Wat is Multi-Factor Authenticatie (MFA)?

Meerfactorauthenticatie (MFA) is een onderdeel van toegangsbeheer dat vereist dat gebruikers hun identiteit bewijzen met ten minste twee verschillende verificatiefactoren voordat zij toegang krijgen tot een website, mobiele applicatie of andere onlinebron. Met MFA moet een aanvaller, als één factor wordt gecompromitteerd, nog minstens één barrière doorbreken voordat hij toegang kan krijgen tot de account van het doelwit.

Hoe werkt Multi-Factor Authenticatie?

Meerfactorauthenticatie (MFA) maakt gebruik van meerdere technologieën om de identiteit van een gebruiker te verifiëren. Bij eenfactorauthenticatie (of kortweg "authenticatie") daarentegen wordt één enkele technologie gebruikt om de authenticiteit van de gebruiker aan te tonen. Bij MFA moeten gebruikers verificatietechnologieën van ten minste twee verschillende groepen of verificatiefactoren combineren. Deze factoren vallen in drie categorieën uiteen: iets wat je weet, iets wat je hebt, en iets wat je bent. Daarom zou het gebruik van een PIN-code met een wachtwoord (beide uit de categorie "iets wat je weet") niet als multifactorauthenticatie worden beschouwd, terwijl het gebruik van een PIN-code met gezichtsherkenning (uit de categorie "iets wat je bent") dat wel zou zijn. Merk op dat een wachtwoord niet vereist is om in aanmerking te komen voor MFA. Een MFA-oplossing kan volledig zonder wachtwoord zijn.

Het is ook aanvaardbaar om meer dan twee authenticatiemethoden te gebruiken. De meeste gebruikers willen echter een wrijvingsloze authenticatie (de mogelijkheid om geverifieerd te worden zonder verificatie te hoeven uitvoeren).

Welke authenticatiefactoren worden gebruikt in MFA?

Hieronder volgen de drie hoofdcategorieën:

  • Iets wat u weet (kennisfactor)
    Dit is meestal een wachtwoord, PIN-code of wachtwoordzin, of een reeks beveiligingsvragen en de bijbehorende antwoorden die alleen de persoon in kwestie kent. Om een kennisfactor voor MFA te gebruiken, moet de eindgebruiker informatie correct invoeren die overeenstemt met gegevens die eerder in de onlinetoepassing waren opgeslagen.
  • Iets wat je hebt (bezitsfactor)
    Vóór smartphones droegen gebruikers tokens of smartcards bij zich die een eenmalig wachtwoord of wachtwoordcode (OTP) genereerden die in de online applicatie kon worden ingevoerd. Tegenwoordig installeren de meeste gebruikers een authenticator-app op hun smartphone om OTP-beveiligingssleutels te genereren.
  • Iets wat je bent (inherence factor)
    Biometrische gegevens over een persoon gaan van vingerafdrukken, netvliesscans, gezichtsherkenning en stemherkenning tot gedragingen (zoals hoe hard of snel de persoon typt of swipet op een scherm).

Om multifactorauthenticatie te bereiken, moeten ten minste twee verschillende technologieën van ten minste twee verschillende technologiegroepen worden gebruikt voor het authenticatieproces. Bijgevolg zou het gebruik van een PIN-code in combinatie met een wachtwoord niet als multifactorauthenticatie worden beschouwd, terwijl het gebruik van een PIN-code met gezichtsherkenning als tweede factor dat wel zou zijn. Het is ook aanvaardbaar om meer dan twee vormen van authenticatie te gebruiken. De meeste gebruikers willen echter steeds vaker een wrijvingsloze authenticatie (de mogelijkheid om geverifieerd te worden zonder verificatie te hoeven uitvoeren)

Wat is het verschil tussen twee-factor en multi-factor authenticatie?

