Beveiliging van een netwerk: tweefactorauthenticatie met SURFsecureID

Beveiligen is nooit een kwestie van één actie. Het is een opeenstapeling van maatregelen die ervoor zorgen dat je minder snel het doelwit of het slachtoffer bent van kwaadwillenden. Wat kun je doen als instelling en waarvoor kun je terecht bij SURF? We gaan in deze en de volgende blogs dieper in op enkele belangrijke diensten en tools, zoals Firewall (as a Service), SURFcert, RPKI en het anticiperen op bedreigingen. Deze keer: tweefactorauthenticatie met SURFsecureID. Een eenvoudige manier om de diensten van een instelling nog beter te beveiligen.

Tweede factor

SURFsecureID is een dienst van SURF waarmee instellingen de toegang tot hun diensten extra kunnen beveiligen met een tweede factor. Daarbij gaat het om iets dat je weet, hebt of bent. Bij SURFsecureID gebruiken mensen een wachtwoord (iets dat je weet) én een mobiele telefoon of usb-sleutel (iets dat je hebt) om in te loggen.

Sterke authenticatie

Onderdeel van SURFsecureID is de sterke authenticatie. Je kunt bijvoorbeeld bij Google een account aanmaken en zeggen dat je Jan Jansen heet. Dan heb je een wachtwoord, en je kunt zelfs een tweede factor toevoegen, maar die zeggen niets over jouw identiteit. Ben je wel wie je zegt dat je bent? Bij het aanmaken van een SURFsecureID-account wordt de identiteit gecontroleerd aan de hand van een ID-bewijs. Dat zorgt voor een hogere betrouwbaarheid.

Drie methoden om dat op afstand te doen

Voor die ID-check gaan studenten en medewerkers (nu nog) langs bij de balie van een instelling. SURF stelt portalen en handleidingen voor instellingen beschikbaar om dat proces te begeleiden. Maar daarnaast loopt ook een project voor remote vetting, waarbij mensen op afstand hun identiteit kunnen laten vaststellen. SURF test drie verschillende manieren. Voor de eerste wordt iDIN gebruikt, een soort iDEAL-transactie. Je doet niet daadwerkelijk een transactie, maar aan de hand van de gegevens van de banken, verifieer je je identiteit. Verder kun je de identiteit laten vaststellen met de app IRMA. De app laadt gegevens uit de burgerlijke stand. Binnen deze pilot werken de Radboud Universiteit en de gemeente Nijmegen samen. Vervolgens kun je zelf aangeven welke attributen, gegevens, je kenbaar wilt maken en aan welke organisatie. Tot slot test SURF een app die de chip in je paspoort en de pasfoto scant en controleert - met behulp van gezichtsherkenning - of iemand is wie hij zegt dat hij is.

Toekomst: FIDO2

Hoge verwachtingen zijn er van FIDO2. Voor deze authenticatiemethode werken meer dan 250 bedrijven en organisaties samen, waaronder ook Google, Amazon, Facebook, PayPal, Samsung, Microsoft en Yubico. Hun doel is een veilige gestandaardiseerde authenticatie ontwerpen, gebaseerd op open standaarden. Het voordeel is dat FIDO2 allerlei besturingssystemen ondersteunt, zoals Android en Windows. Ook kun je veel verschillende fysieke middelen voor de authenticatie gebruiken; je telefoon zelf, maar ook een ring, een vingerafdrukscanner, of - als je zou willen - een chip onder je huid. Het draagvlak voor deze methode is groot. Op dit moment kunnen instellingen FIDO2 al testen met SURFsecureID.

Integratie Microsoft Azure MFA

Daarnaast test SURF op dit moment samen met instellingen de ondersteuning van Microsoft Azure MFA. Nu moeten medewerkers bij instellingen of studenten vaak op verschillende manier inloggen met tweefactorauthenticatie. Bijvoorbeeld voor de ene applicatie via de Microsoft Authenticator-app en voor een andere applicatie via de tiqr-app van SURFsecureID. Dankzij de ondersteuning van Azure MFA in SURFsecureID hoeft nog maar één authenticatiemethode gebruikt te worden. Dit kan door de tweede factor van Azure MFA in SURFsecureID te registreren. De diensten die SURFsecureID gebruiken, kunnen zo blijven vertrouwen op het hoge betrouwbaarheidsniveau van de gebruikersidentiteiten.

SURFsecureID maakt het op een eenvoudige manier kwaadwillenden vele malen moeilijker. Het staat dan ook vaak bovenaan het lijstje van de instellingen.

Meer weten over SURFsecureID? Ga naar www.surf.nl/surfsecureid.

Lees ook onze vorige blogs:

Author

Comments

Dit artikel heeft 0 reacties