2 factor authenticatie: een extra manier van beveiligen

2 factor authenticatie: een extra manier van beveiligen

18 september 2018

In de digitale tijd waarin we leven, bieden steeds meer organisaties hun diensten online aan. Als internetgebruiker beschik je dan ook over verschillende accounts. Uit een onderzoek van het programma Kassa XL is naar voren gekomen dat de gemiddelde Nederlander maar liefst over 25 online accounts beschikt. Denk maar eens aan accounts op social media, webshops, of applicaties je gebruikt voor je dagelijkse werkzaamheden. Veel mensen gebruiken, vanwege het toenemende aantal online accounts, ook vaak dezelfde gebruikersnamen en wachtwoorden. Begrijpelijk? Ja zeker, maar het risico op inbraak in accounts neemt hiermee wel toe.

Iets toevoegen aan de veiligheid en het gebruikersgemak waarborgen

Is het van belang dat organisaties moderne technieken gebruiken om persoonsgegevens te beveiligen? “Beveiliging is een afweging tussen het gebruikersgemak en de veiligheid. Voor ons ligt de uitdaging om iets toe te voegen aan de veiligheid, waarbij we het gebruikersgemak waarborgen”, vertelt Hans Meuffels, Informatie Analist bij Loket.nl. Dagelijks zijn er zo’n 12.000 werknemers die inloggen in het Werknemerloket met gebruikersnaam en wachtwoord. Je ziet echter steeds vaker dat er bij het inloggen naast een gebruikersnaam en wachtwoord ook gevraagd wordt om een 2 factor authenticatie code. “Wij zijn er nu ook mee bezig om 2 factor authenticatie te integreren in het Werknemerloket. Het gaat om privacygevoelige informatie”, aldus Hans.

Het digitaal toegangscontroleproces en 2 factor authenticatie

Wat is dat nu precies 2 factor authenticatie en waarom is het zoveel beter dan alleen een wachtwoord? Er zijn drie authenticatiefactoren die gebruikt kunnen worden om accounts te beveiligen:

  1. Kennis: iets wat je weet, bijvoorbeeld een wachtwoord of pincode.
  2. Bezit: iets wat je hebt, bijvoorbeeld een telefoon of een token.
  3. Eigenschap: een persoonlijke eigenschap, bijvoorbeeld een vingerafdruk of irisscan.

Een 2 factor authenticatie is een authenticatie methode waarbij je twee stappen succesvol moet doorlopen om toegang te krijgen tot je account. De eerste stap is vaak het invoeren van een gebruikersnaam en wachtwoord (kennis). De tweede stap is bijvoorbeeld een code op je telefoon via de Google Authenticator app of een sms-code (bezit). Alleen deze combinatie geeft je toegang tot je account. Kortom, er zijn dus twee componenten nodig om je identiteit te bevestigen.

Niet alleen maar toegang met gebruikersnaam en wachtwoord

Bij Loket.nl nemen we de veiligheid van persoonsgegevens uiterst serieus. “We willen gebruikers dan ook de keuze geven hoe ze hun gegevens willen beveiligen”, vertelt Hans. Straks krijgen alle gebruikers van het Werknemerloket de mogelijkheid om te kiezen voor 2 factor authenticatie. “Een gebruiker logt dan niet alleen in met gebruikersnaam en wachtwoord, maar vult ook een, door de Authenticator App, gegenereerde code in om toegang te krijgen.” Er is gekozen om deze manier van authenticatie als eerst te integreren in het Werknemerloket. “Loket.nl beschikt al over 2 factor authenticatie via sms. Het Werknemerloket beschikt nu nog niet over een extra manier van beveiligen. Daarom starten we met de authenticatie via de Authenticator app voor het Werknemerloket. Zo bieden we zo snel mogelijk 2 factor authenticatie in al onze applicaties”, legt Hans uit.

In eerste instantie bepalen werknemers zelf of ze van deze extra beveiligde manier gebruik willen maken. “Wij vinden het belangrijk dat we gebruikers de keuze geven hoe zij hun gegevens in het Werknemerloket willen beveiligen. De 2 factor authenticatie zal daarmee optioneel zijn, waarbij we uiteraard werknemers wel attent maken op de risico’s als ze het niet gebruiken.”

Alleen de juiste persoon bij de juiste gegevens

“Waar we bij Loket.nl ook mee bezig zijn, is het mogelijk maken dat werknemers hun gegevens kunnen muteren in het Werknemerloket. Is er bijvoorbeeld sprake van een adreswijziging of misschien zelfs een wijziging van het IBAN nummer? Dan kan de werknemer dat straks zelf aanpassen in het Werknemerloket. En met het oog op veiligheid, is het dan natuurlijk enorm belangrijk dat alleen de juiste persoon bij deze gegevens kan”, vertelt Hans.

Pas kwam naar voren dat oplichters een even eenvoudige als vernuftige manier gevonden hebben om geld binnen te harken. Ze hacken eerst het e-mailaccount van een werknemer en vragen vervolgens via mail aan de salarisadministratie om het loon op een ander IBAN nummer te storten. “Door het wijzigen van zulke gegevens alleen mogelijk te maken in een goed beveiligde omgeving als het Werknemerloket, wordt het risico op inbraak vele malen kleiner. 2 factor authenticatie draagt daar zeker aan bij.”