Hoe werkt Multi-Factor Authenticatie?
Meerfactorauthenticatie (MFA) maakt gebruik van meerdere technologieën om de identiteit van een gebruiker te verifiëren. Bij eenfactorauthenticatie (of kortweg "authenticatie") daarentegen wordt één enkele technologie gebruikt om de authenticiteit van de gebruiker aan te tonen. Bij MFA moeten gebruikers verificatietechnologieën van ten minste twee verschillende groepen of verificatiefactoren combineren. Deze factoren vallen in drie categorieën uiteen: iets wat je weet, iets wat je hebt, en iets wat je bent. Daarom zou het gebruik van een PIN-code met een wachtwoord (beide uit de categorie "iets wat je weet") niet als multifactorauthenticatie worden beschouwd, terwijl het gebruik van een PIN-code met gezichtsherkenning (uit de categorie "iets wat je bent") dat wel zou zijn. Merk op dat een wachtwoord niet vereist is om in aanmerking te komen voor MFA. Een MFA-oplossing kan volledig zonder wachtwoord zijn.
Het is ook aanvaardbaar om meer dan twee authenticatiemethoden te gebruiken. De meeste gebruikers willen echter een wrijvingsloze authenticatie (de mogelijkheid om geverifieerd te worden zonder verificatie te hoeven uitvoeren).
Welke authenticatiefactoren worden gebruikt in MFA?
Hieronder volgen de drie hoofdcategorieën:
- Iets wat u weet (kennisfactor)
Dit is meestal een wachtwoord, PIN-code of wachtwoordzin, of een reeks beveiligingsvragen en de bijbehorende antwoorden die alleen de persoon in kwestie kent. Om een kennisfactor voor MFA te gebruiken, moet de eindgebruiker informatie correct invoeren die overeenstemt met gegevens die eerder in de onlinetoepassing waren opgeslagen. - Iets wat je hebt (bezitsfactor)
Vóór smartphones droegen gebruikers tokens of smartcards bij zich die een eenmalig wachtwoord of wachtwoordcode (OTP) genereerden die in de online applicatie kon worden ingevoerd. Tegenwoordig installeren de meeste gebruikers een authenticator-app op hun smartphone om OTP-beveiligingssleutels te genereren. - Iets wat je bent (inherence factor)
Biometrische gegevens over een persoon gaan van vingerafdrukken, netvliesscans, gezichtsherkenning en stemherkenning tot gedragingen (zoals hoe hard of snel de persoon typt of swipet op een scherm).
Om multifactorauthenticatie te bereiken, moeten ten minste twee verschillende technologieën van ten minste twee verschillende technologiegroepen worden gebruikt voor het authenticatieproces. Bijgevolg zou het gebruik van een PIN-code in combinatie met een wachtwoord niet als multifactorauthenticatie worden beschouwd, terwijl het gebruik van een PIN-code met gezichtsherkenning als tweede factor dat wel zou zijn. Het is ook aanvaardbaar om meer dan twee vormen van authenticatie te gebruiken. De meeste gebruikers willen echter steeds vaker een wrijvingsloze authenticatie (de mogelijkheid om geverifieerd te worden zonder verificatie te hoeven uitvoeren)
Wat is het verschil tussen twee-factor en multi-factor authenticatie?
Om als authenticatie met twee factoren (2FA) te worden beschouwd, vereist een oplossing altijd dat de gebruiker twee authenticatiefactoren uit twee verschillende categorieën, zoals een bezitsfactor en een kennisfactor, voorlegt om zijn identiteit te verifiëren. Meerfactorauthenticatie is breder dan tweefactorauthenticatie. Het vereist dat de organisatie twee of meer factoren gebruikt in het authenticatieproces.
Wat zijn de verschillende soorten multifactorauthenticatietechnologieën?
