Wat is multi-factor authenticatie (MFA)?

Multi-factor authenticatie (MFA) gebruikt twee of meer verschillende soorten authenticatie om de identiteit van een gebruiker te verifiëren. Het is oorspronkelijk ontwikkeld om het moeilijker te maken voor een aanvaller om toegang te krijgen tot een account als ze het wachtwoord van de gebruiker hebben geraden of als het is blootgesteld in een inbreuk.

Tegenwoordig is MFA alomtegenwoordig en wordt het gebruikt om zowel zakelijke als persoonlijke accounts te beveiligen. De combinatie van een wachtwoord en een eenmalig wachtwoord (OTP) dat naar een smartphone wordt gestuurd of door een authenticator-app wordt gegenereerd, is de meest voorkomende benadering voor het implementeren van MFA. Er zijn echter veel opties beschikbaar, die vaak sterkere beveiliging bieden. Biometrie wordt bijvoorbeeld beschouwd als de sterkste soort authenticatiefactor.

Het belang van MFA

MFA is uitgevonden om de tekortkomingen van traditionele, op wachtwoorden gebaseerde authenticatie aan te pakken. In theorie zouden gebruikers een uniek, sterk wachtwoord voor elk account moeten hebben. In de praktijk zijn veel wachtwoorden gemakkelijk te raden, waardoor het voor aanvallers eenvoudig is om belangrijke accounts te compromitteren.

MFA helpt om aanvallen op accountovername moeilijker te maken door te vereisen dat de aanvaller meerdere lagen van authenticatie compromitteert. Het vermindert de effectiviteit van het raden van wachtwoorden en kan de kwetsbaarheid van een gebruiker voor phishingaanvallen verminderen. De resulterende verbetering in accountbeveiliging is de reden waarom MFA door veel beveiligingsvoorschriften en voor risicovolle accounts, zoals die bij financiële instellingen, vereist is.

Wat zijn MFA-authenticatiefactoren?

MFA ontleent zijn naam aan het feit dat het van een gebruiker vereist dat deze meerdere authenticatiefactoren verstrekt om toegang te krijgen tot hun account. Deze authenticatiefactoren komen uit twee of meer categorieën.

Iets dat u weet

Kennisgebaseerde authenticatiefactoren omvatten wachtwoorden, wachtzinnen, pincode’s en beveiligingsvragen. Idealiter zouden deze uniek en willekeurig gegenereerd moeten zijn of iets zijn dat alleen bekend is bij de legitieme gebruiker.

Echter, gebruikers hebben de neiging om wachtwoorden opnieuw te gebruiken of kiezen gemakkelijk te onthouden wachtwoorden vanwege het grote aantal online accounts. Dit heeft een trend naar wachtwoordloze authenticatie aangewakkerd, die deze op kennis gebaseerde factoren vermijdt om de beveiliging en bruikbaarheid te verbeteren.

Iets dat u heeft

Bezit-gebaseerde authenticatiefactoren valideren de identiteit van een gebruiker op basis van hun bezit van een bepaald apparaat, zoals een smartphone, laptop, smartcard of hardwaretoken. Het meest voorkomende voorbeeld hiervan is een authenticator-app die OTP’s genereert. Een andere optie zijn digitale certificaten die op een apparaat, smartcard of hardwaretoken zijn opgeslagen.

Iets dat u bent

Biometrische authenticatiefactoren gebruiken de unieke kenmerken van een gebruiker om hen te identificeren. Veelvoorkomende voorbeelden zijn vingerafdruk-, gezichts- of spraakherkenning.

Hoewel fysieke kenmerken vaker worden gebruikt, is het ook mogelijk om unieke gedragskenmerken voor authenticatie te gebruiken. Enkele voorbeelden zijn het modelleren van de loopgang van de gebruiker, typpatronen of hoe zij een smartphone gebruiken.

Biometrie is de veiligste van de drie meest voorkomende soorten authenticatiefactoren. Echter, ze hebben ook aanzienlijke privacy- en beveiligingszorgen, aangezien ze het opslaan van persoonlijk identificeerbare informatie (PII) vereisen en niet kunnen worden gewijzigd als ze zijn gecompromitteerd.

Andere authenticatiefactoren

Hoewel deze drie soorten authenticatiefactoren de meest voorkomende keuzes zijn voor het implementeren van MFA, zijn ze niet de enige opties. Een authenticatiesysteem kan alles gebruiken dat uniek is voor een gebruiker om hen te identificeren. Bijvoorbeeld, sommige systemen kunnen “ergens waar u bent” als een factor gebruiken, waarbij geolocatie of IP-adressen als onderdeel van het identiteitsverificatieproces worden gebruikt.

Veelvoorkomende authenticatiemechanismen van MFA

Bepaalde authenticatiefactoren zijn gebruikelijker dan andere, vooral voor online accounts.

Wachtwoord

Wachtwoorden zijn de meest voorkomende methode die mensen gebruiken om hun identiteit online te bewijzen. Dit moet een lang, willekeurig wachtwoord omvatten dat uniek is voor een bepaald account. Echter, veel gebruikers kiezen zwakke wachtwoorden, wat de beveiliging van hun account ondermijnt. Dit is een van de belangrijkste redenen waarom MFA is uitgevonden en de drijfveer achter wachtwoordloze authenticatie.

Eenmalige Wachtwoorden (OTP’s)

OTP’s zijn eenmalige codes die worden gebruikt als onderdeel van een “iets dat je hebt” authenticatiefactor. Typisch worden deze codes gegenereerd door een authenticator-app of naar een apparaat gestuurd via sms (hoewel dit onveilig is).

Authenticator-apps gebruiken een paar verschillende schema’s om OTP’s te genereren in sync met een authenticatieserver. In beide gevallen synchroniseren de app en server tijdens het aanmaken van een account, vaak door de gebruiker een QR-code te laten scannen. Van daaruit genereren tijdgebaseerde OTP’s (TOTP’s) elke nieuwe OTP op vaste intervallen, terwijl HMAC-gebaseerde OTP’s (HOTP’s) een nieuwe code alleen genereren na een succesvolle authenticatie.

Pushmeldingen

Pushmeldingen zijn een andere veelvoorkomende methode om “iets dat je hebt” authenticatie te implementeren met behulp van een smartphone of tablet. Deze systemen sturen een melding naar het apparaat, en de gebruiker kan de melding openen en verifiëren dat hij of zij de persoon was die de inlogpoging heeft gedaan. Pushmeldingen kunnen ook worden gebruikt om een OTP naar een apparaat te verzenden.

Hardwaretokens

Hardwaretokens zoals Yubikeys zijn een andere vorm van “iets dat je hebt” authenticatie. Deze apparaten kunnen OTP’s of digitale handtekeningen genereren om de identiteit van een gebruiker te bewijzen. Aangezien ze zelfstandige apparaten zijn met ingebouwde anti-tamperbeveiligingen, worden ze als veiliger beschouwd dan authenticator-apps en vergelijkbare systemen.

Biometrische Scanners

Biometrische scanners omvatten verschillende systemen voor het herkennen van vingerafdrukken, gezichten, stemmen of andere unieke kenmerken. Biometrie is de veiligste vorm van authenticatie en is gebruikelijker geworden met de groei van smartphones met ingebouwde camera’s en vingerafdrukscanners.

Hoe Werkt MFA?

MFA gebruikt meerdere authenticatiefactoren om toegang tot een systeem te controleren. Dit kan worden onderverdeeld in vier hoofd fasen:

1. Gebruikersidentificatie: Identificatie bepaalt welk account de gebruiker probeert te benaderen. Dit gebeurt via een gebruikersnaam of e-mailadres.
2. Primaire Authenticatie: MFA-systemen vragen doorgaans om authenticatiefactoren in meerdere fasen. De meeste systemen zullen om een wachtwoord vragen als primaire authenticatiefactor.
3. Secundaire Authenticatie: Vervolgens wordt de gebruiker gevraagd om een tweede authenticatiefactor, zoals een OTP. Dit kan worden gegenereerd door een app of naar de gebruiker worden gestuurd op verzoek.
4. Verificatie en Toegang: De authenticatieserver verifieert of de opgegeven factoren correct zijn. Als dat zo is, controleert het of de gebruiker bevoegd is om het verzoek te doen en verleent of weigert toegang dienovereenkomstig.

Uitdagingen en Overwegingen bij het Gebruik van MFA

MFA kan de beveiliging van accounts aanzienlijk verbeteren door het risico op overname-aanvallen te verminderen. Echter, het brengt ook uitdagingen en belangrijke overwegingen met zich mee, waaronder:

• Gebruikerservaring MFA introduceert extra stappen in het gebruikersauthenticatieproces, wat wrijving kan creëren en de gebruikerservaring kan verslechteren. Een alternatief is om stap-voor-stap authenticatie te gebruiken, die alleen extra authenticatiefactoren vereist voor acties met een hoger risico.
• Implementatie Overhead: Bestaande software kan ingebouwde authenticatiefuncties hebben die ervan uitgaan dat traditionele, op wachtwoorden gebaseerde authenticatie zal worden gebruikt. Het implementeren van MFA kan aanzienlijke herschrijvingen van software vereisen.
• Infrastructuurvereisten: Sommige vormen van MFA kunnen toegang vereisen tot bepaalde hardware, zoals smartphones, vingerafdrukscanners of smartcardlezers. Bovendien kan het bedrijf infrastructuur nodig hebben om OTP’s naar gebruikers te verzenden.

