Leestijd: 7 minuten

2-factor en multifactor authenticatie: wat is het en waarom is het belangrijk voor je informatiebeveiliging en de NIS2-wet?

Multifactor authenticatie: wat is het, hoe regel je het in en waarom is het tegenwoordig een hygiënefactor voor je organisatie? Ons advies: start er vandaag nog mee!

Multifactor authenticatie
Laurens Hekkink
Laurens Hekkink
Adviseur

Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.

laurens.hekkink@certificeringsadvies.nl

2-factor authenticatie en multifactor authenticatie: twee begrippen waar je vast al wel eens van gehoord hebt. Maar wat betekent het precies? Wat is het verschil tussen beide? En waarom is authenticatie zo belangrijk voor de informatiebeveiliging in je organisatie? Ook met het oog op de komst van de NIS2 wetgeving, waarin wordt geëist dat organisaties een multifactor authenticatieproces inregelen, is het een relevant onderwerp. Genoeg aanleidingen dus om hier wat verder op in te gaan middels dit artikel. Mochten er vragen zijn of kun je hulp gebruiken bij het inregelen van deze beveiligingsmaatregel, neem dan gerust contact met ons op!

Waarom multi-factor authenticatie niet mag ontbreken!

De wereld wordt alsmaar digitaler. Heb je al eens stilgestaan bij de hoeveelheid applicaties die je zowel thuis als in je organisatie gebruikt? Bij hoeveel van die applicaties heb je een wachtwoord ingeregeld? En is dat wachtwoord uniek per applicatie of hergebruik je wachtwoorden? Dat laatste is natuurlijk verleidelijk; ga maar eens voor elke (werk)applicatie een uniek wachtwoord koppelen en onthouden. Toch is het bittere noodzaak! Er zijn tegenwoordig veel kwaadwillenden die er op uit zijn om wachtwoorden te hacken om op die manier (zakelijke) applicaties binnen te dringen met alle gevolgen van dien. Het is dus meer dan ooit zaak om de risico’s op een datalek zoveel mogelijk te beperken.

Authenticatie inregelen binnen je organisatie

Een eerste goede stap met het oog op authenticatie is een wachtwoordbeleid inregelen in je organisatie. Een veilig wachtwoord voldoet aan een aantal eisen om ervoor te zorgen dat het niet eenvoudig te kraken is. Daarnaast is het belangrijk om voor elke applicatie een uniek wachtwoord te genereren; voorkom gebruik van herhaalwachtwoorden in je organisatie. Om je bij het wachtwoordbeleid, en het opslaan van al die verschillende wachtwoorden, te helpen kun je binnen je organisatie gebruik maken van een wachtwoordmanager (of password manager tool) zoals bijvoorbeeld de tool Bitwarden. Meer informatie over een wachtwoordbeleid en hoe je e.e.a. inregelt in je organisatie vind je in onderstaand artikel.

Een gebruik van een (sterk) wachtwoord om in te kunnen loggen in een applicatie is een vorm van authenticatie.

Authenticatie is een methode om te controleren of een bepaalde gebruiker wel degelijk de bevoegdheid heeft om in een applicatie in te loggen.

Systemen/applicaties in een organisatie, zoals bijvoorbeeld een mailbox of CRM-systeem, zijn beveiligd, om ervoor te zorgen dat niet zomaar iedereen erin kan. Gebruikers die dus in het systeem willen, moeten zich authentiseren, zodat vastgesteld kan worden dat de persoon die toegang wil ook daadwerkelijk daartoe bevoegd is.

Welke authenticatie methoden zijn er?

De bekendste vorm van authenticatie is, zoals hierboven benoemd, inloggen met een gebruikersnaam/mailadres in combinatie met een wachtwoord. Door de juiste combinatie in te vullen, kun je inloggen. De gebruiker geeft daarmee dus een bewijs van identiteit op.

Naast het ingeven van een wachtwoord als authenticatiemethode, zijn er nog meer authenticatie vormen. Hieronder vijf categorieën:

  • Iets wat je weet: de bekendste authenticatievorm is een wachtwoord of pincode;
  • Iets wat je hebt: denk hierbij aan authenticatie in de vorm van een badge, pasje, een app;
  • Iets wat je bent: dit zijn je biometrische kenmerken zoals een vingerafdruk, gezichtsherkenning of irisscan;
  • Waar je bent: een geolocatie (GPS) of IP-adres kan ook een manier van authenticatie zijn;
  • Iets wat je doet: ook een vorm van authenticatie is bijvoorbeeld het tekenen van een bepaald patroon bij een afbeelding, je handtekening zetten ed.

Iedere vorm van authenticatie draagt risico’s met zich mee:

  • Een wachtwoord kan gehackt worden;
  • Een badge of pasje kan gestolen worden;
  • Een patroon kan geraden worden;
  • Etc.

Wanneer je in zo’n geval enkel gebruik maakt van één vorm van authenticatie, is dat behoorlijk kwetsbaar. Om misbruik tegen te gaan wordt daarom geadviseerd om gebruik te maken van multifactor authenticatie (of op zijn minst tweefactor authenticatie).

Leer je medewerkers informatie veilig werken!

Je informatiebeveiliging naar een hoger niveau tillen? Zorg dat het kennisniveau van medewerkers op orde is! Dat kan met behulp van een e-learning security awareness, waarbij medewerkers van je organisatie stap voor stap leren waar ze op moeten letten, wat de risico’s zijn en hoe ze moeten handelen!

