‹ Terug

Waarom je zou moeten overwegen MFA via SMS of spraakoproep uit te schakelen

 

MFA staat voor Multi-Factor Authenticatie. Dit betekent dat je naast je wachtwoord nog een extra stap moet doen om in te loggen, zoals bijvoorbeeld een goedkeuring in je authenticator app of het invoeren van een code die je via SMS ontvangt. Je gebruikers zijn met MFA ingeschakeld vele malen beter beschermd dan zonder MFA, maar er is wel verschil als het gaat om beveiliging tussen de verschillende MFA methoden.

Good, better, best.
Er wordt onderscheid gemaakt tussen verschillende methoden die gebruikt kunnen worden binnen Microsoft Entra ID, het mechanisme waarin accounts en inloggegevens worden beheerd.

 

• Slecht: alleen gebruik van wachtwoorden. Dus zonder MFA. Dit is hopelijk in jouw omgeving niet (meer) het geval!
• Goed: Inloggen met wachtwoord en een tweede stap via SMS of telefoongesprek. Er is een risico aan deze methode, namelijk dat hackers je telefoonnummer mogelijk kunnen overnemen via een techniek genaamd SIM-swapping. Hierbij krijgen ze controle over je telefoonnummer en kunnen ze de SMS-codes onderscheppen. Lees hier wat dit exact is en hoe men dan te werkt gaat.
• Beter: Beter is daarom gebruik te maken van wachtwoorden in combinatie met je authenticator app, een OTP token of een andere hardware token. Je loopt dan niet het risico van SIM-swapping.
• Beste: het beste is natuurlijk om helemaal geen wachtwoord meer te gebruiken en 'passwordless' te gaan. Dit kan bijvoorbeeld met Windows Hello of een FIDO2 sleutel (op je telefoon) of als USB sleutel.

Wat adviseren we dan?
Ten eerste altijd MFA te gebruiken. Dit kunnen we niet genoeg benadrukken. Maar als je dan toch met MFA werkt, zorg dan dat je de methoden die gekoppeld zitten aan je SIM kaart als SMS of voice, te vermijden. Er zijn natuurlijk uitzonderingen, bijvoorbeeld als er gebruik gemaakt wordt van telefoons waar de authenticator app niet op kan draaien.

Impact
Het uitschakelen van SMS en telefoongesprek als tweede verificatiestap kan natuurlijk impact hebben op gebruikers. Er moet in deze gevallen gekozen worden voor een alternatief als de authenticator app of bijvoorbeeld FIDO2. Het is dus van belang te weten wie van deze methode afhankelijk is, zodat je ze kan informeren. Het is daarbij ook mogelijk specifieke gebruikers uit te sluiten van deze wijziging en methoden dus per gebruiker te bepalen.

 

Conclusie

Ga voor safe en kies alleen voor de meest veilige MFA methoden. Probeer SMS en voice-diensten te vermijden, gezien het risico op SIM-swapping.