Het aantal cyberaanvallen is sinds de coronacrisis vervijfvoudigd. Alleen al in de Microsoft cloud zijn er 300 miljoen frauduleuze inlogpogingen per dag. Jouw bedrijf neemt waarschijnlijk allerlei maatregelen om de kans op een datalek te verkleinen. Het instellen van tweestapsverificatie voor medewerkers is hierbij enorm belangrijk. Want 80 procent van de hacking-gerelateerde aanvallen komen binnen via wachtwoorden.
Belangrijke en effectieve beveiligingsmaatregel
Het instellen van tweestapsverificatie verkleint het risico op een datalek via wachtwoorden al snel met 99,9 procent. Het is dus een heel belangrijke en effectieve beveiligingsmaatregel. Je houdt de meeste hackers namelijk pas tegen als je meer dan één verificatiestap instelt. Want hackers achterhalen je wachtwoorden vaak vrij makkelijk, of deze zijn zelfs al bij hen bekend. Het wordt pas echt lastig voor hen als zij andere stappen moeten doorlopen. Ze hebben hiervoor informatie nodig waar zij moeilijk aan komen. Een systeem of applicatie binnenkomen is dan bijna onmogelijk.
Tom Abbing, CIO bij OGD: “Toepassing van tweestapsverificatie is een eenvoudige maatregel om te nemen, met groot effect op het veiligheidsniveau. Het is daarom een van de eerste, zo niet de eerste maatregel om te overwegen als je je ict-beveiliging wilt aanpakken.”
Met tweestapsverificatie speel je in op de volgende veelvoorkomende securityrisico’s:
- Hackers die toegang krijgen tot zakelijke e-mail: als e-mailaccounts met slechts één wachtwoord zijn beveiligd, komen mensen hier vrij makkelijk onrechtmatig binnen. Vanuit daar kunnen zij de bedrijfsvoering ontwrichten en geld stelen.
- Het hergebruik van wachtwoorden: uit onderzoek blijkt dat het merendeel van de werknemers voor verschillende accounts en applicaties hetzelfde wachtwoord gebruikt. De schade kan dan enorm zijn wanneer het wachtwoord in verkeerde handen valt en het systeem geen extra authenticatie vraagt van de hacker.
Wat is tweestapsverificatie precies?
Tweestapsverificatie is een manier om mensen ergens toegang toe te verlenen waarbij zij twee of meer beveiligingsstappen succesvol moeten doorlopen. Zo moeten gebruikers bijvoorbeeld een persoonlijk wachtwoord invoeren én een unieke, eenmalige code invullen die zij per sms ontvangen op hun telefoon, voordat zij een bepaalde applicatie in kunnen.
De mogelijke beveiligingstappen die je met tweestapsverificatie kunt instellen zijn onder te verdelen in vijf factoren. Het is bij tweestapsverificatie belangrijk dat de twee gekozen beveiligingsstappen zijn terug te voeren op twee verschillende van de vijf onderstaande factoren. Hieronder lees je welke vijf factoren er zijn binnen tweestapsverificatie:
-
Iets dat je weet
Het gaat bij deze factor om iets dat de gebruiker zelf weet en onthoudt: bijvoorbeeld een persoonlijk wachtwoord of het antwoord op een beveiligingsvraag (bijvoorbeeld: ‘Wat is de voornaam van je vaders vader?’).
-
Iets dat je bent
Het gaat hierbij om digitale herkenning van de persoon die inlogt, bijvoorbeeld via een vingerafdruk of irisscan.
-
Iets dat je hebt
Hieronder vallen gegevens die de gebruiker heeft ontvangen, zoals een hardware token of een eenmalige inlogcode die via e-mail of sms is verzonden.
-
Locatie
Met deze factor krijgen gebruikers alleen toegang wanneer zij zich op een bepaalde geografische plek bevinden, bijvoorbeeld binnen de muren van het bedrijf of in een bepaald land.
-
Tijd
Deze factor legt beperkingen op wat betreft het tijdstip waarop mensen kunnen inloggen. Bijvoorbeeld alleen op één bepaalde dag, of dagelijks tussen 09:00 en 13:00 uur.
Hoe stel je tweestapsverificatie in?
Tweestapsverificatie is een beveiligingsmaatregel die je relatief simpel instelt. Binnen Office 365 volg je bijvoorbeeld gewoon zelf een overzichtelijk stappenplan. Is deze (nog) niet helemaal toepasbaar op jouw organisatie en ict-landschap, dan kan een ict-dienstverlener natuurlijk altijd met je meedenken.
-
Zet het volgende eerst eens op een rijtje, dan weet je beter waar je aan begint.
- Welke systemen en applicaties wil je beveiligen met tweestapsverificatie?
- Welke tweestapsverificatie-technologie wil je gebruiken?
- Wat zal de impact op werknemers zijn? Hoe verandert hun werkwijze?