Vraag een demo aan of bekijk de e-learning

Wat is multifactor authenticatie?

Multifactor authenticatie (MFA) is een beveiligingsmethode om de bevoegdheid van een gebruiker die in wil loggen op een applicatie, te controleren op meer dan één manier. Daarbij wordt gebruik gemaakt van een combinatie van authenticatiemiddelen, die bestaat uit twee of meer van de hierboven genoemde methoden. Daardoor wordt de toegangscontrole beveiliging verder aangescherpt en het risico op een datalek verder beperkt.

Naast het gebruik van bijvoorbeeld een wachtwoord heb je dan dus nog een tweede, en eventueel derde, vierde of vijfde, factor nodig om jezelf te identificeren. In de praktijk komt het er dus op neer dat je naast een gebruikersnaam en wachtwoord, bijvoorbeeld ook nog een extra inlogcode en/of vingerafdruk nodig hebt om in een systeem in te loggen. Voorbeeld:

  • Methode 1: je vult je gebruikersnaam en wachtwoord in
  • Methode 2: je vult een extra code, die je bijvoorbeeld uit een authenticatie app zoals Microsoft authenticator of Google authenticator haalt vanaf je mobiel, in
  • Methode 3: je scant je vingerafdruk als extra biometrische authenticatiemethode

Wat is 2-factor authenticatie?

Zojuist hebben we gesproken over multifactor authenticatie, maar met regelmaat hoor je ook termen als 2-factor authenticatie, tweestaps verificatie of 2FA (afkorting).

De naam geeft het eigenlijk al aan: het gaat hierbij over de combinatie van twee authenticatiemethoden om in te kunnen loggen. Ofwel: je gebruikt twee methoden uit bovengenoemde categorieën. Voorbeeld:

  • Methode 1: je vult je gebruikersnaam en wachtwoord in;
  • Methode 2: je vult een extra code, die je per SMS op je telefoon ontvangt, in

Eigenlijk is de benaming ‘2-factor authenticatie’ (2FA) alweer achterhaald. Wanneer je namelijk meer dan één authenticatiestap gebruikt, dan wordt er eigenlijk al gesproken van multi-factor authenticatie (MFA).

MFA voorbeeld: de DigiD-app

Een bekend voorbeeld van multifactor authenticatie is het inloggen via de DigiD-app op websites van bijvoorbeeld de overheid. Tijdens dit inlogproces kan het voorkomen dat je wel vier verschillende authenticatiemethoden gebruikt:

  • 1) Vul een pincode in op de DigiD-app
  • 2) Vul je koppelcode uit je DigiD-app in op de website
  • 3) Scan de QR-code op de website met je telefoon
  • 4) Bevestig het inloggen in de DigiD-app

Na deze vier stappen ben je dan ingelogd.

Multifactor authenticatie: regel het in, ook voor de NIS2!

Informatie is van (steeds grotere) waarde voor organisaties. Het is daarom noodzakelijk dat je de toegang tot informatie goed beveiligd. MFA maakt het voor hackers veel lastiger om toegang te krijgen tot applicaties, zelfs als ze het wachtwoord weten. MFA wordt daarom steeds meer toegepast als beveiligingsmethode binnen organisaties.

Het is dan ook niet voor niets dat wetgeving rondom informatiebeveiliging, zoals de aankomende NIS2 wet, als eis heeft dat er een multifactor authenticatie proces is ingeregeld:

De NIS2 directive, in Nederland de NIB2 richtlijn, is sinds 16 januari 2023 in werking getreden. Deze EU-wetgeving wordt momenteel doorvertaald naar nationale wetgeving en is naar verwachting eind 2024 van kracht. Doel van de NIS2 is het verbeteren van de cybersecurity in heel Europa, om risico’s met het oog op cyberaanvallen te verkleinen. Cybersecurity is, vanwege de grote dreigingen en nog grotere gevolgen, niet meer vrijblijvend voor organisaties. Het is een basisvoorwaarde geworden.

Vanuit de NIS2, maar ook als je organisatie niet onder die verplichting valt is het zeer sterk aan te raden, is het zaak dat organisaties de cybersecurity op orde brengen. Een NIS2 eis is een multifactor authenticatieproces inregelen. Dit is een extra beveiligingslaag om toegang tot gevoelige bedrijfsinformatie (extra) beschermen. Het multifactor proces vereist dat gebruikers van systemen zich identificeren met twee of meer autenticatiemethoden. Doel is de vertrouwelijkheid en integriteit van gevoelige (bedrijfs)informatie te waarborgen en voorkomen dat onbevoegde gebruikers toegang hiertoe krijgen.

Ons advies: zorg ervoor dat je jouw basis informatiebeveiliging op orde brengt. Al dan niet in het licht van de op komst zijnde NIS2 wetgeving of een beoogde ISO 27001 certificering. Je data en systemen beveiligingen, met behulp van goede methoden zoals MFA, tegen ongewenste bezoekers is een hygiënefactor waar je anno 2024 niet meer omheen kunt als organisatie. Heb je hierbij hulp nodig of wil je eens sparren over de mogelijkheden? Neem dan gerust contact met ons op. Wij helpen je graag!

Offerte aanvragen

Laurens Hekkink
Laurens Hekkink
Adviseur

Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.

laurens.hekkink@certificeringsadvies.nl

Aan de slag met informatie-beveiliging in je organisatie?

Wij sparren graag met je over de mogelijkheden!

  • Stap voor stap op weg
  • Voldoe aan wetgeving
  • Kan ook i.c.m. ISO 27001

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields