Menu

Geïntegreerde MFA afdwingen voor resources van het bedrijf

Zakelijk probleem

Gehackte wachtwoorden zijn een belangrijke bron van gegevenslekken. Zodra een wachtwoord is gehackt, heeft de hacker dezelfde rechten voor toegang tot bedrijfsgegevens als de medewerker.

Verificatie in meerdere stappen (Multifactor authentication, MFA) is een belangrijke tool bij het beschermen van zakelijke resources. MFA, ook wel authenticatie in twee stappen genoemd (2-step verification, 2SV), vereist dat gebruikers hun identiteit verifiëren via iets dat ze weten (zoals een wachtwoord) en iets dat ze hebben (zoals een fysieke sleutel of toegangscode).

Om gebruikersaccounts en gegevens te beschermen, heeft uw bedrijf besloten dat alle gebruikers zich moeten verifiëren met 2SV voor toegang tot zakelijke resources.

Oplossingen

Als Cloud Identity uw identiteitsprovider (IdP) is, kunt u 2SV op verschillende manieren implementeren. Als u een IdP van derden gebruikt, informeer dan bij hen naar hun 2SV-aanbod.

U kunt verschillende niveaus van 2SV-handhaving selecteren:

  • Optioneel: medewerker beslist zelf over het gebruik van 2SV.
  • Verplicht: medewerker kiest de 2SV-methode.
  • Verplichte beveiligingssleutels: medewerker moet een beveiligingssleutel gebruiken.

Beveiligingssleutels

Beveiligingssleutels bieden de sterkste methode voor 2SV.

Het gebruik van beveiligingssleutels biedt de sterkste beveiliging van alle 2SV-methoden. Gebruikers voeren deze fysieke sleutel meestal in een USB-poort op een computer in. Wanneer hierom wordt gevraagd, raakt een gebruiker de sleutel aan en genereert deze een cryptografische handtekening.

Sommige oplichters stellen phishing-sites in die zich voordoen als Google en vragen om 2SV-codes. Omdat Google-beveiligingssleutels versleuteling gebruiken en de geldigheid controleren van de websites die gebruikers bezoeken, zijn beveiligingssleutels minder vatbaar voor phishing-aanvallen.

Om een beveiligingssleutel te gebruiken met mobiele Android-apparaten, tikt een gebruiker op de beveiligingssleutel op het Near-Field-Communication-apparaat (NFC-apparaat). Gebruikers kunnen ook USB- en Bluetooth Low Energy-opties (BLE-opties) voor Android-apparaten gebruiken. Mobiele apparaten van Apple hebben Bluetooth-beveiligingssleutels nodig.

Google-prompt

Google-prompt is een alternatieve 2SV-methode.

In plaats van een 2SV-code te genereren en in te voeren, kunnen gebruikers hun mobiele apparaten van Android of Apple zo instellen dat ze een inlogprompt te ontvangen. Wanneer ze inloggen op hun Google-account op hun computer, krijgen ze de vraag 'Probeer je in te loggen?' op hun mobiele apparaat. Ze bevestigen dit eenvoudig door op hun mobiele apparaat te tikken.

Google Authenticator-app

Google Authenticator is een alternatieve 2SV-methode.

Google Authenticator genereert 2SV-codes voor eenmalig gebruik op mobiele apparaten van Android of Apple. Gebruikers genereren een verificatiecode op hun mobiele apparaat en voeren deze in wanneer hierom op hun computer wordt gevraagd. Ze kunnen de code invoeren om in te loggen op een computer, laptop of zelfs het mobiele apparaat zelf.

Back-upcodes

Back-upcodes zijn een alternatieve 2SV-methode.

In het geval dat een gebruiker zich ver van het mobiele apparaat bevindt of werkzaam is in een zeer beveiligde omgeving, waar het dragen van mobiele apparaten niet is toegestaan, kan de gebruiker een back-upcode voor 2SV gebruiken. Gebruikers kunnen van tevoren back-upverificatiecodes genereren en deze afdrukken.

