Waarom gaat het zo traag met multifactorauthenticatie?
Gepubliceerd op 2024-02-14 door William Visterin
De perikelen onlangs bij hogeschool Vives bevestigen dat multifactorauthenticatie geen overbodige luxe is. Meer zelfs: een noodzaak. Maar toch gaat het traag. Waar wachten we op? “Het is zowel een motivatie- als een capaciteitskwestie.”
Dit artikel verscheen oorspronkelijk in SAI Update 10, het digitaal magazine van SAI. Leden van SAI kunnen het magazine integraal lezen.
Enkele weken geleden lag hogeschool Vives onder het vizier van hackers. Het was geen al te destructieve cyberaanval en ook geen ransomware. Al weken merkte de hogeschool dat cybercriminelen probeerden binnen te raken in hun computersystemen. Begin april probeerden ze de wachtwoorden van het datamanagement van de school over te nemen. Daarop werd beslist het systeem volledig plat te leggen, om erger te voorkomen. Vives kon en kan zijn zowat 17.000 studenten en 1.500 docenten niet via mail bereiken. De hogeschool kon tegen het einde van de paasvakantie, dus een tweetal weken later, zijn systeem weer online krijgen.
MFA als oplossing
Opvallend was dat de Vives-directeur had aangegeven dat zijn specialisten nu ook een multifactorauthenticatie (MFA) installeren, een extra code tijdens het inlogproces, als bijkomende beveiliging. “Wat vandaag nog bijna geen enkele hogeschool doet”, zo klonk het. Bij Vives zouden hackers geprobeerd hebben om binnen te dringen met het wachtwoord van een leerling.
Zwakke wachtwoorden en gebrekkig wachtwoordgebruik zijn een van de belangrijkste oorzaken van inbraken. “Cyberaanvallers richten zich actief op gecompromitteerde wachtwoorden en maken er gebruik van, niet alleen om toegang te krijgen tot systemen, maar ook om stilletjes te opereren en organisaties te verkennen, zodat ze ongemerkt hun doelen kunnen bereiken”, vertelt Lance Spitzner, een senior instructor bij het SANS Institute met meer dan twintig jaar ervaring in cybersecurity. “Zelfs al heb je het langste, veiligste wachtwoord van de wereld, dan nog kunnen cyberaanvallers volledige toegang krijgen tot je account, systeem en gegevens als dat wachtwoord gecompromitteerd wordt.”
Ingeburgerd of niet?
Microsoft schat dat MFA 99 procent van de op authenticatie gebaseerde aanvallen weerstaat. Hoewel MFA dus niet 100 procent waterdicht is, is het zonder twijfel een van de meest effectieve stappen die organisaties kunnen nemen om het risico op inbraak drastisch te verminderen. Op zijn eenvoudigst is MFA een vorm van authenticatie op meerdere niveaus, waarbij iemand zich niet alleen authenticeert met een wachtwoord (iets dat hij kent), maar ook met een soort unieke code of een apparaat (waarover hij beschikt).
Er zijn om te beginnen veel verschillende termen om MFA te beschrijven. Sommige organisaties of verkopers noemen het tweestapsverificatie, tweefactorauthenticatie (2FA), eenmalig wachtwoord (OTP of One Time Password) of sterke authenticatie. “Ze impliceren allemaal hetzelfde: authenticatie waarbij twee of meer vormen van authenticatie nodig zijn. Meestal is het een wachtwoord en nog iets anders, zoals een unieke code die naar je mobiele apparaat wordt gestuurd of door dat apparaat wordt gegenereerd.”
Momenteel is niet duidelijk hoeveel organisaties in België of in Europa MFA gebruiken. “Ik weet eerlijk gezegd niet wat de adoptiegraad van MFA is, die zal zowel per regio als per sector verschillen”, stelt Lance Spitzner. “MFA is echter erkend als een van de meest effectieve middelen om cyberaanvallers te stoppen. Het wordt in snel tempo vereist voor veel normen en voorschriften, zoals de nieuwe PCI-DSS. En het is ook de belangrijkste aanbeveling van verschillende autoriteiten, zoals het CISA in de Verenigde Staten en het NCSC in het Verenigd Koninkrijk. We zullen dus zeker een versnelde adoptie zien, vooral in industrieën die een zeer lage tolerantie voor risico's hebben of die zwaar gereguleerd zijn.”
Hinderpalen
Als (bijna) iedereen overtuigd lijkt van het nut van MFA, waarom gebruikt dan nog niet iedereen het? En wat houdt hen tegen? “Het is zowel een motivatie- als een capaciteitskwestie. Mensen realiseren zich misschien niet hoe kwetsbaar stand-alone wachtwoorden zijn”, stelt Spitzner. “Mogelijk denken ze dat MFA ingewikkeld of moeilijk is. We moeten mensen uitleggen hoe ongelooflijk kwetsbaar hun accounts zijn en hoe slechts één verandering met het inschakelen van MFA een enorm verschil kan maken. Misschien moeten mensen het eerst inschakelen voor hun belangrijkste accounts, van bankrekeningen tot e-mail, en dat dan na verloop van tijd uitbreiden.”
Anderzijds is het natuurlijk een kwestie om de technische noden te voorzien en uit te rollen. Een grote belemmering komt volgens hem ook voort uit de beveiligingsgemeenschap. “We slagen er slecht in om cyberbeveiliging eenvoudig te maken”, vindt hij. “We hebben bijvoorbeeld talloze verschillende termen voor MFA en discussiëren vaak over wat de beste manier is om het te gebruiken. Het is dus belangrijk dat organisaties door de ruis heen prikken en MFA zo eenvoudig mogelijk maken voor hun personeel.”