Wat betekent deze maatregel voor mijn organisatie?
Microsoft voert deze nieuwe maatregel in om gebruikers beter te beschermen tegen online bedreigingen. Een wachtwoord alleen is tegenwoordig niet meer genoeg. Daarom wordt het essentieel om vóór 15 oktober MFA in te stellen voor alle beheerders- en noodaccounts binnen je organisatie. Doe je dit niet, dan heb je na deze datum misschien geen toegang meer tot jouw kritieke systemen.
Voor organisaties die hun portalen benaderen via een API, verandert er voorlopig nog niets. De beveiligingsmaatregelen voor deze methode worden op een later moment verder uitgebreid.
Vergeet noodaccounts niet
Veel IT-beheerders hebben al MFA ingesteld op hun beheerdersaccounts. Maar noodaccounts blijven vaak achter. Dat is ook niet zo vreemd. Het is namelijk behoorlijk onhandig om met meerdere IT-beheerders tweestapsverificatie via één smartphone of tablet te regelen. Wat als een collega het apparaat heeft meegenomen? Of als het kapot is of ergens ligt waar je geen toegang tot hebt? Dan kan je niet bij het noodaccount. En dat kan weer voor grote problemen zorgen. Toch ontkom je er niet aan om MFA ook voor jouw noodaccounts in te stellen.
Wat is ook alweer een noodaccount?
Een noodaccount, ook wel bekend als een breakglass-account, is een speciaal account dat beheerders toegang geeft tot systemen in noodgevallen. Bijvoorbeeld wanneer beheerders zichzelf hebben uitgesloten of als reguliere toegangsmethoden niet meer werken. Je kunt het zien als een slapend account dat alleen wordt geactiveerd in geval van nood.
Wat kun je nu alvast doen?
Wanneer je jouw noodaccounts nog niet hebt voorzien van MFA, is het verstandig om alvast na te denken over hoe je dit wilt inrichten. Inmiddels weten we dat MFA door middel van een sms of e-mail makkelijk te vervalsen is. Voor een noodaccount, dat beschikt over de hoogste bevoegdheid, is dit wat ons betreft geen optie. Ook de Microsoft Authenticator-app heeft zijn beperkingen, vooral als je meerdere beheerders hebt die toegang moeten hebben tot hetzelfde account. Maar wat is dan wel de beste manier om je noodaccounts te beschermen? Bruis raadt twee praktische oplossingen aan:
- Het gebruik van een FIDO2-sleutel
Een FIDO2-sleutel kun je zien als een soort pasje die een code onthoudt. Tijdens het inloggen gebruik je, naast je gebruikersnaam en wachtwoord, deze sleutel als tweede verificatiestap. Door de FIDO2-sleutel in je computer te steken, krijg je toegang tot het systeem via bijvoorbeeld een pincode of vingerafdruk. Je bewaart deze sleutel in een kluis en haalt hem eruit bij noodgevallen. Het nadeel van deze methode is dat je niet bij de sleutel kunt wanneer je vanuit huis of op een andere locatie werkt.
- Het gebruik van Time-based One Time Password (TOTP) met wachtwoordkluis
Een TOTP genereert iedere 30-60 seconden een unieke code, vergelijkbaar met de werking van een authenticator app. Het verschil is dat de code niet op één smartphone verschijnt, maar in een wachtwoordkluis zoals Lastpass. In een andere wachtwoordkluis, sla je de gebruikersnaam en het wachtwoord van het noodaccount op. Beide kluizen deel je met alle IT-beheerders binnen de organisatie, zodat zij altijd toegang hebben tot de code en inloggegevens van het noodaccount.
Bij deze methode is het aan te raden om twee verschillende wachtwoordkluizen te nemen, merk A en merk B. Mocht een wachtwoordkluis, op wat voor manier dan ook, toch gehackt worden, dan heeft de hacker nog steeds geen toegang tot het noodaccount.
Natuurlijk zijn er nog veel meer manieren om jouw gegevens met MFA te beveiligen. Er bestaan ook vergaande methodes die vooral interessant zijn voor grote organisaties met veel gevoelige data. Bij Bruis geloven we dat IT zo eenvoudig en toegankelijk mogelijk moet zijn. De twee methodes die we hier voorstellen, bieden een praktische en gebruiksvriendelijke manier om MFA in te zetten binnen het midden- en kleinbedrijf.
Onderneem actie vóór 15 oktober
Voor IT-beheerders is er dus werk aan de winkel. De nieuwe maatregel van Microsoft is goed te doen, maar de impact is hoog als je geen actie onderneemt. Wacht daarom vooral niet te lang met het invoeren van MFA, zodat je ook na 15 oktober je werk kunt blijven doen.
Heb je vragen over de bescherming van jouw accounts? Of wil je als zorgaanbieder, stichting of goed doel graag hulp bij het activeren van een MFA? Bij Bruis helpen we je graag verder. Neem gerust contact met ons op, dan kijken we samen naar de mogelijkheden.