Om als authenticatie met twee factoren (2FA) te worden beschouwd, vereist een oplossing altijd dat de gebruiker twee authenticatiefactoren uit twee verschillende categorieën, zoals een bezitsfactor en een kennisfactor, voorlegt om zijn identiteit te verifiëren. Meerfactorauthenticatie is breder dan tweefactorauthenticatie. Het vereist dat de organisatie twee of meer factoren gebruikt in het authenticatieproces.

Wat zijn de verschillende soorten multifactorauthenticatietechnologieën?

Hieronder volgen gangbare MFA-technologieën:

  • Biometrische authenticatie
    Biometrische technologieën zijn een vorm van authenticatie waarmee gebruikers via hun mobiele toestellen nauwkeurig en veilig kunnen worden geauthenticeerd. De meest gebruikelijke biometrische modaliteiten zijn vingerafdrukscan en gezichtsherkenning. Biometrische verificatie omvat ook gedragsbiometrie, die een onzichtbare beveiligingslaag vormt door een persoon voortdurend te verifiëren op basis van de unieke manier waarop hij met zijn computer of mobiele apparaat omgaat: toetsaanslagen, veegpatroon, muisbewegingen, enzovoort.
  • Hardware tokens
    Hardware authenticators zijn kleine, gebruiksvriendelijke apparaatjes die een eigenaar bij zich draagt om toegang te verlenen tot een netwerkdienst. Door sterke authenticatie met one-time passcodes (OTP's) te ondersteunen, bieden de fysieke tokens een bezitsfactor voor multi-factor authenticatie terwijl ze verbeterde beveiliging mogelijk maken voor banken en applicatie-aanbieders die meerdere applicaties met één enkel apparaat moeten beveiligen.
  • Mobiele authenticatie
    Mobiele authenticatie is het proces waarbij een gebruiker wordt geverifieerd via zijn Android- of iOS-apparaat of waarbij het apparaat zelf wordt geverifieerd. Met deze technologie kunnen gebruikers inloggen op beveiligde locaties en overal toegang krijgen tot bronnen met verbeterde beveiliging.
  • Out-of-band authenticatie
    Dit authenticatietype vereist een secundaire verificatiemethode via een afzonderlijk communicatiekanaal, doorgaans de internetverbinding van de persoon en het draadloze netwerk waarop zijn mobiele telefoon werkt. Dit zijn voorbeelden van "out-of-band"-technologieën:
    • Cronto® code
      Deze QR-achtige code in kleur kan een financiële transactie authentiseren of autoriseren. De persoon ziet deze QR-achtige code in kleur afgebeeld via zijn webbrowser. Alleen het geregistreerde apparaat van de betrokkene kan de code lezen en ontcijferen. Het bevat transactiegegevens die de gebruiker kan verifiëren alvorens de transactie te voltooien, wat het zeer veilig maakt.
    • Push-notificatie
      Push-notificaties leveren een authenticatiecode of eenmalige toegangscode af op het mobiele apparaat van de gebruiker. In tegenstelling tot een SMS-bericht verschijnt de melding op het vergrendelscherm van het toestel.
    • SMS-bericht of spraakbericht
      Eenmalige wachtwoordcodes worden via een SMS-bericht of een spraakbericht afgeleverd op het mobiele apparaat van de gebruiker.
    • Soft token
      Software-authenticators of "app-based tokens" genereren een eenmalige inlog-PIN. Vaak worden deze softwaretokens gebruikt voor MFA-gebruiksgevallen waarbij het apparaat van de gebruiker - in dit geval een smartphone - de bezitsfactor levert.

Waarom hebben organisaties multi-factor authenticatie nodig?

Accountovernamefraude (ATO) is een toenemende bedreiging voor cyberbeveiliging, aangewakkerd door geraffineerde social engineering (d.w.z. phishingaanvallen), mobiele malware en andere aanvallen. Goed ontworpen en geïmplementeerde MFA-methoden zijn betrouwbaarder en doeltreffender tegen geavanceerde aanvallen dan verouderde single-factor gebruikersnaam/wachtwoord authenticatie, die gemakkelijk door cybercriminelen kan worden gecompromitteerd met behulp van algemeen beschikbare hacking tools.

