2-factor en multifactor authenticatie: wat is het en waarom is het belangrijk voor je informatiebeveiliging en de NIS2-wet?

2-factor authenticatie en multifactor authenticatie: twee begrippen waar je vast al wel eens van gehoord hebt. Maar wat betekent het precies? Wat is het verschil tussen beide? En waarom is authenticatie zo belangrijk voor de informatiebeveiliging in je organisatie? Ook met het oog op de komst van de NIS2 wetgeving, waarin wordt geëist dat organisaties een multifactor authenticatieproces inregelen, is het een relevant onderwerp. Genoeg aanleidingen dus om hier wat verder op in te gaan middels dit artikel. Mochten er vragen zijn of kun je hulp gebruiken bij het inregelen van deze beveiligingsmaatregel, neem dan gerust contact met ons op!

De wereld wordt alsmaar digitaler. Heb je al eens stilgestaan bij de hoeveelheid applicaties die je zowel thuis als in je organisatie gebruikt? Bij hoeveel van die applicaties heb je een wachtwoord ingeregeld? En is dat wachtwoord uniek per applicatie of hergebruik je wachtwoorden? Dat laatste is natuurlijk verleidelijk; ga maar eens voor elke (werk)applicatie een uniek wachtwoord koppelen en onthouden. Toch is het bittere noodzaak! Er zijn tegenwoordig veel kwaadwillenden die er op uit zijn om wachtwoorden te hacken om op die manier (zakelijke) applicaties binnen te dringen met alle gevolgen van dien. Het is dus meer dan ooit zaak om de risico’s op een datalek zoveel mogelijk te beperken.

Een eerste goede stap met het oog op authenticatie is een wachtwoordbeleid inregelen in je organisatie. Een veilig wachtwoord voldoet aan een aantal eisen om ervoor te zorgen dat het niet eenvoudig te kraken is. Daarnaast is het belangrijk om voor elke applicatie een uniek wachtwoord te genereren; voorkom gebruik van herhaalwachtwoorden in je organisatie. Om je bij het wachtwoordbeleid, en het opslaan van al die verschillende wachtwoorden, te helpen kun je binnen je organisatie gebruik maken van een wachtwoordmanager (of password manager tool) zoals bijvoorbeeld de tool Bitwarden. Meer informatie over een wachtwoordbeleid en hoe je e.e.a. inregelt in je organisatie vind je in onderstaand artikel.

Een gebruik van een (sterk) wachtwoord om in te kunnen loggen in een applicatie is een vorm van authenticatie.

Authenticatie is een methode om te controleren of een bepaalde gebruiker wel degelijk de bevoegdheid heeft om in een applicatie in te loggen.

Systemen/applicaties in een organisatie, zoals bijvoorbeeld een mailbox of CRM-systeem, zijn beveiligd, om ervoor te zorgen dat niet zomaar iedereen erin kan. Gebruikers die dus in het systeem willen, moeten zich authentiseren, zodat vastgesteld kan worden dat de persoon die toegang wil ook daadwerkelijk daartoe bevoegd is.

De bekendste vorm van authenticatie is, zoals hierboven benoemd, inloggen met een gebruikersnaam/mailadres in combinatie met een wachtwoord. Door de juiste combinatie in te vullen, kun je inloggen. De gebruiker geeft daarmee dus een bewijs van identiteit op.

Naast het ingeven van een wachtwoord als authenticatiemethode, zijn er nog meer authenticatie vormen. Hieronder vijf categorieën:

Iedere vorm van authenticatie draagt risico’s met zich mee:

Wanneer je in zo’n geval enkel gebruik maakt van één vorm van authenticatie, is dat behoorlijk kwetsbaar. Om misbruik tegen te gaan wordt daarom geadviseerd om gebruik te maken van multifactor authenticatie (of op zijn minst tweefactor authenticatie).

Multifactor authenticatie (MFA) is een beveiligingsmethode om de bevoegdheid van een gebruiker die in wil loggen op een applicatie, te controleren op meer dan één manier. Daarbij wordt gebruik gemaakt van een combinatie van authenticatiemiddelen, die bestaat uit twee of meer van de hierboven genoemde methoden. Daardoor wordt de toegangscontrole beveiliging verder aangescherpt en het risico op een datalek verder beperkt.

Naast het gebruik van bijvoorbeeld een wachtwoord heb je dan dus nog een tweede, en eventueel derde, vierde of vijfde, factor nodig om jezelf te identificeren. In de praktijk komt het er dus op neer dat je naast een gebruikersnaam en wachtwoord, bijvoorbeeld ook nog een extra inlogcode en/of vingerafdruk nodig hebt om in een systeem in te loggen. Voorbeeld:

Zojuist hebben we gesproken over multifactor authenticatie, maar met regelmaat hoor je ook termen als 2-factor authenticatie, tweestaps verificatie of 2FA (afkorting).

De naam geeft het eigenlijk al aan: het gaat hierbij over de combinatie van twee authenticatiemethoden om in te kunnen loggen. Ofwel: je gebruikt twee methoden uit bovengenoemde categorieën. Voorbeeld:

Eigenlijk is de benaming ‘2-factor authenticatie’ (2FA) alweer achterhaald. Wanneer je namelijk meer dan één authenticatiestap gebruikt, dan wordt er eigenlijk al gesproken van multi-factor authenticatie (MFA).

MFA inschakelen is een goede zet, maar je kunt het nog strenger aanvliegen. Bij Microsoft bijvoorbeeld zit er een verschil in MFA enkel aanzetten en het gebruik van MFA afdwingen.

MFA inschakelen voor een gebruiker betekent dat de gebruiker de optie heeft om MFA in te stellen, maar dat dit niet verplicht is. Als je MFA afdwingt voor een gebruiker, zullen ze, de volgende keer dat ze inloggen op hun account, gevraagd worden om MFA in te stellen. Ze hebben geen toegang tot hun account totdat ze het MFA setup-proces hebben voltooid. Zodra het installatieproces is voltooid, moeten ze MFA gebruiken elke keer dat ze inloggen op hun account.

Je kunt vervolgens ook nog extra restricties (conditional access) toepassen, bijvoorbeeld door een stukje geo-fencing toepassen. Hiermee voorkom je dat er überhaupt ingelogd kan worden, bijvoorbeeld vanuit landen als de VS, China en Rusland.

Informatie is van (steeds grotere) waarde voor organisaties. Het is daarom noodzakelijk dat je de toegang tot informatie goed beveiligd. MFA maakt het voor hackers veel lastiger om toegang te krijgen tot applicaties, zelfs als ze het wachtwoord weten. MFA wordt daarom steeds meer toegepast als beveiligingsmethode binnen organisaties.

Het is dan ook niet voor niets dat wetgeving rondom informatiebeveiliging, zoals de aankomende NIS2 wet, als eis heeft dat er een multifactor authenticatie proces is ingeregeld:

De NIS2 directive, in Nederland de NIB2 richtlijn, is sinds 16 januari 2023 in werking getreden. Deze EU-wetgeving wordt momenteel doorvertaald naar nationale wetgeving en is naar verwachting eind 2024 van kracht. Doel van de NIS2 is het verbeteren van de cybersecurity in heel Europa, om risico’s met het oog op cyberaanvallen te verkleinen. Cybersecurity is, vanwege de grote dreigingen en nog grotere gevolgen, niet meer vrijblijvend voor organisaties. Het is een basisvoorwaarde geworden.

Vanuit de NIS2, maar ook als je organisatie niet onder die verplichting valt is het zeer sterk aan te raden, is het zaak dat organisaties de cybersecurity op orde brengen. Een NIS2 eis is een multifactor authenticatieproces inregelen. Dit is een extra beveiligingslaag om toegang tot gevoelige bedrijfsinformatie (extra) beschermen. Het multifactor proces vereist dat gebruikers van systemen zich identificeren met twee of meer autenticatiemethoden. Doel is de vertrouwelijkheid en integriteit van gevoelige (bedrijfs)informatie te waarborgen en voorkomen dat onbevoegde gebruikers toegang hiertoe krijgen.

Ons advies: zorg ervoor dat je jouw basis informatiebeveiliging op orde brengt. Al dan niet in het licht van de op komst zijnde NIS2 wetgeving of een beoogde ISO 27001 certificering. Je data en systemen beveiligingen, met behulp van goede methoden zoals MFA, tegen ongewenste bezoekers is een hygiënefactor waar je anno 2024 niet meer omheen kunt als organisatie. Heb je hierbij hulp nodig of wil je eens sparren over de mogelijkheden? Neem dan gerust contact met ons op. Wij helpen je graag!