Sms of telefoongesprek

Sms-berichten of spraakoproepen zijn alternatieve 2SV-methoden.

Google stuurt een 2SV-code naar mobiele apparaten in een sms of spraakoproep.

Aanbevelingen

Bij het bepalen welke 2SV-alternatieven het beste zijn voor uw bedrijf, moet u een evenwicht vinden tussen beveiliging, kosten en gemak. Ongeacht welke alternatieven u selecteert, raden we u aan om 2SV-handhaving in te schakelen. Hierdoor wordt 2SV verplicht.

Beveiligingssleutels gebruiken

We raden aan om beveiligingssleutels verplicht te stellen voor medewerkers die gegevens maken en gebruiken, die het hoogste beveiligingsniveau vereisen. U zou 2SV verplicht moeten stellen voor alle andere medewerkers en hen moeten stimuleren om beveiligingssleutels te gebruiken.

Beveiligingssleutels bieden de veiligste vorm van 2SV. Ze zijn gebaseerd op de open standaard ontwikkeld door Google als onderdeel van de Fast Identity Online (FIDO) Alliance. Beveiligingssleutels vereisen een geschikte browser op gebruikersapparaten.

Andere opties

Als kosten en distributie een rol spelen in uw beslissing, zijn een Google-prompt of de Google Authenticator-app goede alternatieven. Een Google-prompt biedt een betere gebruikerservaring, omdat gebruikers eenvoudig op hun apparaat kunnen tikken wanneer hierom wordt gevraagd, in plaats van een verificatiecode in te voeren.

Als uw gebruikers geen mobiele apparaten bij zich mogen dragen, kunnen ze afdrukbare back-upcodes genereren en deze meenemen naar sterk beveiligde gebieden.

We raden aan om geen sms-berichten te gebruiken. Het National Institute of Standards and Technology (NIST) beveelt niet langer 2SV op basis van sms aan vanwege het hackrisico vanuit door de overheid gesponsorde entiteiten.

Voorbeeld

Bedrijf A is een groot en gevestigd bedrijf dat lokale apps en verificatie gebruikt. Het bedrijf wil overstappen naar Cloud Identity als primaire IdP om de beveiliging te verhogen, de ondersteuningskosten te verlagen en de schaalbaarheid te vergroten.

Het bedrijf heeft besloten om een IDaaS-aanbod uit te rollen voor het beheren van de aanwezigheid in de cloud. Hiervoor is het uitrollen van 2SV en het voldoen aan de naleving op een bepaalde datum vereist. Het Infosec-team stelt het gebruik van 2SV verplicht voor alle gebruikers.

Bedrijf A besluit Cloud Identity te gebruiken om 2SV te implementeren. Het bedrijf is van plan beveiligingssleutels verplicht te stellen voor gebruikers die werken aan de meest gevoelige en bedrijfskritieke bedrijfsinitiatieven en voor degenen die toegang hebben tot medewerkersinformatie. Dit omvat alle leidinggevenden in alle organisaties en mensen in de organisaties voor techniek, financiën en human resources. Alle andere medewerkers zijn verplicht om 2SV te gebruiken. Ze kunnen kiezen welke 2SV-methode het beste bij hen past en worden gestimuleerd om beveiligingssleutels te gebruiken.

Het afdwingen van beveiligingssleutels verschilt per organisatie.

IT maakt subsets van gebruikers binnen grotere organisaties om beveiligingssleutels alleen voor bepaalde groepen verplicht te stellen. Deze subsets worden uitzonderingsgroepen genoemd. De volledige marketingorganisatie is bijvoorbeeld verplicht om 2SV te gebruiken, maar alleen de leidinggevenden moeten beveiligingssleutels gebruiken. IT maakt een leidinggevende groep binnen elke organisatie, zoals marketing, verkoop en ondersteuning. Vervolgens dwingt IT het gebruik van beveiligingssleutels af voor deze leidinggevende groepen.

Was deze pagina nuttig? Laat ons weten hoe goed we u hebben geholpen: