordt op Office 365 accounts waar geen gebruik wordt gemaakt van Multi-Factor Authenticatie (MFA). Helaas moet ik constateren dat ik dit ook in de praktijk steeds vaker zie gebeuren.

Ik hoor regelmatig verhalen van mensen waarvan de O365 mailbox is gehackt. Hoe wordt deze gehackt? Door bijvoorbeeld een phishing mail of SMS. De aanvaller stuurt een e-mail met daarin een link waarop ingelogd moet worden, bijvoorbeeld om gegevens te verifiëren of een document te downloaden. Na het inloggen heeft de aanvaller inloggegevens in handen en zonder Multi-Factor Authenticatie heeft deze dus vrij spel om in te loggen. Dit kan dus zomaar gebruikt worden om mails te lezen en te versturen of bijvoorbeeld de contacten en agenda in te zien. Het is bijna kinderspel.

Maar, dit is te voorkomen! Door MFA toe te passen vang je een gestolen wachtwoord af. Zodra jij als gebruiker een melding krijgt dat “iemand” met jouw inloggegevens probeert in te loggen, dan weet je gelijk dat dit foute boel is. Dan kun je er wel vanuit gaan dat iemand bekend is met jouw inlognaam en wachtwoord, dan kun je deze dus zo snel mogelijk wijzigen.

Maar phishing is niet de enige manier om aan wachtwoorden te komen. Veel mensen gebruiken voor diverse diensten dezelfde inlognaam en wachtwoord. Als een aanvaller van één dienst inloggegevens in handen heeft, bijvoorbeeld na een datalek, kunnen deze dezelfde gegevens toepassen op andere diensten. Ook kan met alleen een inlognaam een hele reeks aan wachtwoorden uitgeprobeerd worden, totdat het juiste wachtwoord is gevonden. Zit er dan geen MFA achter een dienst, dan weet je als eindgebruiker niet dat iemand anders onder jouw account inlogt.

Als we het dan toch over wachtwoorden hebben: laten we deze dan zo sterk mogelijk maken en met regelmaat wijzigen. Maar, wat is tegenwoordig een “sterk” wachtwoord? Daarin verschillen de meningen. Sommigen vinden een wachtwoord met letters, cijfers en andere karakters (zoals een @, $ of #) sterk. Daartegenover staat dat we steeds meer horen over dat een “zin” of een combinatie van woorden ook steeds vaker wordt gebruikt.

Wat is dan wijsheid? Laat ik het zo zeggen: kan een systeem een “lang” wachtwoord aan? Maak deze dan zo lang mogelijk. Gebruik een combinatie van verschillende woorden, een regel uit een muziekstuk of bijvoorbeeld een favoriet boek. Afhankelijk van het beleid kan het zijn dat een systeem vraagt om letters, cijfers en andere karakters. Dan komt er iets meer creativiteit om de hoek kijken.

Laten we wachtwoorden gebruiken die moeilijk te “kraken” zijn, er een MFA-oplossing achter hangen en uiteraard de wachtwoorden regelmatig wijzigen en vervolgens netjes opslaan in een beveiligde wachtwoordmanager. Zo beperk jij het risico dat jij slachtoffer wordt!