Skip to content

In mijn vorige blog heb ik besproken welke belangrijke vragen je moet stellen bij het opstellen van een Multi-Factor Authentication (MFA) policy. Maar het instellen van de policy is slechts het begin. Het belangrijkste is om scherp te blijven en ervoor te zorgen dat de policy wordt nageleefd en waar nodig wordt bijgewerkt.

Geschreven door: Jacco Wildeman

In principe zou MFA moeten worden ingeschakeld op alle gebruikersaccounts, alle clouddiensten en vanaf alle locaties. Helaas blijkt dit in de praktijk vaak niet het geval te zijn. Er zijn verschillende redenen waarom dit kan gebeuren. Hieronder vind je een aantal voorbeelden:

  • MFA is niet aan alle (benodigde) clouddiensten gekoppeld, maar aan 1 of enkele clouddiensten. Dit zie je vaak terug wanneer er in het verleden bijvoorbeeld is begonnen met een Azure Virtual Desktop, Citrix omgeving of Exchange online omgeving in de cloud. Deze is voorzien van MFA, maar vervolgens zijn alle nieuwe clouddiensten en oplossingen niet meer gekoppeld aan de MFA policy.
  • MFA is niet voor alle gebruikersaccounts geconfigureerd, maar voor een groep met medewerkers die specifiek gebruikmaken van bepaalde clouddiensten, dit is soms ook een groep met alle medewerkers van een organisatie. Probleem hierbij is dat er meerdere gebruikersaccounts zijn, welke hiermee niet voorzien worden van de MFA policy. Admin accounts, service accounts, gast accounts worden hiermee niet voorzien van MFA. Tevens bestaat de kans hiermee dat vergeten wordt nieuwe medewerkers toe te voegen aan de juiste groep, waarmee deze ook geen MFA vereist krijgt.
  • Gast accounts, accounts van klanten of leveranciers, waar bepaalde data mee gedeeld wordt of waaraan specifieke toegang verleend wordt, worden vaak niet voorzien van MFA. Vaak is het idee dat het te ingewikkeld is en dat (met name) klanten hier niet mee lastig gevallen moeten worden. Dit terwijl het om data van jouw organisatie gaat, wat gevoelige data kan zijn. Is het dan niet belangrijk dat de klant aantoont dat hij echt is wie hij zegt dat hij is?
  • Vanaf kantoor hoeft vaak geen MFA gedaan te worden, omdat deze dan als vertrouwde locatie gezien wordt. De vraag die hierbij gesteld kan worden: is dit terecht? Is dit daadwerkelijk een vertrouwde locatie? Het uitgangspunt bij de vertrouwde locatie is vaak dat er alleen maar medewerkers aanwezig zijn op desbetreffende locatie, welke niet lastig gevallen hoeven worden met MFA. Dit kan een uitgangspunt zijn, maar:
      • Weet jij altijd precies wie er aanwezig is binnen het pand? (hoe is de toegangscontrole geregeld, is de receptie continue bemand, moet bezoek ten alle tijden onder begeleiding door het pand begeleid worden?)
      • Mocht iemand het gebouw binnen kunnen komen, kan deze persoon een (kantoor)ruimte binnengaan en daar een netwerkkabel aansluiten op zijn laptop?
      • Kan iemand vanuit de auto op de parkeerplaats (met de nodige moeite) verbinden met de WiFi van jouw kantoorlocatie (waarmee de verbinding gelijk is aan de verbinding binnen de muren van het kantoor)

Dit zijn een aantal voorbeelden waarom in het huidige security landschap uitgegaan wordt van het feit dat trusted locations niet bestaan. Never trust, always verify is één van de kenmerken van Zero Trust.

Ondanks Zero Trust blijft het gevoel bestaan dat medewerkers niet continue om MFA gevraagd hoeft te worden. Hoewel Microsoft hier zelf ook al maatregelen voor neemt, zou hiervoor een compliant apparaat ingezet kunnen worden. Een uitgangspunt hierbij zou kunnen zijn dat wanneer een medewerker inlogt met zijn wachtwoord of PIN (iets dat hij weet), vanaf een door de organisatie beheerd en compliant apparaat, er dan niet om MFA wordt gevraagd. Voldoet het apparaat niet aan de regels, omdat de medewerker bijvoorbeeld de firewall heeft uitgeschakeld, wordt er wel om MFA gevraagd.

Wees gewaarschuwd: MFA is geen garantie

Helaas is het gebruik van MFA geen garantie voor een veilige authenticatie. Men kan middels bepaalde aanvallen een authenticatietoken bemachtigen, dit token bevat de authenticatiegegevens voor iemands sessie. Door gebruik te maken van dit token, kan men inloggen als de gebruiker, waarbij ook het wachtwoord en de MFA token automatisch toegepast worden. Hierbij wordt dus ingelogd zonder om een wachtwoord te vragen, maar ook zonder om MFA te vragen.

Goed om te weten: Microsoft heeft onlangs een nieuwe feature in Preview uitgebracht, welke dit token moet beschermen. Dit heeft momenteel beperkingen, maar het is een zeer welkome stap richting een meer veilige authenticatie.

pic pic

Heb je een vraag?
Onze specialisten hebben een antwoord