Microsoft zet hoog in op het gebruik van Multifactor Authenticatie (MFA). Zo schreven zij onlangs dat 99,9 procent van de aanvallen op een account kan worden voorkomen door het inschakelen van deze functie. ITeamplay is Microsoft Partner en van ons, als beheerders, wordt het dan ook vereist dat we het gebruiken. We hebben nu al een aantal jaar ervaring met MFA van Microsoft en willen graag onze kennis en kijk op dit soort zaken delen. Dat doen we middels deze blog.
Wat is MFA? wat doet het? waarom zou je het willen?
Je hebt het vast weleens gehoord van je buurman, op een verjaardag of bij een klant. Wij gebruiken MFA, want dat is veilig inloggen. Het klopt helemaal, maar wat is het?
Om dit uit te leggen kijken we eerst naar de werking als je geen gebruik maakt van MFA. Dan werkt het namelijk zo en we verplaatsen ons even in de kwaadwillende (hacker) die bij je gegevens wil komen:
Normaal maak je gebruik van een gebruikersnaam en een wachtwoord. 2 dingen die nodig zijn om te raden als hacker, om bij jouw gegevens te komen. Of eigenlijk 3, want allereerst moet hij/zij weten waar er ingelogd moet worden. Wij denken dat dit laatste niet zo lastig is.
Als je de bedrijfsnaam weet en de persoon, dan is het via google al makkelijk te achterhalen wat het domein is van het bedrijf. Vervolgens zetten veel bedrijven een link op hun pagina naar het medewerkersportaal of naar de webmail pagina.
Het vinden van een loginpagina is vaak een gebruiksvriendelijke url, denk aan:
- portal.bedrijfsnaam.nl
- webmail.bedrijfsnaam.nl
- login.bedrijfsnaam.nl
Microsoft gebruikt voor Office 365 standaard portal.office.com. Door bepaalde dns records (een dns record bepaald waar bijvoorbeeld je website staat, of waar je mail naartoe mag) uit te lezen van een domein, kun je vaak zien of een bedrijf gebruik maakt van Office 365.
We hebben nu een pagina ter beschikking waar een gebruikersnaam en wachtwoord ingevuld kan worden. En nu?
Via Social Media kanalen is het heel makkelijk om mailadressen van personen te vinden. En wat wordt er vaak als gebruikersnaam gehanteerd? Juist, het mailadres.
Nu is het alleen nog zaak om het wachtwoord te raden. We geven als tip om de wachtwoorden uit dit artikel niet te gebruiken. Evenals een wachtwoord wat je ook gebruikt voor je privé mail, social media en webshop accounts die je gebruikt. Immers, als een hacker je wachtwoord van één van deze accounts al heeft kan hij dit natuurlijk ook gebruiken op je werkaccount.
Via deze site kun je je mailadres opgeven om te zien of je niet beter je wachtwoord kunt wijzigen.
Vervolgens kan de hacker nog wat zaken raden en als er geen limiet is ingesteld op het account, zodat je geblokkeerd wordt na een aantal pogingen, dan kan hij met een script geautomatiseerd wachtwoorden proberen.
MFA is het toevoegen van een extra vorm van authenticatie. Het is iets wat je bij je hebt om in te loggen.
Je krijgt na het invullen van je gebruikersnaam en wachtwoord een smsje met een code die je vervolgens moet invullen op het login scherm. Of je wordt gebeld op het voor jouw ingestelde telefoonnummer en moet verifieren door op een hekje te drukken op je telefoon. Of je hebt een app geinstalleerd staan op je telefoon en geeft daarop goedkeuring. En zo zijn er nog meer oplossingen.
Het is dus inloggen met iets wat je weet (gebruikersnaam en wachtwoord) en iets wat je hebt, bijvoorbeeld je telefoon. Deze combinatie maakt het bijzonder lastig voor de hacker om in te loggen.
En wat nu als mijn medewerkers geen zakelijke telefoon hebben en hun privé telefoon hier niet voor willen gebruiken? Denk dan toch na over het aanbieden van een telefoon van het werk, of een oplossing middels een usb key.
Een aantal tips voor degene die geen MFA gebruiken:
- Verbied post its met wachtwoorden op beeldschermen.
- Verbied het uitwisselen van wachtwoorden bij afwezigheid van collega’s. Er zijn andere mogelijkheden tot toegang middels het geven van rechten.
- Stel in dat een complex wachtwoord nodig is.
- Zorg dat wachtwoorden frequent moeten worden gewijzigd.
- Na een x aantal keer proberen wordt inloggen tijdelijk geblokeerd.
- Gebruik geen wachtwoorden die eerder zijn gebruikt of een deel daarvan. (denk aan ophoging met 1,2,3 achter het wachtwoord).
- Gebruik geen deel van de gebruikersnaam als wachtwoord.
- Gebruik een (online) wachtwoordenmanager en zorg dat elke dienst die je gebruikt is voorzien van een complex en uniek wachtwoord.
- Je beheerders moeten een ander wachtwoord gebruiken voor hun beheerdersaccount, dan voor hun persoonlijke account.
- Praat gerust eens met ons om te brainstormen.
Daar wil ik meer van weten!