Wat zijn de belangrijkste voordelen van MFB?

Als onderdeel van hun beveiligingsstrategie, gebruiken organisaties MFA om:

  • Verbeterde beveiliging
    Meerfactorauthenticatie biedt meer beveiliging dan statische wachtwoorden en single-factorauthenticatieprocessen.

  • Naleving van regelgeving
    Multi-factor authenticatie kan organisaties helpen bij de naleving van hun branchevoorschriften. MFA is bijvoorbeeld nodig om te voldoen aan de sterke authenticatievereiste van PSD2 voor Strong Customer Authentication (SCA).

  • Verbeterde gebruikerservaring
    De afhankelijkheid van wachtwoorden wegnemen kan de klantenervaring verbeteren. Door zich te concentreren op authenticatie-uitdagingen die weinig wrijving veroorzaken, kunnen organisaties de veiligheid verhogen en de gebruikerservaring verbeteren.

Hoe heeft cloud computing een impact op MFB?

Banken, financiële instellingen en andere organisaties in de financiële dienstverlening beginnen over te stappen van intern gehoste applicaties naar cloud-gebaseerde software-as-a-service (SaaS) applicaties, zoals Office 365, Salesforce, Slack, en OneSpan Sign. Als gevolg daarvan neemt de hoeveelheid gevoelige gegevens en bestanden die in de cloud worden gehost toe, waardoor het risico op een datalek van gecompromitteerde persoonlijke informatie (PII) toeneemt en accountovername in de hand wordt gewerkt. Het veiligheidsrisico wordt nog groter doordat gebruikers van SaaS-apps zich overal kunnen bevinden, niet alleen binnen bedrijfsnetwerken. De extra beveiligingslagen die MFA biedt ten opzichte van eenvoudige wachtwoordbeveiliging kunnen helpen deze risico's tegen te gaan. Naast kennis-, bezits- en inherence-factoren gebruiken sommige MFA-technologieën locatiefactoren, zoals MAC-adressen (media access control) voor apparaten, om ervoor te zorgen dat de bron alleen toegankelijk is vanaf gespecificeerde apparaten.  

Een andere manier waarop de cloud van invloed is op MFA is via cloudhosting van MFA-oplossingen, die doorgaans kosteneffectiever te implementeren, minder complex te beheren en flexibeler zijn dan on-premise oplossingen. Cloud-gebaseerde producten kunnen meer opties bieden die gericht zijn op mobiele gebruikers, zoals mobiele authenticatie-apps, push-notificaties, contextanalyse zoals geolocatie, en biometrie.

Hoe kunnen banken aan de slag met multifactorauthenticatie?

OneSpan's multi-factor authenticatie oplossingen zijn vanaf de basis ontworpen om rekeningen en transacties te beveiligen door meerdere authenticatiefactoren te bieden en tegelijkertijd te voldoen aan de vraag naar een eenvoudig aanmeldproces. OneSpan heeft veel tijd en middelen geïnvesteerd om gebruiksvriendelijke, schaalbare en betrouwbare oplossingen te creëren die sterke authenticatie bieden met behulp van een reeks eenvoudige verificatieopties - zoals QR-codes in kleur en Bluetooth. Deze omvatten:

Waarom zouden consumenten van financiële diensten MFA moeten gebruiken?

Consumenten moeten MFA gebruiken telkens wanneer zij toegang hebben tot gevoelige gegevens. Een goed voorbeeld is het gebruik van een geldautomaat om toegang te krijgen tot een bankrekening. De rekeninghouder gebruikt MFA door iets wat hij weet (de PIN-code) te combineren met iets wat hij heeft (de pinpas). Op dezelfde manier gebruiken consumenten MFA bij het inloggen op een Facebook-, Google- of Microsoft-account vanaf een nieuwe locatie of een nieuw apparaat door iets in te voeren dat ze kennen (het wachtwoord) en een tweede factor, iets dat ze hebben (de mobiele app die de push- of sms-kennisgeving ontvangt).

