Thuiswerken is niet meer weg te denken uit de kantoorpraktijk. Daarom zijn veel organisaties overgestapt naar ‘cloud computing’. In de cloud wordt volop gebruik gemaakt van Microsoft 365 (inclusief Teams) waarvoor je een eigen account kunt aanmaken. Het probleem is alleen dat hackers azen op het achterhalen van accountgegevens om op het achterliggende netwerk in te kunnen breken. De kans op datalekkage is daardoor zeker aanwezig. Microsoft geeft aan dat de kans op digitale inbraak met 99% daalt wanneer je multifactor authenticatie gebruikt. Dan zorg je voor een extra beveiligingsschil, naast het inloggen met een gebruikersnaam en een wachtwoord.
‘Maar ik maak gebruik van password change policy waardoor ik regelmatig mijn wachtwoord moet veranderen. Dat is toch veilig genoeg?’ Ik hoor het je bijna zeggen. Maar het antwoord is ‘nee’. Met password change policy word je als gebruiker verplicht om na het verstrijken van een bepaalde periode een nieuw wachtwoord te verzinnen. Alleen kiest het overgrote merendeel van de mensheid dan voor een wachtwoord dat makkelijk onthouden kan worden. Zo eindigden mijn wachtwoorden tot voor kort op 21-01, omdat ik begin januari 2021 de nodige wachtwoorden moest wijzigen. Tja, ik ben ook maar een mens. Overigens heb ik die methodiek en mijn wachtwoorden recentelijk alweer aangepast. Dus hackers, doe geen moeite.
Tip #1: weten en hebben
Maak een combinatie van iets dat je weet met iets dat je hebt. Wat ik daarmee bedoel? Dat je een wachtwoord (iets dat je weet) extra kunt beveiligen door gebruik te maken van je smartphone (iets dat je hebt). Dat kan op verschillende manieren, maar de Authenticator-app van Microsoft is daar ideaal voor. Het enige dat je moet doen, is die app installeren op je smartphone en de instellingen checken. Wanneer je daarna inlogt bij een Office 365 app, verschijnt een prompt op je smartphone en kun je aantonen dat jij echt degene bent die wil inloggen. Via Authenticator kun je ook een code genereren die je na het invullen van je wachtwoord over moet typen. Dat geeft uiteindelijk hetzelfde resultaat. Je laat zien dat jij écht degene bent die het wachtwoord heeft ingevuld.
Aflevering 2
Hacks voorkomen, digitale kroonjuwelen beveiligen
en security verhogen; hoe dan?
In deze aflevering van onze podcastserie ‘Hack van de dam’ praat salesmanager Jasper Glaser met collega en securityspecialist Martijn Scheffel aan de hand van praktische voorbeelden over de noodzaak van structuur in digitale beveiligingsmaatregelen om het cybercriminelen zo lastig mogelijk te maken. De factor ‘mens’ speelt daarin een vooraanstaande rol.
Tip #2: verificatie
Zorg dat je telefoonnummer bij onlinediensten geverifieerd is en je telefoon wordt gezien als een vertrouwd apparaat. Ook via je eigen smartphone (zonder extra app) is het mogelijk om te verifiëren dat jij echt degene bent die toegang wil krijgen tot jouw account. Wanneer je telefoonnummer is geverifieerd, kun je ervoor kiezen dat er een SMS wordt verzonden met een 6-cijferige verificatiecode. Deze code ontvang je nadat je het wachtwoord hebt opgegeven. Je kunt er ook voor kiezen om een automatisch telefoontje te ontvangen. Wanneer je de oproep beantwoordt, druk je op ‘#’ waarmee je aantoont dat jij de persoon bent die wil inloggen. Zo voorkom je ongewenste inlogpogingen van hackers, omdat die nu eenmaal niet over jouw smartphone beschikken.
Advies
MFA-oplossingen heb je in allerlei soorten en maten. Welke oplossing voor jouw organisatie het beste werkt, kunnen we je zonder problemen vertellen wanneer we wat meer gegevens over jouw organisatie hebben. Voor aanvullende informatie over multifactor authenticatie verwijs ik je graag naar deze pagina.
Download ons redpaper
‘Zo’n hack; dat zal mij toch niet gebeuren?’
en geef concreet vorm en inhoud aan cybersecurity in jouw organisatie
