We proberen onze omgevingen zo veilig mogelijk te maken, zonder dat het onwerkbaar wordt voor de gebruikers. De balans hierin vinden is de grote uitdaging: hoe hou je het gebruikersvriendelijk, zonder dat het onveilig wordt? In deze blog zoomen we in op Multi-Factor Authenticatie, en de ontwikkelingen hierin om onze omgeving nóg veiliger te maken.
Wat is Multi-Factor Authenticatie (MFA)?
Zoals de naam al aangeeft, is Multi-factor Authenticatie een extra verificatiemethode om aan te tonen dat jij echt degene bent die inlogt. De eerste factor is meestal een wachtwoord, en de tweede factor een code via SMS of notificatie van een Authenticator App.
Wat is MFA-vermoeidheid?
Wanneer je te vaak gevraagd wordt om MFA, loop je het risico dat je er minder bewust mee omgaat, en dus notificaties bevestigd terwijl jij zelf geen inlogpoging deed. Dit wordt steeds meer gebruikt door kwaadwillenden. Ze sturen zoveel pushnotificaties naar je Authenticator App, in de hoop dat jij één keer per ongeluk bevestigt. Zodra er maar 1x per ongeluk bevestigd wordt, zit de aanvaller in je omgeving. Dit concept wordt MFA-Vermoeidheid, of MFA Fatigue genoemd.
Wat kan je er tegen doen?
Er zijn verschillende opties beschikbaar om het risico te verkleinen of geheel weg te nemen. Hieronder de belangrijkste mogelijkheden:
- Bewustwording creëren bij de eindgebruikers door middel van een nieuwsbericht.
- Alternatieve methodes aanbieden zoals een FIDO2 Security key.
- Conditional access inrichten om inlogpogingen uit specifieke landen te blokkeren.
- Microsoft Authenticator number matching inschakelen.
Microsoft Authenticator en andere verificatie opties.
Microsoft zit niet stil om het fenomeen MFA-vermoeidheid aan te pakken. Gebruikers van Microsoft Authenticator kunnen vanaf 27 februari 2023 niet meer MFA-prompts bevestigen met 1 klik op de knop. Ze moeten daarentegen een getal overnemen dat in de browser weergegeven wordt. Hierdoor is het nagenoeg onmogelijk om per ongeluk toegang te verlenen. Naast het zogenaamde number matching, kan er ook extra context weergegeven worden zoals de locatie van de inlogpoging en de naam van de applicatie waarop wordt ingelogd. In de afbeeldingen hieronder zie je de huidige situatie (links) en de toekomstige situatie (rechts).
Vooruitlopend op de aankondiging van Microsoft, kan de functionaliteit nu al ingeschakeld worden in je huidige omgeving. Dit is meteen een mooie voorbereiding om je huidige MFA en Self Service Password Reset (SSPR) verificatiemethodes onder de loep te nemen, en eventueel al (gedeeltelijk) te migreren naar het nieuwe beleid voor verificatiemethoden die vanaf 2024 standaard zal zijn.
Tot slot
Zoals je ziet staan de ontwikkelingen niet stil, en zijn er legio aan mogelijkheden om je omgeving veiliger te maken. Mocht je meer willen weten over MFA, SSPR of Conditional Access of hulp kunnen gebruiken bij het inrichten ervan, neem dan contact met ons op. We helpen graag!
Heb je vragen over dit onderwerp of zou je Koos willen inhuren voor een vergelijkbare opdracht?
Heb je een Azure expert nodig?
