Het aantal cyberaanvallen is sinds de coronacrisis vervijfvoudigd. Alleen al in de Microsoft cloud zijn er 300 miljoen frauduleuze inlogpogingen per dag. Jouw bedrijf neemt waarschijnlijk allerlei maatregelen om de kans op een datalek te verkleinen. Het instellen van tweestapsverificatie voor medewerkers is hierbij enorm belangrijk. Want 80 procent van de hacking-gerelateerde aanvallen komen binnen via wachtwoorden.
Belangrijke en effectieve beveiligingsmaatregel
Het instellen van tweestapsverificatie verkleint het risico op een datalek via wachtwoorden al snel met 99,9 procent. Het is dus een heel belangrijke en effectieve beveiligingsmaatregel. Je houdt de meeste hackers namelijk pas tegen als je meer dan één verificatiestap instelt. Want hackers achterhalen je wachtwoorden vaak vrij makkelijk, of deze zijn zelfs al bij hen bekend. Het wordt pas echt lastig voor hen als zij andere stappen moeten doorlopen. Ze hebben hiervoor informatie nodig waar zij moeilijk aan komen. Een systeem of applicatie binnenkomen is dan bijna onmogelijk.
Tom Abbing, CIO bij OGD: “Toepassing van tweestapsverificatie is een eenvoudige maatregel om te nemen, met groot effect op het veiligheidsniveau. Het is daarom een van de eerste, zo niet de eerste maatregel om te overwegen als je je ict-beveiliging wilt aanpakken.”
Met tweestapsverificatie speel je in op de volgende veelvoorkomende securityrisico’s:
- Hackers die toegang krijgen tot zakelijke e-mail: als e-mailaccounts met slechts één wachtwoord zijn beveiligd, komen mensen hier vrij makkelijk onrechtmatig binnen. Vanuit daar kunnen zij de bedrijfsvoering ontwrichten en geld stelen.
- Het hergebruik van wachtwoorden: uit onderzoek blijkt dat het merendeel van de werknemers voor verschillende accounts en applicaties hetzelfde wachtwoord gebruikt. De schade kan dan enorm zijn wanneer het wachtwoord in verkeerde handen valt en het systeem geen extra authenticatie vraagt van de hacker.
Wat is tweestapsverificatie precies?
Tweestapsverificatie is een manier om mensen ergens toegang toe te verlenen waarbij zij twee of meer beveiligingsstappen succesvol moeten doorlopen. Zo moeten gebruikers bijvoorbeeld een persoonlijk wachtwoord invoeren én een unieke, eenmalige code invullen die zij per sms ontvangen op hun telefoon, voordat zij een bepaalde applicatie in kunnen.
De mogelijke beveiligingstappen die je met tweestapsverificatie kunt instellen zijn onder te verdelen in vijf factoren. Het is bij tweestapsverificatie belangrijk dat de twee gekozen beveiligingsstappen zijn terug te voeren op twee verschillende van de vijf onderstaande factoren. Hieronder lees je welke vijf factoren er zijn binnen tweestapsverificatie:
-
Iets dat je weet
Het gaat bij deze factor om iets dat de gebruiker zelf weet en onthoudt: bijvoorbeeld een persoonlijk wachtwoord of het antwoord op een beveiligingsvraag (bijvoorbeeld: ‘Wat is de voornaam van je vaders vader?’).
-
Iets dat je bent
Het gaat hierbij om digitale herkenning van de persoon die inlogt, bijvoorbeeld via een vingerafdruk of irisscan.
-
Iets dat je hebt
Hieronder vallen gegevens die de gebruiker heeft ontvangen, zoals een hardware token of een eenmalige inlogcode die via e-mail of sms is verzonden.
-
Locatie
Met deze factor krijgen gebruikers alleen toegang wanneer zij zich op een bepaalde geografische plek bevinden, bijvoorbeeld binnen de muren van het bedrijf of in een bepaald land.
-
Tijd
Deze factor legt beperkingen op wat betreft het tijdstip waarop mensen kunnen inloggen. Bijvoorbeeld alleen op één bepaalde dag, of dagelijks tussen 09:00 en 13:00 uur.
Hoe stel je tweestapsverificatie in?
Tweestapsverificatie is een beveiligingsmaatregel die je relatief simpel instelt. Binnen Office 365 volg je bijvoorbeeld gewoon zelf een overzichtelijk stappenplan. Is deze (nog) niet helemaal toepasbaar op jouw organisatie en ict-landschap, dan kan een ict-dienstverlener natuurlijk altijd met je meedenken.
