Multi Factor Authenticatie staat te boek als de beste manier om veilig in te loggen en het kapen van accounts tegen te gaan. Martin Gijssen, onze Technical Operations Manager, denkt daar anders over. In deze blog vertelt hij waarom hij er zo over denkt en wat dan wel een veilige manier is. Want die is er zeker!

Onderschept berichtje

Dat inloggen met alleen een gebruikersnaam en wachtwoord niet meer hackerproof is, daar zijn we met z’n allen wel van overtuigd. Multi Factor Authenticatie (MFA) leek lange tijd dé manier om veilig in te loggen. Hierbij wordt iets dat je weet – je gebruikersnaam en wachtwoord – gecombineerd met iets dat je hebt – bijvoorbeeld een sms’je, een appje of een mail. Maar wie garandeert dat het medium waarop die tweede factor binnenkomt niet is gestolen of dat het voor jou bestemde mailtje niet door een ander wordt onderschept? Tijd voor een frisse – echt veilige – wind.

Fysiek token

Wat wel werkt is een fysiek token, in de vorm van een key die je aan je sleutelhanger kunt bewaren. Als je in wilt loggen, moet je de token in de USB-poort van je computer stoppen als bewijs dat jij werkelijk diegene bent die de computer in handen heeft. Elke token is uniek, en het is onmogelijk die te kopiëren. Is je token gestolen of ben je hem verloren? Dan kun je hem direct blokkeren. Ben je je token vergeten en weet je zeker dat hij nog thuis op de fruitschaal ligt? Dan kun je er altijd nog voor kiezen om bijvoorbeeld een sms’je te gebruiken als tweede authenticatiemiddel. Maar dat doe je dan heel bewust, en ontvang je geen sms dan weet je direct dat er iets aan de hand is.

Ook op smartphone

Ik gebruik zelf inmiddels altijd mijn token. Nu vroeg iemand mij laatst: werkt dat ook op je smartphone? Als je smartphone NFC – Near Field Communication – ondersteunt wel. In dat geval kun je je token achter je telefoon houden, waar de NFC-chip zit, en dan wordt dat herkend.

Blokkeren

Als je je token kwijt bent, kun je deze blokkeren. Dat kan per account – bijvoorbeeld persoonlijke accounts als je Google- of Microsoft-account – of op organisatieniveau. Zo heb ik bijvoorbeeld van Jean-Paul een token gekregen. Die is voor zakelijk gebruik, maar kan ik evengoed privé gebruiken. Als ik Jean-Paul nu bel en zeg dat mijn token is gestolen, kan hij op hoofdniveau mijn token blokkeren voor al mijn accounts.

Nieuwsgierig?

Wil je weten of je als organisatie voldoende gewapend bent tegen identiteitsfraude? Neem vrijblijvend contact op met mijn collega Antoine, onze Privacy- en Security-adviseur. Je kunt hem bereiken op 0113-218 428 of via a.dekeizer@jepe-it.nl. Hij helpt je graag!

Martin Gijssen
Technical Operations Manager