Hieronder volgen gangbare MFA-technologieën:
- Biometrische authenticatie
Biometrische technologieën zijn een vorm van authenticatie waarmee gebruikers via hun mobiele toestellen nauwkeurig en veilig kunnen worden geauthenticeerd. De meest gebruikelijke biometrische modaliteiten zijn vingerafdrukscan en gezichtsherkenning. Biometrische verificatie omvat ook gedragsbiometrie, die een onzichtbare beveiligingslaag vormt door een persoon voortdurend te verifiëren op basis van de unieke manier waarop hij met zijn computer of mobiele apparaat omgaat: toetsaanslagen, veegpatroon, muisbewegingen, enzovoort. - Hardware tokens
Hardware authenticators zijn kleine, gebruiksvriendelijke apparaatjes die een eigenaar bij zich draagt om toegang te verlenen tot een netwerkdienst. Door sterke authenticatie met one-time passcodes (OTP's) te ondersteunen, bieden de fysieke tokens een bezitsfactor voor multi-factor authenticatie terwijl ze verbeterde beveiliging mogelijk maken voor banken en applicatie-aanbieders die meerdere applicaties met één enkel apparaat moeten beveiligen. - Mobiele authenticatie
Mobiele authenticatie is het proces waarbij een gebruiker wordt geverifieerd via zijn Android- of iOS-apparaat of waarbij het apparaat zelf wordt geverifieerd. Met deze technologie kunnen gebruikers inloggen op beveiligde locaties en overal toegang krijgen tot bronnen met verbeterde beveiliging. - Out-of-band authenticatie
Dit authenticatietype vereist een secundaire verificatiemethode via een afzonderlijk communicatiekanaal, doorgaans de internetverbinding van de persoon en het draadloze netwerk waarop zijn mobiele telefoon werkt. Dit zijn voorbeelden van "out-of-band"-technologieën:- Cronto® code
Deze QR-achtige code in kleur kan een financiële transactie authentiseren of autoriseren. De persoon ziet deze QR-achtige code in kleur afgebeeld via zijn webbrowser. Alleen het geregistreerde apparaat van de betrokkene kan de code lezen en ontcijferen. Het bevat transactiegegevens die de gebruiker kan verifiëren alvorens de transactie te voltooien, wat het zeer veilig maakt. - Push-notificatie
Push-notificaties leveren een authenticatiecode of eenmalige toegangscode af op het mobiele apparaat van de gebruiker. In tegenstelling tot een SMS-bericht verschijnt de melding op het vergrendelscherm van het toestel. - SMS-bericht of spraakbericht
Eenmalige wachtwoordcodes worden via een SMS-bericht of een spraakbericht afgeleverd op het mobiele apparaat van de gebruiker. - Soft token
Software-authenticators of "app-based tokens" genereren een eenmalige inlog-PIN. Vaak worden deze softwaretokens gebruikt voor MFA-gebruiksgevallen waarbij het apparaat van de gebruiker - in dit geval een smartphone - de bezitsfactor levert.
- Cronto® code
Waarom hebben organisaties multi-factor authenticatie nodig?
Accountovernamefraude (ATO) is een toenemende bedreiging voor cyberbeveiliging, aangewakkerd door geraffineerde social engineering (d.w.z. phishingaanvallen), mobiele malware en andere aanvallen. Goed ontworpen en geïmplementeerde MFA-methoden zijn betrouwbaarder en doeltreffender tegen geavanceerde aanvallen dan verouderde single-factor gebruikersnaam/wachtwoord authenticatie, die gemakkelijk door cybercriminelen kan worden gecompromitteerd met behulp van algemeen beschikbare hacking tools.
Wat zijn de belangrijkste voordelen van MFB?