-
Zet het volgende eerst eens op een rijtje, dan weet je beter waar je aan begint.
- Welke systemen en applicaties wil je beveiligen met tweestapsverificatie?
- Welke tweestapsverificatie-technologie wil je gebruiken?
- Wat zal de impact op werknemers zijn? Hoe verandert hun werkwijze?
-
Zoek uit of de systemen en applicaties die je wilt beveiligen geschikt zijn voor tweestapsverificatie.
Verouderde software (legacy) heeft vaak minder goede opties qua beveiliging. Het is hier niet altijd mogelijk om een tweestapsverificatie in te stellen. Kijk dan of je legacy zoveel mogelijk kunt updaten of vervangen. Een proxyserver speciaal voor tweestapsverificatie biedt hier soms uitkomst.
-
Soms is het een goed idee om tweestapsverificatie eerst alleen deels door te voeren in je organisatie.
Bijvoorbeeld alleen binnen bepaalde applicaties, of voor een selecte groep gebruikers. Zo krijg je er meer feeling mee en weet je of het werkt voor jouw organisatie.
-
Onderschat de menselijke kant van de implementatie niet.
Waarschijnlijk krijgen alle mensen in de organisatie te maken met de nieuwe manier van inloggen. Soms voelen zij weerstand tegen het doorlopen van extra stappen. Of ze willen bepaalde gegevens niet delen uit angst voor datalekken. Het is belangrijk om hen te helpen begrijpen dat MFA hun (persoons)gegevens juist beter beveiligt.
Tweestapsverificatie is een effectieve en toegankelijke manier om je cyber security flink te verbeteren. Wil je weten hoe jouw organisatie tweestapsverificatie effectief kan inzetten en wat hierbij komt kijken? Neem dan vrijblijvend contact op met onze security experts.
Tweestapsverificatie nog niet voor alles beschikbaar
Helaas is elke dienst nog niet voorzien van tweestapsverificatie, maar steeds meer E-mailproviders, internetdiensten en sociale media bieden tweestapsverificatie aan. Een toegangscode kun je instellen bij de volgende diensten:
Bron: diensten, ogd.nl, agconnect.nl
Meer info over Cybercrime lees je hier
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
Cybercrime: "Het aantal is dit jaar bijna verdubbeld"
Het aantal aangiftes en meldingen van cybercrime is tijdens de coronacrisis explosief gestegen. In de eerste maanden van 2019 werden nog zo'n 2500 meldingen gedaan van cybercrime.
INTERPOL-rapport toont een alarmerend aantal cyberaanvallen tijdens COVID-19
Een INTERPOL-beoordeling van de impact van COVID-19 op cybercriminaliteit heeft aangetoond dat er een aanzienlijke verschuiving van het doelwit is van individuen en kleine bedrijven naar grote bedrijven, overheden en kritieke infrastructuur.
"Ik los het zelf op" en "Het heeft geen zin, de politie zal er niets aan doen"
Slachtoffers van online criminaliteit doen zelden aangifte bij de politie en wanneer zij dit wel doen, leidt dit vaak tot ontevredenheid.
Menselijke fouten grootste oorzaak cyberincidenten
Bijna alle bedrijven maken vandaag gebruik van clouddiensten. De cloud is schaalbaar, efficiënt en mobiel, perfect voor de groeiende datastromen en het toenemende thuiswerk van vandaag. Maar zonder gespecialiseerde kennis is de cloud niet zonder risico. Configuratie fouten door medewerkers zouden de grootste oorzaak zijn van cyberincidenten in de cloud. Dat wijzen twee studies van veiligheidsbedrijven uit.
Opnieuw slachtoffer: "Schijnbaar houden deze daders een goede boekhouding bij"
De laatste tijd worden vooral oudere Zeeuwse mensen voor de tweede of derde keer voor duizenden euro's opgelicht. De politie waarschuwt alert te zijn en oplichtingspraktijken bij de politie en uw bank te melden.
Apollo Vredestein weerloos tegenover cybercriminelen als een van de vele Nederlandse bedrijven
Apollo Vredestein blijkt, als een van de vele Nederlandse bedrijven, weerloos te zijn geweest tegenover cybercriminelen. De Twentse bandenfabriek, die ruim een week geleden door hackers werd platgelegd, gebruikte apparatuur die al meer dan tien jaar niet was bijgewerkt. De gebruiksaanwijzing waardoor hackers konden binnenkomen stond bovendien gewoon op internet.