Multi-factor authenticatie FAQ

Wat maakt MFA zo veilig?

Meerfactorauthenticatie voegt een extra verificatielaag toe die het cybercriminelen veel moeilijker maakt om accounts met succes te hacken. Standaardreferenties (gebruikersnaam en wachtwoord) zijn voor bedreigers betrekkelijk gemakkelijk te verkrijgen via phishing en andere op grote schaal beschikbare instrumenten en middelen. Ook het hergebruik van wachtwoorden maakt het voor een hacker mogelijk om met één geslaagde aanval meerdere accounts te kraken. Bij MFA moeten autorisatiegegevens uit twee of meer verschillende categorieën komen: iets wat je weet (een wachtwoord), iets wat je hebt (een sms-code, smartcard, authenticator-app of hardwaretoken, ook wel bekend als een sleutelhanger), en iets wat je bent (een biometrisch kenmerk). Dieven zouden naast een wachtwoord ook andere dingen moeten stelen, zoals uw smartphone of bankkaart, waardoor het voor hen veel moeilijker wordt om uw rekening te kraken. Het National Institute of Standards and Technology (NIST) raadt aan MFA te gebruiken waar mogelijk, vooral als het gaat om de meest gevoelige gegevens, zoals uw financiële rekeningen en gezondheidsdossiers.

Wat zijn "impliciete kenmerken" en tellen zij mee als factoren?

Bij impliciete attributen, ook wel contextuele authenticatie genoemd, wordt gebruik gemaakt van geolocatie, IP-adres, tijdstip van de dag en toestelidentifiers zoals het besturingssysteem of de browserversie van de mobiele telefoon, om te helpen bepalen of de identiteit van een gebruiker authentiek is. Hoewel impliciete attributen geen authenticatiefactoren zijn omdat zij de identiteit van een gebruiker niet bevestigen of identiteitsverificatie bieden, kunnen zij helpen de barrières tegen cyberaanvallen te versterken.

Wat is het verschil tussen twee-factor authenticatie en MFA?

Twee-factor authenticatie (2FA) is een subset van MFA waarbij twee factoren uit twee van deze categorieën - iets wat je weet, iets wat je hebt, en iets wat je bent - worden gebruikt om de identiteit te verifiëren. Meerfactorauthenticatie kan meer dan twee factoren omvatten, hoewel veel oplossingen voor meerfactorauthenticatie er twee gebruiken.
Een logische vraag is of MFA veiliger is dan authenticatie met een tweede factor. In het algemeen geldt dat hoe meer factoren vereist zijn, hoe sterker de bescherming van het toegangsbeheer is; het soort factor speelt echter ook een rol. Biometrische gegevens zijn veel moeilijker te stelen dan paswoorden. Bovendien willen de meeste eindgebruikers een eenvoudiger authenticatieproces en zullen zij wellicht proberen een omweg te vinden als het aantal vereiste factoren te groot wordt. Als gevolg daarvan is het moderniseren van de authenticatie-gebruikerservaring nu een primaire doelstelling voor veel banken en financiële instellingen, vooral voor mobiele gebruikers die de mobiele app van de bank gebruiken.

Welke soorten cyberaanvallen kunnen MFA helpen voorkomen?

MFA helpt de volgende soorten cyberaanvallen tegen te gaan door extra informatie of referenties van de gebruiker te vragen.

