‹ Terug

We hebben het altijd maar over het instellen van MFA, maar wat is er eigenlijk allemaal mogelijk?

 

Multi-factor authenticatie (MFA) is de nummer 1 tip om aan te zetten als het gaat om de bescherming van gebruikers. Met MFA maak je het criminelen direct heel veel moeilijker om binnen te komen in jouw systemen. Een must-have dus.

 

Maar MFA kan je op verschillende manieren inrichten in Microsoft 365. Zo zijn er beleidsregels wanneer wel en wanneer een gebruiker moet inloggen met MFA (conditionele toegang), maar ook zijn er verschillende manieren van inloggen met MFA. En ze zijn niet allemaal even veilig.

 

Een overzicht van de verschillende typen methoden:

Spraakoproep
Bij deze methode ontvang je een telefoontje en moet je een toets indrukken om je identiteit te bevestigen. Je krijgt een telefoontje van een geautomatiseerd systeem dat je vraagt om op de toets # te drukken om in te loggen.

 

SMS
Je ontvangt een SMS-bericht met een code die je moet invoeren om toegang te krijgen. Hierbij log je in op je account en ontvang je een SMS met een code die je moet invoeren op de inlogpagina.

 

E-mail
Een code wordt naar je e-mailadres gestuurd die je moet invoeren om je identiteit te bevestigen. Je ontvangt een e-mail met een verificatiecode die je moet invoeren om toegang te krijgen.

 

Authenticator App (zoals Microsoft Authenticator)
Een app op je smartphone genereert een eenmalige code of stuurt een pushmelding die je moet goedkeuren. Je probeert hierbij in te loggen en ontvangt een pushmelding op je Microsoft Authenticator app die je moet goedkeuren. Vaak moet je een tweecijferig nummer dan invoeren in de app.

 

Biometrische verificatie (zoals vingerafdruk of gezichtsherkenning)
Je gebruikt hierbij je vingerafdruk of gezichtsherkenning om je identiteit te bevestigen, bijvoorbeeld de vingerafdrukscanner op je telefoon om in te loggen op je account. Deze methode is onlangs toegevoegd en werkt samen met de Microsoft authenticator app.

 

FIDO2 beveiligingssleutel
Dit is een fysieke beveiligingssleutel die je in een USB-poort steekt en op een knop drukt om je identiteit te bevestigen. Dit kan gebeurt ook vaak in combinatie met een pincode.

 

Windows Hello
Dit is een Windows specifieke (biometrische) verificatiemethode die gebruik maakt van gezichtsherkenning, vingerafdruk of een PIN. Je gebruikt de gezichtsherkenning van Windows Hello om je computer te ontgrendelen.

Het advies is de methoden met spraakoproep, SMS en e-mail liever niet te gebruiken. Deze methoden worden steeds vaker 'gehackt'. Daarnaast is het goed te realiseren dat methoden waarbij de telefoon als tweede stap wordt gebruikt, afhankelijk zijn van een internet verbinding en een specifiek device.

 

De Microsoft authenticator app wordt over het algemeen als standaard methode ingesteld door Microsoft, maar vooral bij oudere omgevingen is het aan te raden de MFA instellingen en methoden eens kritisch na te lopen. Zorg er dan ook voor om het aantal methoden te beperken en het liefst de meest veilige. Op deze manier kan je voor 99% voorkomen dat de inloggegevens van gebruikers door kwaadwillenden worden gebruikt om daadwerkelijk in te loggen.