Waarom tweestaps-verificatie belangrijk is voor jouw bedrijf!
De vraag is niet óf maar wanneer cybercriminelen proberen toe te slaan bij jouw bedrijf en jouw data. Uit onderzoek blijkt dat cybercriminelen niets uit de weg gaan om nog vaker en bruter te werk te gaan in hun poging bedrijfsnetwerken te gijzelen in ruil voor losgeld. Reden voor onder andere het Nationaal Cyber Security Centre (NCSC) om werkgevers op te roepen twee-stapsverificatie – ook wel tweefactor-authenticatie genoemd – aan te schaffen en in te zetten. In dit blog lees je wat tweestaps-verificatie is en hoe het ervoor zorgt dat cybercriminelen geen toegang krijgen tot jouw bedrijfsaccount.
Welk gevaar loop je zonder tweestapsverificatie?
We vinden het al een hele tijd de normaalste zaak van de wereld om bij het pinnen zowel je bankpas als je PIN-code te gebruiken. Logisch omdat je je eigendom – je geld – wilt beschermen tegen misbruik. Dit kun je zien als extra beveiligingslaag ofwel een tweestapsverificatie.
Maar als we het hebben over onze accounts – met toegang tot zeer gevoelige, bedrijfskritische en persoonlijke informatie – schermen we die vaak met niet meer dan één wachtwoord af. Sterker nog; vaak gebruiken we hetzelfde wachtwoord voor meerdere accounts. Het NCSC waarschuwt hier nadrukkelijk voor. Juist omdat hackergroepen graag gebruik maken van deze beveiligingszwakte.
“Makkelijk te onthouden is ook vaak makkelijk te raden!”
Ze bedenken manieren om jouw wachtwoorden te achterhalen en zo jouw gegevens of zelfs jouw identiteit online over te nemen. Of deze doelbewust openbaar te zetten via datalekken. Met alle gevolgen van dien.
Wat is tweestaps-verificatie?
Tweestapsverificatie, het woord komt misschien een beetje indrukwekkend over. Gelukkig is de uitvoering een stuk makkelijker dan het klinkt. De techniek is gebaseerd op het volgende idee: door het combineren van verschillende ‘factoren’ die nodig zijn om in te loggen op een account, is het een stuk moeilijker om als bedrieger toegang te krijgen tot een account van een ander persoon.
Het toevoegen van tweestapsverificatie zorgt ervoor dat cybercriminelen, zelfs als ze het wachtwoord van jouw account(s) hebben, geen toegang krijgen tot jouw account. De extra factor die nodig is om in te loggen, hebben zij namelijk niet.
Om toegang te krijgen tot de computer op de werkplek, kun je als bedrijf bijvoorbeeld regelen dat werknemers inloggen met behulp van een wachtwoord én een token. Een veel voorkomend token is een verificatieapp op de mobiele telefoon, een zogenoemde Authenticator app. Zowel Google- als Microsoft Authenticator zijn applicaties die je voor meerdere platformen kunt gebruiken als factor. Ook smartcards of een nummergenerator zijn tokens. Daarnaast kun je als werkgever een offline wachtwoordmanager aanbieden of single sign on inrichten.
Tweestaps-verificatie
Het is veiliger als iemand op meerdere manieren zijn identiteit moet bevestigen. Daarin onderscheiden we drie opties:
- 1. Wat iemand weet
Bijvoorbeeld een gebruikersnaam met wachtwoord. - 2. Wat iemand heeft
Bijvoorbeeld een telefoon. Waar een sms-code naartoe kan worden gestuurd. - 3. Wat iemand is
Bijvoorbeeld een vingerafdruk of een gezicht.
Combineer twee van deze zaken en voilà; dat is tweestapsverificatie. Medewerkers moeten bijvoorbeeld eerst hun gebruikersnaam en wachtwoord invullen. Daarna krijgen ze een sms op hun smartphone. Alleen wie de sms-code invult, krijgt toegang.
Tips voor extra actie!
Tweestaps-verificatie is de technische kant voor het identiteits- en toegangsbeheer van jouw onderneming. Wat kun je nog meer doen om ‘verdedigingsmuren’ op te werpen tegen cybercriminelen?
We geven je enkele tips.
- Zorg voor een goed wachtwoordbeleid en communiceer deze geregeld met je medewerkers.
Het NCSC adviseert zelfs het gebruik van een wachtwoordmanager. - Zet – voor zover je dat nog niet hebt gedaan – een helder toegangsbeleid op papier. Daarin beschrijf je onder andere nauwgezet welke typen gebruikers met welke rechten toegang mogen hebben tot welke systemen. Ook zet je hierin hoe zij toegang krijgen. Daarnaast beschrijf je in het toegangsbeleid het beheer van gebruikersaccounts: hoe en wanneer maak je ze aan? Hoe verwijder je ze en wat moet er gebeuren in uitzonderingssituaties?
Denk er bovendien als werknemer aan om ook privé je social media accounts te voorzien van tweestapsverificatie!
Bonus tip:
Voorkom beveiligingsincidenten en datalekken, train jouw medewerkers óók in het herkennen van en omgaan met malware en phishing. Hoe, dat lees je hier.
Nico Boom
Security Officer | Microsoft consultant
Blogs
Relevante blogs
Hieronder vind je een selectie uit diverse blogs die er over allerlei onderwerpen zijn geschreven