 

  • Phishing-aanvallen:
    vooral nu, met de enorme toename van werk op afstand, worden phishing-aanvallen gebruikt om werknemers te verleiden netwerkgegevens op te geven, vaak via schadelijke koppelingen en bijlagen of nep-inlogpagina's voor SaaS-apps zoals Microsoft Office 365. Wanneer organisaties minstens twee vormen van authenticatie vereisen, zoals een eenmalige toegangscode naast de gebruikersnaam en het wachtwoord, hebben identiteitsdieven het moeilijker om het bedrijfsnetwerk of VPN te infiltreren.
  • SIM-swap:
    bij dit type aanval doet men zich voor als een gebruiker van een mobiel apparaat. De aanvallers proberen de aanbieder van mobiele telefoondiensten van de gebruiker over te halen hun gegevens op een nieuwe SIM-kaart (subscriber identity module) te zetten omdat de oorspronkelijke kaart of het toestel verloren of beschadigd is. Als de SIM-swap slaagt, wordt het mobiele nummer "eigendom" van de aanvaller, die vervolgens de naar het toestel verzonden SMS-codes kan onderscheppen. Om simswaps tegen te gaan, biedt MFA een reeks sterke authenticatiemethoden (biometrie, softwaretokens, beveiligingssleutels) die het gebruik van sms-codes vermijden.
  • Mobiele malware:
    Dit type kwaadaardige software is gericht op mobiele apparaten om toegang te krijgen tot privégegevens. Voorbeelden zijn banking Trojans en mobiele ransomware. Helaas richten hackers zich steeds meer op het omzeilen van MFA-beveiligingen voor mobiele apparaten, met name eenmalige wachtwoorden die via sms worden verzonden. Om omzeiling van MFA tegen te gaan, wordt aanbevolen sms te vermijden en te kiezen voor sterkere methoden zoals biometrie (vingerafdruk, gezichts- of netvliesscan) en pushberichten

Wat is adaptieve authenticatie?

Adaptieve authenticatie, ook wel risicogebaseerde authenticatie genoemd, is een vorm van MFA waarbij de vereiste authenticatiefactoren worden aangepast op basis van het risiconiveau van een transactie. Het maakt gebruik van fraudebestrijdingsregels om een vooraf bepaalde reactie op de verificatiepoging te geven. Het passende type authentificatie kan worden vastgesteld voor het passende type waargenomen risico op basis van bekende gegevenspunten.Zo kunnen bijvoorbeeld pogingen vanaf een specifieke locatie (bv. buiten het land van de klant) worden gedefinieerd om een bepaald type MFA-combinatie te activeren.
Adaptieve authenticatie maakt een einde aan het "one size fits all"-probleem dat de meeste authenticatiesystemen vandaag de dag teistert: een dagelijkse login vanaf dezelfde locatie vereist hetzelfde authenticatieniveau als een gloednieuwe login vanaf een zwaar aangevallen locatie. Deze twee logins moeten worden behandeld met verschillende niveaus van authenticatie.
Intelligente adaptieve authenticatie gaat een stap verder door gebruik te maken van fraudebestrijdingsregels in combinatie met algoritmen voor machinaal leren om vertrouwd te raken met de rol van de gebruiker en typische toegangsscenario's, waaronder locaties, apparaten en IP-adressen. Telkens wanneer de gebruiker zich probeert te authenticeren, analyseert een intelligent adaptief authenticatiesysteem alle contextuele gegevens, geeft het scores om de neiging tot risico te bepalen en past het de authenticatieworkflow aan dat risiconiveau aan.
Een voordeel van deze aanpak is flexibiliteit. In plaats van voor elke gebruiker dezelfde standaard MFA-vereiste op te leggen, past adaptieve authenticatie zich aan de situatie aan door routinematige toegangspogingen met een laag risico eenvoudiger en sneller te maken en meer beveiliging toe te voegen voor toegangspogingen met een hoger risico.

Wat zijn out-of-band mechanismen in MFA, en hoe werken zij?

Out-of-band authenticatie is een vorm van MFA die een secundaire verificatiemethode vereist via een afzonderlijk communicatiekanaal. Meestal gaat het om het verzenden van een eenmalige toegangscode (OTP) naar de mobiele telefoon van de gebruiker, die moet worden gebruikt in combinatie met zijn met een wachtwoord beveiligde internetverbinding op een ander apparaat, zoals een desktop of laptop.
Authenticatie via twee afzonderlijke, niet-verbonden kanalen die tegelijkertijd door een aanvaller zouden moeten worden doorbroken, maakt een succesvolle compromittering veel minder waarschijnlijk. Out-of-band authenticatie wordt vaak gebruikt door banken en andere financiële instellingen met strenge beveiligingseisen.