-
Zoek uit of de systemen en applicaties die je wilt beveiligen geschikt zijn voor tweestapsverificatie.
Verouderde software (legacy) heeft vaak minder goede opties qua beveiliging. Het is hier niet altijd mogelijk om een tweestapsverificatie in te stellen. Kijk dan of je legacy zoveel mogelijk kunt updaten of vervangen. Een proxyserver speciaal voor tweestapsverificatie biedt hier soms uitkomst.
-
Soms is het een goed idee om tweestapsverificatie eerst alleen deels door te voeren in je organisatie.
Bijvoorbeeld alleen binnen bepaalde applicaties, of voor een selecte groep gebruikers. Zo krijg je er meer feeling mee en weet je of het werkt voor jouw organisatie.
-
Onderschat de menselijke kant van de implementatie niet.
Waarschijnlijk krijgen alle mensen in de organisatie te maken met de nieuwe manier van inloggen. Soms voelen zij weerstand tegen het doorlopen van extra stappen. Of ze willen bepaalde gegevens niet delen uit angst voor datalekken. Het is belangrijk om hen te helpen begrijpen dat MFA hun (persoons)gegevens juist beter beveiligt.
Tweestapsverificatie is een effectieve en toegankelijke manier om je cyber security flink te verbeteren. Wil je weten hoe jouw organisatie tweestapsverificatie effectief kan inzetten en wat hierbij komt kijken? Neem dan vrijblijvend contact op met onze security experts.
Tweestapsverificatie nog niet voor alles beschikbaar
Helaas is elke dienst nog niet voorzien van tweestapsverificatie, maar steeds meer E-mailproviders, internetdiensten en sociale media bieden tweestapsverificatie aan. Een toegangscode kun je instellen bij de volgende diensten:
Bron: diensten, ogd.nl, agconnect.nl
Meer info over Cybercrime lees je hier
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
De gevaren van de nieuwe Quantumcomputers: ‘Ontsleutelen in één minuut waar gewone computers nu 10.000 jaar overdoen’
Organisaties moeten hun belangrijke data nu al tegen de dreiging van quantumcomputers beschermen, zo adviseert de AIVD in een vandaag gepubliceerde brochure. Volgens de inlichtingendienst brengt de komst van de quantumcomputer risico’s met zich mee op het gebied van informatiebeveiliging. "De algemene verwachting is dat een quantumcomputer binnen twintig jaar de huidige cryptografische standaarden kan breken", aldus de AIVD.
"Het staat niet in verhouding tot de urgentie die uit de Miljoenennota en de troonrede naar voren komen"
Nederland wordt steeds afhankelijker van het internet, maar is ook steeds vaker doelwit van hacks en andere cyberaanvallen. Die ondermijnen de rechtsstaat, schrijft het demissionaire kabinet in de Miljoenennota. Toch blijven noemenswaardige investeringen in de cyberveiligheid uit, tot grote frustratie van experts uit de cyberbeveiligingsbranche.
4,5 jaar cel voor verkoper cryptotelefoons
De rechtbank in Rotterdam heeft gisteren een 41-jarige man uit Nijmegen veroordeeld tot een gevangenisstraf van 54 maanden. De man moet 4,5 jaar de cel in omdat hij volgens de rechtbank een criminele organisatie leidde die cryptotelefoons verkocht die voor criminele doeleinden werden gebruikt. Ook bevond de rechter hem schuldig aan witwassen en valsheid in geschrifte.
Verdachten twee weken in voorarrest terwijl onderzoek doorgaat
Afgelopen week heeft de politie een 44-jarige man uit Kaatsheuvel en een 24-jarige vrouw uit Rosmalen aangehouden. Het duo wordt ervan verdacht honderden cryptotelefoons en abonnementen aan criminelen te hebben verkocht. Daarnaast vermoedt het Openbaar Ministerie (OM) dat het tweetal deelnam aan een criminele organisatie en dat ze betrokken waren bij het witwassen van geld dat uit criminele activiteiten is verkregen.
81% van de Nederlandse zorginstellingen lopen risico op e-mailfraude
Het is inmiddels de norm dat afspraken voor de huisarts, het ziekenhuis en een vaccinatie online worden geboekt. En nu het digitale coronapaspoort definitief wordt ingevoerd als toegangsbewijs voor allerlei diensten, is cybersecurity nog nooit een belangrijker thema geweest voor de zorgsector.
Overheid gaat bedrijven waarschuwen bij gevaar cyberaanvallen
Het Digital Trust Center (DTC) gaat vanaf maandag 13 september op beperkte schaal relevante dreigingsinformatie proactief delen met het bedrijfsleven. Ondernemingen en organisaties die geen onderdeel uitmaken van de kritische infrastructuur, krijgen vanaf vandaag informatie over acute kwetsbaarheden en digitale dreigingen. De overheid kijkt of ze op deze manier het bedrijfsleven weerbaarder kan maken tegen hackers.