Waarschuwing voor gebruik MFA in combinatie met voorwaardelijke toegang op schoolnetwerk
Scholen hebben een oplossing gevonden hoe om te gaan met MFA-beveiliging in relatie tot het mobielverbod. De verplichting die het komende Normenkader Onderwijs stelt om in 2027 MFA te gebruiken wordt omzeild door middel van ‘voorwaardelijke toegang’ op de vertrouwde netwerkomgeving van de school. Dit laat wat ons betreft nog te wensen over om meerdere veiligheidsoverwegingen. We zullen je nu uitleggen waarom.
MFA-beveiliging vs. Mobielverbod
Het is een gegeven dat MFA belangrijk is voor het beschermen van de identiteit van de gebruiker. Daarom dient deze door medewerkers van scholen altijd uitgevraagd te worden. Een docent zit immers dagelijks tegenover ongeveer 8x25 potentiële hackers (leerlingen). In 2021 heeft Kennisnet al uitgelegd waarom Ict-beveiliging op school belangrijk is en waar te beginnen (art 9).
In principe zou het gebruik van MFA voor medewerkers van een school ook geen probleem moeten zijn. Het enige wat ze nodig hebben zijn hun eigen inloggegevens en een tweede apparaat (zoals bijvoorbeeld de authenticator app) om te bevestigen dat ze bevestigen dat ze daadwerkelijk gaan inloggen.
Voor leerlingen is dit echter een stuk gecompliceerder, gezien het mobielverbod dat per 1 januari 2024 van kracht is. Buiten dat niet iedere leerling over een mobiele telefoon beschikt, mag de mobiele telefoon ook niet meer in de klas. Onderwijsinstellingen denken deze uitdaging met het smartphoneverbod en MFA te kunnen omzeilen in de opvatting dat de leerling op het schoolnetwerk geen MFA nodig heeft, maar daarbuiten wel.
MFA in combinatie met voorwaardelijke toegang
Het idee achter ‘MFA in combinatie met voorwaardelijke toegang’ is dat leerlingen op een vertrouwde locatie zoals de school zich niet hoeven te identificeren, dus geen MFA hoeven te gebruiken. Je mag ervan uitgaan dat het netwerk van de school goed beveiligd is, maar toch zitten hier nog risico’s aan. We omschrijven een drietal risico’s bij het toepassen van MFA in combinatie met voorwaardelijke toegang.
Risico 1: Hack op locatie
Door voorwaardelijke toegang ontstaat er op school een minder veilige omgeving. Op school kan er namelijk ook gewoon gehackt worden door bijvoorbeeld leerlingen zelf. Die worden niet tegengehouden door MFA. Een hacker of (oud) leerling met kwade bedoelingen kan als hij of zij dit echt wil op locatie van de school de wifi-omgeving binnendringen.
Vraag een ethische hacker om het wachtwoord van een willekeurige leerling te achterhalen en binnen twee dagen is het gebeurd. Hierbij doet de hacker eerst onderzoek naar de persoon, van wie tegenwoordig alles online te vinden. En vervolgens wordt het wachtwoord achterhaald door middel van algoritmes, logica en trial & error.
Risico 2: Gebruik van VPN
Een ander risico bij het vertrouwen op MFA in combinatie met voorwaardelijke toegang is het gebruik van VPN’s door leerlingen. Ongetwijfeld dat er leerlingen zijn die VPN gebruiken om te voorkomen dat ouders hun internetgedrag kunnen zien. Op het moment dat een leerling VPN gebruikt, wijkt de locatie van de leerling af en zal toch MFA uitgevraagd moeten worden. Maar met MFA komt de leerling er niet in, omdat hij of zij geen mobiele telefoon heeft.
Risico 3: Lekken wachtwoord
Bij het toepassen van MFA met voorwaardelijke toegang is het zo dat niet alle gebruikers MFA kunnen of mogen gebruiken en dat gebruikers nog steeds over het eigen wachtwoord beschikken. Op deze manier is de gebruiker nog niet beschermd tegen het lekken van wachtwoorden.
Een ander vorm van een wachtwoordlek is dat docenten de gewoonte kunnen hebben om door de grote hoeveelheid aan logins al hun wachtwoorden op te schrijven in bijvoorbeeld hun agenda. Zodoende kan er zich een scenario voltrekken waarin de leerling zich via de agenda van de docent toegang verschaft tot de docentenomgeving van het Leerling Administratie Systeem (LAS). Dit wil je natuurlijk koste wat kost voorkomen.
Al met al zijn er dus betere alternatieven voor het gebruik van MFA in combinatie met voorwaardelijke toegang. Je kunt nooit alle risico’s neutraliseren om een wachtwoordlek te voorkomen. Wel is het uiteindelijke doel dat gebruikers zelf hun wachtwoord niet meer weten om zoveel mogelijk uit te sluiten.
Passwordless login vereist juiste apparaat
Passwordless login zou eigenlijk de oplossing moeten zijn om ook geen voorwaardelijke toegang toe te hoeven passen. Dit brengt met ‘bring your own device’ weer een nieuwe uitdaging met zich mee. Passwordless login gaat namelijk biometrisch, dus via identificatie door gezichts- of vingerafdrukherkenning. Maar dit is apparaat afhankelijk.
Je apparaat moet geschikt en aangemeld zijn. Echter zijn niet alle apparaten hardwaretechnisch geschikt en vraagt het bovendien meer beheer. Bij de inrichting en installatie betekent dit bijvoorbeeld dat de gebruiker eerst langs IT moet voor toegang - als het apparaat überhaupt al geschikt is. En als de gebruiker zijn of haar apparaat vervangt, dan moet hij of zij weer langs IT. Kortom: gedoe. Gelukkig zijn er passwordless login toepassingen die je volledig apparaat-onafhankelijk kunt inrichten.
Advies: gebruik phishing resistant MFA
Om hackers buiten de deur te houden is dus een volgende stap op passwordless login nodig om de omgeving zo goed mogelijk te beveiligen. Een hack kan namelijk enorme gevolgen hebben voor de continuïteit van de organisatie en kan tevens zorgen voor reputatieschade. Het probleem van de mobiele telefoon is te ondervangen door een ander apparaat, zoals een hardware token. Deze oplossing kan gerealiseerd worden met fido2 (phishing resistant MFA), waar wij binnenkort meer over zullen delen. Het grote voordeel van fido2 ten opzichte van passwordless login is in ieder geval dat het apparaat-onafhankelijk is.