Er zijn verschillende manieren om eenmalige wachtwoorden op een mobiel toestel af te leveren:

  • QR code of visueel cryptogram
  • Push-notificatie
  • SMS (SMS is niet langer een aanbevolen veiligheidsmaatregel, omdat een hacker heel gemakkelijk het mobiele nummer van een gebruiker kan stelen met de SIM-ruilmethode om zo SMS-wachtwoorden te verkrijgen).


Andere methoden zijn het eisen van de gebruiker om:

  • Telefoneren met een geregistreerd toestel (vaak gebruikt om een nieuwe kredietkaart te activeren)
  • Reageren op een automatisch gegenereerd telefoontje van de bank of een andere instelling
  • Een OTP ontvangen op hun telefoon app of via push notificatie om een ATM transactie te autoriseren of toegang te krijgen tot een web portal.

Welke technologieën worden onderzocht om MFA voor mobiele gebruikers te stroomlijnen?

Omdat MFA-oplossingen extra authenticatiemaatregelen afdwingen, kunnen ze de toegang tot een account of portaal bemoeilijken, vooral voor gebruikers van mobiele telefoons. Deze extra belasting, die mensen vertraagt of het hen moeilijker maakt een taak uit te voeren, wordt "wrijving" genoemd. Om het authenticatieproces te helpen stroomlijnen en wrijving te verminderen, werken nieuwe "passieve" technologieën op de achtergrond zonder dat de gebruiker actie hoeft te ondernemen. Een voorbeeld is gedragsbiometrische verificatie, waarbij een persoon wordt geïdentificeerd op basis van zijn unieke type- of veegpatronen bij interactie met een smartphone of tablet.
De Fast Identity Online (FIDO) Alliance is opgericht om de afhankelijkheid van wachtwoorden te helpen verminderen door het gebruik van wachtwoordloze authenticatie. FIDO-protocollen ondersteunen verificatietechnologieën, waaronder biometrie. Het FIDO 2-protocol, dat door Google, Microsoft en andere leveranciers is geïmplementeerd, stelt mensen in staat FIDO-compatibele hardwaretokens te gebruiken om zich bij hun browser te authenticeren zonder hun gebruikersnaam en wachtwoord te hoeven intypen. Evenzo implementeren veel grote banken het protocol om mobiele apparaten met FIDO-ondersteuning in staat te stellen zich te authenticeren in hun banktoepassing zonder dat de eindgebruiker een gebruikersnaam en wachtwoord hoeft in te typen.

Wat is de WebAuthn-norm en hoe kan deze de veiligheid van online bankieren helpen verbeteren?

WebAuthn probeert FIDO-achtige verificatietechnologie naar webtoepassingen te brengen.Het biedt ontwikkelaars van webtoepassingen een standaardmethode om veilige meervoudige authenticatie te implementeren zonder gebruik te hoeven maken van authenticatiebibliotheken en -systemen van derden.WebAuthn brengt de veiligheid van biometrie en sterke authenticatie naar webtoepassingen die voorheen zware back-ends en extra technische overwegingen vereisten. Het WebAuthn-protocol is ontworpen om ontwikkelaars van nieuwere single page applications (SPA's) en progressive web apps (PWA's) een manier te bieden om sterke authenticatie te implementeren door gebruik te maken van ingebouwde lokale apparaattechnologieën waartoe webpagina's voorheen niet gemakkelijk toegang hadden.

Neem contact met ons op

Neem contact op met een van onze beveiligingsexperts voor meer informatie over hoe onze oplossingen u kunnen helpen met uw digitale beveiligingsbehoeften