Wachtwoorden, tweefactor, multifactor | Dataplus

Actualiteit

UWV krijgt sanctie van AP opgelegd vanwege ontbrekende meerfactor

De Autoriteit Persoonsgegevens (AP) dreigt het UWV te beboeten als de beveiliging van het werkgeversportaal onder de maat blijft. Het gaat om een dwangsom van 150.000 euro per maand, die kan oplopen tot 900.000 euro. Op uiterlijk 31 oktober 2019 moet het UWV het beveiligingsniveau van dit portaal op orde hebben. Als dat niet gebeurt, moet het UWV beginnen met het betalen van boetes.

Het werkgeversportaal wordt door werkgevers en arbodiensten onder meer gebruikt voor het invoeren en inzien van gegevens over ziekteverzuim van werknemers. Rond de verwerking van dergelijke privégegevens gelden strenge regels. Zo wil de AP dat voortaan ingelogd wordt met minimaal een dubbele authenticatie.

Een organisatie die persoonsgegevens verwerkt, moet passende maatregelen nemen om deze goed te beveiligen. Aan de beveiliging van gezondheidsgegevens die online worden verwerkt worden extra hoge eisen gesteld. De verwerking van gezondheidsgegevens via internet mag alleen met behulp van (minimaal) meerfactorauthenticatie.

Volgens het UWV is het vanaf 1 november 2018 al mogelijk om met eHerkenning in te loggen op het werkgeversportaal, of in ieder geval ergens in het vierde kwartaal van dit jaar. De datum van 1 november 2019, die in de last on de dwangsom wordt genoemd, komt uit een brief uit 2015. Na 1 november 2019 is er voor partijen geen mogelijkheid meer om op zonder eHerkenning nog in te loggen op het portaal.

Advies NSCS: Maak zoveel mogelijk gebruik van tweefactor

Het Nationaal Cyber Security Centrum (NCSC) adviseert gebruikers zoveel mogelijk gebruik te maken van tweefactorauthentificatie. Daarnaast adviseert het centrum bedrijven medewerkers en klanten niet langer te verplichten periodiek hun wachtwoord te wijzigen, maar deze maatregelen te vervangen door vervangende maatregelen.Het NCSC raadt aan om te overwegen om een wachtwoordmanager te gebruiken voor het beheer van wachtwoorden. U bepaalt zelf of u voor een online of offline wachtwoordmanager kiest.

Als u kiest om geen wachtwoordmanager te gebruiken, raadt het NCSC aan om accounts in te delen in categorieën op basis van risico’s die misbruikt van accounts met zich meebrengen. Het NCSC adviseert om sterke wachtwoorden te gebruiken en het herhalen van wachtwoorden voor verschillende accounts te voorkomen.

Wat is Two-factor authenticatie?

Two Factor Authenticatie is het inloggen met iets wat u weet (een wachtwoord/pincode) (factor 1) gecombineerd met een verificatie via iets wat u heeft (sms/e-mail/random reader/usb-stick) (factor 2)

Geheime vragen zijn een minder veilige tweede factor. Vaak gaat dit om informatie die ook te vinden is online of samen te stellen uit meerdere bronnen. Naam van een huisdier is niet zo lastig om te achterhalen.

Authenticatie via SMS of kastje van de bank (Random Reader e.d.) wordt geleidelijk aan ook verleden tijd. Een SMS-bericht kan tenslotte onderschept worden. En een kastje van de bank biedt eigenlijk niet meer bescherming dan verificatie via de telefoon.

Voor nóg veiligere authenticatie is er Multi-Factor Authenticatie. De extra factor die wordt toegevoegd is iets wat u bent (een vingerafdrukscan/irisscan of stemherkenning)

 

Factor 1

Iets wat u weet

  • Wachtwoord
  • Pincode
  • Handtekening
  • Keystroke?
  • Antwoord op geheime vraag?

Factor 2

Iets wat u heeft

  • Sms-bevestiging
  • USB-stick
  • QR-code
  • Random reader/scanner banken
  • E-mail bevestiging

Factor 3

Iets wat u bent

  • Vingerafdruk
  • Iris-scan
  • Stemherkenning
  • Gezichtsherkenning

"2FA or not 2FA, that is the question"

Voor welke diensten is tweefactor (2FA) of multifactor (MFA) belangrijk?

  • Het liefst voor alle diensten
  • Internetbankieren
  • E-mail
  • Cloudopslag
  • Social media
  • Webshops
  • Productiviteitsapps (bijv To-do lists van een CEO…)
  • Passwordmanagers
  • Wifi-password

Wachtwoordbeleid

Periodiek veranderen: ja of nee?

