Wachtwoordloos is veiliger
Online criminaliteit neemt een grote vlucht, en het stelen van wachtwoorden met phishingmails is een bijzonder doeltreffend wapen. Inloggen met Multi Factor-Authenticatie (MFA) maakt dat je hier beter tegen beschermd bent. Maar inmiddels kan het veiliger en makkelijker. We vertellen je over de noodzaak van Phishing-bestendige MFA, hoe je gaat werken met passkeys, en hoe dit het inloggen binnen jouw organisatie veel veiliger en makkelijker kan maken.
MFA was een belangrijke stap
Inloggen met Multi Factor-Authenticatie (MFA) is gelukkig heel gewoon aan het worden. Je voert online je gegevens in, en voor je verder kunt moet je een extra stap uitvoeren op je telefoon. Dat is veel veiliger dan alleen een inlognaam en wachtwoord.
Want een wachtwoord is door criminelen relatief makkelijk te stelen. Ze sturen een phishingmail waardoor je onnadenkend je gegevens op een valse website invoert. Of ze laten een computer net zo lang raden tot het juiste wachtwoord is gevonden. En regelmatig worden bij grote hacks complete databases met wachtwoorden gestolen bij online bedrijven.
MFA voegt een extra stap toe via iets wat alleen jij hebt. Jouw telefoon hebben de criminelen niet in handen, dus ook niet de code die jouw authenticator-app genereert.
Maar… criminelen hebben ook niet stilgezeten.
Standaard MFA-beveiliging doorbroken
Jouw bedrijfsgegevens zijn voor criminelen goud waard, om wat jij zelf te bieden hebt, of als tussenstap naar je klanten en leveranciers. Waar MFA tot nu toe een belangrijke beveiligingsmuur opwierp, weten ze die muur nu handig te omzeilen.
Ze zetten daarvoor een nepwebsite tussen jou en de site waarop je wilt inloggen, en voeren dan zelf jouw authenticatiegegevens in op de echte website. Een vorm van MFA-phishing dus.
Wat kun je doen om toch zeker te weten dat je veilig inlogt?
Phishing-Resistant MFA
Het tussenstapje waarbij je de code uit je authenticator-app invoert, is de grote kwetsbaarheid, omdat criminelen die code inmiddels weten af te vangen. Voor de veiligheid is het dus belangrijk dat die tussenstap verandert, of verdwijnt.
Die puzzel is nu gelukkig opgelost. Als je online bankiert, of de DigiD-app gebruikt, heb je al gezien hoe het werkt. Deze techniek is nu ook naadloos geïntegreerd in Microsoft 365, en gewoon beschikbaar in je Microsoft Authenticator-app.
Jouw apparaat uniek maken
Om een verbinding te leggen die niet te kraken is, moet je zorgen dat jouw telefoon een passkey bevat om bij die specifieke dienst te kunnen inloggen.
Een passkey kun je zien als een digitale sleutel die werkt op een uniek slot dat alleen jij kunt openen. In plaats van dat je een wachtwoord (de “code” van het slot) moet onthouden en invoeren, draag je de sleutel altijd bij je, bijvoorbeeld op je telefoon of computer. Wanneer je toegang wilt, controleert het slot (de online dienst) automatisch of jouw sleutel past – dit kan bijvoorbeeld met gezichtsherkenning, vingerafdruk, of een pincode.
Net als een sleutel voor je huis hoef je de deurcode niet te onthouden: het werkt direct, maar alleen voor jou. En als iemand anders een sleutel probeert na te maken, merkt het digitale slot dat deze niet klopt.
En als je wilt inloggen, krijg je op het scherm een steeds wisselende QR-code te zien die het slot representeert. Door die code te scannen binnen Microsoft Authenticator krijg je, nadat je je met gezichtsherkenning of jouw vingerafdruk hebt geïdentificeerd, toegang tot de online diensten van Microsoft.
Deze vorm van inloggen maakt wachtwoorden zelfs overbodig. Lijkt je dat niet handig?
Geen wachtwoord meer nodig
Om je laptop te gebruiken, maak je waarschijnlijk tot nu toe gebruik van een wachtwoord. Dat moet je eens in de zoveel tijd van je beheerder aanpassen. En het moet niet makkelijk te raden zijn. (Al veranderen de meeste mensen gewoon het getal voor het uitroepteken waarop hun wachtwoord eindigt…)
Ook dit kan veiliger en makkelijker. Daarvoor gebruik je Windows Hello for Business. Dankzij Windows Hello for Business kun je op je Windows-apparaat inloggen zonder wachtwoord, met een pincode of je biometrische gegevens.
Bovendien wordt dankzij Windows Hello, zodra je je op deze manier hebt geauthenticeerd, de TPM-chip op jouw laptop ontgrendeld, en heb je rechtstreeks toegang tot je beveiligde Windows diensten. De dienst herkent je dus zodra je aanklopt.
Dit betekent dat je geen wachtwoord meer nodig zult hebben. Je kunt het niet lekken, niet vergeten, en bent ook af van die lastige maandelijkse wachtwoordwijziging.
Zo activeer je Windows Hello en passkeys
Stap over naar wachtwoordloos en phishing resistant werken. Dat is een grote stap in de veiligheid van je bedrijf. En het bespaart zowel je systeembeheerder als je medewerker het gedoe met vergeten wachtwoorden.
1. Vraag je beheerder (die zal er blij mee zijn!) om in het Admin Center van Microsoft voor iedere medewerker Windows Hello for Business in te schakelen. De medewerker krijgt na het inloggen een melding dat Windows Hello ingesteld moet worden. Vanaf dat moment is het wachtwoord niet meer nodig en kunnen ze inloggen met biometrische gegevens of een pincode. Ze kunnen hun wachtwoord vergeten!
2. Vraag aan de medewerkers om op hun telefoon de Microsoft Authenticator app te installeren of aan te passen. Bij nieuwe installatie krijgen ze een tijdelijk wachtwoord, dat bij het eerste openen van de Authenticator App direct vervangen wordt door de passkey. Hebben ze Microsoft Authenticator al op hun toestel staan, kunnen de medewerkers in een paar stappen de passkey eenvoudig activeren.
3. Wil je kunnen afdwingen dat medewerkers alleen nog met passkeys kunnen inloggen, gebruik dan Conditional Access binnen Microsoft 365 Business Premium.
Tips en ideeën nodig? Neem snel contact op met je technisch consultant van Brisk ICT, en begin deze week nog met wachtwoordloos werken in jouw organisatie.