Als onderdeel van hun beveiligingsstrategie, gebruiken organisaties MFA om:
-
Verbeterde beveiliging
Meerfactorauthenticatie biedt meer beveiliging dan statische wachtwoorden en single-factorauthenticatieprocessen. -
Naleving van regelgeving
Multi-factor authenticatie kan organisaties helpen bij de naleving van hun branchevoorschriften. MFA is bijvoorbeeld nodig om te voldoen aan de sterke authenticatievereiste van PSD2 voor Strong Customer Authentication (SCA). -
Verbeterde gebruikerservaring
De afhankelijkheid van wachtwoorden wegnemen kan de klantenervaring verbeteren. Door zich te concentreren op authenticatie-uitdagingen die weinig wrijving veroorzaken, kunnen organisaties de veiligheid verhogen en de gebruikerservaring verbeteren.
Hoe heeft cloud computing een impact op MFB?
Banken, financiële instellingen en andere organisaties in de financiële dienstverlening beginnen over te stappen van intern gehoste applicaties naar cloud-gebaseerde software-as-a-service (SaaS) applicaties, zoals Office 365, Salesforce, Slack, en OneSpan Sign. Als gevolg daarvan neemt de hoeveelheid gevoelige gegevens en bestanden die in de cloud worden gehost toe, waardoor het risico op een datalek van gecompromitteerde persoonlijke informatie (PII) toeneemt en accountovername in de hand wordt gewerkt. Het veiligheidsrisico wordt nog groter doordat gebruikers van SaaS-apps zich overal kunnen bevinden, niet alleen binnen bedrijfsnetwerken. De extra beveiligingslagen die MFA biedt ten opzichte van eenvoudige wachtwoordbeveiliging kunnen helpen deze risico's tegen te gaan. Naast kennis-, bezits- en inherence-factoren gebruiken sommige MFA-technologieën locatiefactoren, zoals MAC-adressen (media access control) voor apparaten, om ervoor te zorgen dat de bron alleen toegankelijk is vanaf gespecificeerde apparaten.
Een andere manier waarop de cloud van invloed is op MFA is via cloudhosting van MFA-oplossingen, die doorgaans kosteneffectiever te implementeren, minder complex te beheren en flexibeler zijn dan on-premise oplossingen. Cloud-gebaseerde producten kunnen meer opties bieden die gericht zijn op mobiele gebruikers, zoals mobiele authenticatie-apps, push-notificaties, contextanalyse zoals geolocatie, en biometrie.
Hoe kunnen banken aan de slag met multifactorauthenticatie?
OneSpan's multi-factor authenticatie oplossingen zijn vanaf de basis ontworpen om rekeningen en transacties te beveiligen door meerdere authenticatiefactoren te bieden en tegelijkertijd te voldoen aan de vraag naar een eenvoudig aanmeldproces. OneSpan heeft veel tijd en middelen geïnvesteerd om gebruiksvriendelijke, schaalbare en betrouwbare oplossingen te creëren die sterke authenticatie bieden met behulp van een reeks eenvoudige verificatieopties - zoals QR-codes in kleur en Bluetooth. Deze omvatten:
- Verificatie van software
- Mobiele authenticators
- SMS levering
- Hardware-authenticatie
- USB-authenticators
- Smart kaart lezers
- Biometrische verificatie
- Pushmeldingen
- Cronto
Waarom zouden consumenten van financiële diensten MFA moeten gebruiken?
Consumenten moeten MFA gebruiken telkens wanneer zij toegang hebben tot gevoelige gegevens. Een goed voorbeeld is het gebruik van een geldautomaat om toegang te krijgen tot een bankrekening. De rekeninghouder gebruikt MFA door iets wat hij weet (de PIN-code) te combineren met iets wat hij heeft (de pinpas). Op dezelfde manier gebruiken consumenten MFA bij het inloggen op een Facebook-, Google- of Microsoft-account vanaf een nieuwe locatie of een nieuw apparaat door iets in te voeren dat ze kennen (het wachtwoord) en een tweede factor, iets dat ze hebben (de mobiele app die de push- of sms-kennisgeving ontvangt).