Beste praktijken voor het implementeren van MFA

Enkele beste praktijken voor een MFA-implementatie zijn:

• Implementeer MFA voor alle bedrijfsapplicaties.
• Kies waar mogelijk voor veiligere authenticatiefactoren.
• Educateer gebruikers over MFA en de voordelen ervan.
• Ontwerp MFA om te voldoen aan compliance-eisen.
• Gebruik stap-voor-stap of adaptieve authenticatie om gebruiksvriendelijkheid en beveiliging in balans te brengen.
• Implementeer MFA in fasen om probleemoplossing te vereenvoudigen en downtime te verminderen.
• Gebruik standaardimplementaties en protocollen waar beschikbaar.

VEELGESTELDE VRAGEN

Wat is de meest veilige MFA-optie?

Biometrische authenticatie is de veiligste optie voor authenticatie, omdat het het moeilijkst te dupliceren is. Het kan echter ook uitdagend zijn om te implementeren vanwege privacy- en beveiligingszorgen.

Wat zijn enkele technologieën die MFA aandrijven?

Multi-factor Authenticatie (MFA) wordt aangedreven door verschillende geavanceerde technologieën die de beveiliging verbeteren terwijl ze de gebruikerservaring in balans houden. Een paar voorbeelden zijn:

• Vingerafdrukherkenning: Gebruikt op smartphones, laptops en beveiligingssleutels voor identiteitsverificatie.
• Gezichtsherkenning: Apple’s Face ID, Windows Hello en vergelijkbare oplossingen gebruiken AI-gestuurde gezichtsafbeeldingen.
• Authenticator Apps (TOTP): Google Authenticator, Microsoft Authenticator en Authy genereren tijdgevoelige codes.
• Passkeys (FIDO2 Standard): Stelt gebruikers in staat om in te loggen met biometrie of pincode in plaats van wachtwoorden.
• Magische Links: Verzendt een tijdslimietlink via e-mail of sms voor authenticatie zonder wachtwoord.
• QR-code-gebaseerde authenticatie: Gebruikers scannen een QR-code met hun mobiele app om hun identiteit te verifiëren.

Er zijn verschillende andere, maar ze wijzen allemaal naar verschillende MFA-opties die beschikbaar zijn voor verbeterde authenticatie en beveiliging.

Wat is een voorbeeld van een 3-factor authenticatie?

Driefactor-authenticatie gebruikt meestal één van elk van de belangrijkste soorten authenticatiefactoren. Dit kan een wachtwoord omvatten (“iets wat je weet”), OTP (“iets wat je hebt”) en gezichtsherkenning (“iets wat je bent”).

Wat is het verschil tussen authenticatie en MFA?

In wezen zijn ze vergelijkbaar omdat ze een gebruikersnaam en een wachtwoord vereisen voor authenticatie. MFA gaat een stap verder door aanvullende verificatie van de identiteit van een gebruiker te vereisen. Dit vereist een tweede of derde type authenticatie, zoals een OTP gegenereerd door een smartphone of authentificatie-app, QR-code of biometrie, om er maar een paar te noemen.

Benut MFA met Cato Networks

Robuust toegangsbeheer is essentieel voor een sterk cybersecurityprogramma. Zonder de mogelijkheid om de identiteit van een gebruiker onbetwistbaar te bewijzen, is het onmogelijk om onderscheid te maken tussen legitieme en ongeautoriseerde toegangspogingen en -acties. MFA kan de mogelijkheid van een organisatie om klanten en medewerkers te authentiseren verbeteren door het risico van accountovername-aanvallen te verminderen.

Cato helpt organisaties om veilige externe toegang tot hun systemen en applicaties te waarborgen door standaard MFA aan te bieden voor veilige externe toegangoplossingen. Om meer te leren over het verbeteren van de netwerkbeveiliging van uw organisatie met Cato SASE Cloud en hoe de implementatie van MFA uw organisatie kan helpen om te voldoen aan compliance- en Zero Trust-doelen, meld u aan voor een gratis demo.