Phishing Resistant MFA als oplossing voor beveiliging ondanks mobielverbod
Sinds het mobielverbod dat per 1 januari geldt in het klaslokaal bestaat er onduidelijkheid over hoe toch MFA toe te passen volgens de richtlijnen in het Normenkader IBP. Eerder hebben we al aangegeven dat conditional access als oplossing op een aantal vlakken te wensen overlaat. Daarom opteren we voor een betere optie, namelijk phishing resistant MFA. Hier gaan we je nu alles over vertellen.
Gewone MFA-beveiliging is niet meer veilig
De noodzaak voor het gebruik van Phishing Resistant MFA baseert zich op het feit dat een normale MFA niet meer voldoende beschermt. Dit heeft alles te maken met Adversary in the Middle, ook wel bekend als AiTM phishing. Dit is een geavanceerde techniek die zich onderscheidt van traditionele phishing door het vermogen om multi-factor authenticatie (MFA) te omzeilen.
Bij AiTM phishing plaatst de aanvaller zich tussen de gebruiker en een legitieme dienst om inloggegevens, inclusief sessie-cookies, te onderscheppen. Dit maakt AITM phishing een bijzonder grote bedreiging, aangezien het zelfs de extra beveiligingslaag die MFA biedt kan doorbreken. Gebruikers worden misleid tot het invoeren van hun gegevens, denkende dat ze met een legitieme website communiceren, terwijl hun gevoelige informatie in handen valt van de aanvaller.
Passwordless Login niet werkbaar voor iedereen
Gebruikers gaan om diverse redenen niet altijd even goed om met hun wachtwoorden. Zo zijn wachtwoorden niet altijd complex genoeg, worden ze opgeschreven of soms zelfs gedeeld met andere gebruikers. Omdat er ook niet altijd MFA afgedwongen wordt, kunnen hier dus kwetsbaarheden ontstaan. Eerder werd gedacht dat Passwordless Login de ideale oplossing voor zou zijn, maar ook op deze oplossing is net als op conditional access veiligheidstechnisch het een en ander aan te merken.
Het is waar dat passwordless login in de basis veel beter is dan de gewone MFA. De gebruiker logt hierbij in met MFA in combinatie met biometrische login, zoals Windows Hello. Deze oplossing is echter afhankelijk van de mogelijkheden van het apparaat. Omdat Passwordless login apparaat-afhankelijk is, bestaat het risico dat niet iedere leerling of student er gebruik van kan maken. Dit is dus niet de gewenste generieke oplossing voor onderwijsinstellingen. Hier komt bij dat MFA ook niet ‘Phishing Resistent’ is.
Phishing Resistant MFA als oplossing
Waarom nu dus Phishing Resistant MFA? Bij Phishing Resistant MFA wordt er gebruik gemaakt van FIDO2 technologie (FIDO2 - FIDO Alliance). FIDO2 is een industrie standaard die door veel partijen als Microsoft, Google, Amazon en RSA worden ondersteund (FIDO Alliance Member Companies & Organizations).
De gebruiker logt niet meer in met de eigen inloggegevens, maar met de FIDO2 Key. Op deze sleutel staan op een veilige manier de gegevens van de gebruiker opgeslagen en bij welke site (bijvoorbeeld office.com) deze gegevens horen. Het token is tevens uitgerust met een biometrische login of met een pincode. De gebruiker hoeft het eigen wachtwoord dus niet meer te weten en de kans op het lekken van wachtwoorden is daardoor onmogelijk.
Mocht de gebruiker om welke reden dan ook toch het wachtwoord nodig hebben om bijvoorbeeld mail in te stellen op de mobiele telefoon, dan kan de gebruiker een tijdelijke toegangspas aanvragen. Het wachtwoord wordt tijdelijk “vervangen” door een ander wachtwoord en verzonden als SMS bericht of naar een ander (reeds bekend) e-mailadres gestuurd. De gebruiker kan dan in de gestelde tijd (bijvoorbeeld 15 minuten) inloggen met het tijdelijke wachtwoord.
Advies voor gebruik FIDO2 KEY
Als de FIDO2 Key bijvoorbeeld wordt vergeten, kan de gebruiker niet inloggen. Het is daarom van belang dat de gebruikers weten waarom FIDO2 Keys gebruikt worden en dat het vergeten of kwijtraken van de key gevolgen heeft.
De gebruiker heeft dus een FIDO2 Key nodig. Deze keys zijn in principe apparaat-onafhankelijk. Bij het gebruik van USB keys moet het apparaat wel beschikken of een USB-poort. Als er gebruikgemaakt wordt van NFC keys, moet het apparaat beschikken over NFC. Combinaties van de verschillende soorten keys is mogelijk. Het is zelfs merkonafhankelijk zolang de key maar FIDO2-gecertificeerd is.
Weet ook dat als een hacker beschikt over slechts één van de credentials van de omgeving, er al schade kan worden toegebracht. Het is dus ook van belang dat alle gebruikers (inclusief leerlingen) goed beveiligd worden!
Contact
Heb je vragen over Phishing Resistant MFA? Neem contact op met onze technisch specialist Martijn Frank. Hij staat voor je klaar om je inhoudelijk te woord te staan en verder te helpen.