Veel bedrijven forceren gebruikers om regelmatig hun wachtwoord te veranderen. Dat heeft positieve kanten, mocht een wachtwoord zijn uitgelekt is de kans klein dat deze nog gebruikt kan worden

Maar het tegenovergestelde is ook waar. Zo raadt het Nationaal Cyber Security Centrum af om wachtwoorden periodiek te vervangen. Door gebruikers regelmatig te dwingen hun wachtwoord te veranderen wordt het voor de gebruik steeds moeilijker om een wachtwoord te onthouden. Daarmee wordt de kans groter dat het wachtwoord simpel en kort gehouden wordt, zodat het makkelijk te onthouden is. Of erger nog, de wachtwoorden worden ergens opgeschreven. Bijvoorbeeld een post-it bij het scherm. Dat is een veiligheidsrisico.

Als een wachtwoord veilig genoeg is en er met meerdere factoren wordt ingelogd is het niet zo erg als het wachtwoord lang hetzelfde blijft.

Wordt er geen gebruik gemaakt van tweefactor? Dan is regelmatig wijzigen toch het devies.

Houd wachtwoorden persoonlijk

Een behoorlijke open deur. Zoals eigenlijk wel vaker in de cybersecurity. Een wachtwoord is persoonlijk. Net zoals bij een pincode.

Wachtwoord vergeten?

Ook belangrijk is het omgaan met vergeten wachtwoorden. Het is onwenselijk dat een systeembeheerder regelmatig een wachtwoord moet veranderen of moet ondersteunen. Door een zelfservice reset password -pagina in te richten met tweefactor authenticatie. Dat scheelt tijd en moeite voor de gebruiker en de beheerder.

Veilig, maar ook makkelijk

Wachtwoorden moeten naast veilig ook gemakkelijk zijn. U heeft vast wel eens een wifi-password tevergeefs proberen in te voeren dat bestaat uit kleine letters, grote letters en cijfers. Een typfoutje is zo gemaakt bij een wachtwoord als ‘fhuAHasfu214ash1shauoO0’

Monitoring en logging

Aanbieders van internetdiensten en werkgevers kunnen als aanvullende maatregel monitoring en logging toepassen om zo onverwacht gebruik te detecteren. Ook kunnen gebruikers worden gewaarschuwd wanneer er een succesvolle of mislukte poging tot inloggen heeft plaatsgevonden. De gebruiker kan er op reageren en eventueel maatregelen nemen, zoals het beëindigen van alle inlogsessies en het wijzigen van het wachtwoord.

Password manager

Om het inloggen op meerdere sites gemakkelijker te maken bestaan er diverse oplossingen. Een password manager kan helpen het proces gemakkelijker en sneller te maken. De veiligheid van dit systeem hangt dan af van een ‘master password’ in combinatie met andere factoren. Het kiezen van de juiste wachtwoordmanager is erg belangrijk. Stel dat die password manager zelf niet goed beveiligd is? Dan is uw beveiliging helemaal gecompromitteerd.

Op dit moment loopt er een actie op de wachtwoordmanager Vaulteq.

Lees meer

Waaruit bestaat een goed wachtwoord?

  1. Minimaal twaalf tekens. Liefst meer.
  2. Hoofdletters
  3. Kleine letters
  4. Cijfers
  5. Symbolen
  6. Geen overenkomst met voor/achter/gebruikersnaam
  7. Minimaal 1 dag geldig
  8. Geen eerder gebruikte wachtwoorden
  9. Niet dezelfde tekens achter elkaar
  10. Niet opeenvolgende wachtwoorden (qwerty1, qwerty2 etc..)

Test uw beveiliging

Wilt u weten hoe goed uw wachtwoordbeleid is? Met een penetratietest wordt gekeken of uw organisatie gemakkelijk digitaal binnen te dringen is. Zo weet u wat uw zwakste schakels zijn. Met een public scan wordt uw digitale omgeving gescand op bestanden die onbeveiligd online staan. Ook is het mogelijk om een deepwebscan te doen. Dataplus scant dan voor u het minder zichtbare deel van het web op verloren wachtwoorden of gegevens. Zo weet u of uw wachtwoorden of gegevens uitgelekt zijn

Advies

Nadat u een beeld heeft gevormd van uw veiligheid, is het tijd om actie te nemen. Dataplus adviseert u graag over cybersecurity.

TelefonischE-mailAfspraak op kantoor

nl_NLNederlands
en_USEnglish nl_NLNederlands