Welkom 2-factor-authenticatie

Weg met het wachtwoord!

Dit jaar wordt bij WUR de 2-factor-authenticatie ingevoerd. Van de afdeling Inkoop tot docenten; alle medewerkers op de universiteit moeten een extra digitale stap maken om te bewijzen dat ze zijn wie ze zeggen dat ze zijn. Is dat nou echt nodig? Vijf vragen over deze digitale toegangscode.

‘Hack de toekomst’ heette de coole ‘creathon’ waarmee ROC Aventus in Apeldoorn vorig jaar leerlingen warm wilde maken om big data in te zetten om de gezondheidszorg beter te maken. Uitgerekend op de dag dat de creathon van start ging, werd bekend dat de school slachtoffer was geworden van een echte hack, waarbij met een nepaccount toegang was verkregen tot het leerlingen-volgsysteem en cijfers waren veranderd.

Een dergelijke hack is de nachtmerrie van elke onderwijsinstelling, maar behoort helaas ook in Wageningen nog altijd tot de mogelijkheden. WUR wordt dagelijks aangevallen door internetcriminelen.

Je zou denken dat WUR z’n beveiliging wel op orde heeft?

WUR is heel alert, maar je kunt je niet overal tegen wapenen. Het huidige systeem werkt met een wachtwoord en dat is superonveilig. De menselijke factor blijft het probleem. Ondanks herhaaldelijke waarschuwingen, trapt nog steeds 10 procent van de medewerkers en studenten in phishing mails. Het zijn steeds vaker geavanceerde mailtjes waarin om inloggegevens wordt gevraagd.

Veel mensen laten hun wachtwoord achter, waardoor hackers toegang kunnen krijgen tot ons systeem. Het is de meest voorkomende manier waarop hackers binnenkomen: 91 procent van de aanvallen op de universiteit begint met een phishing mailtje. WUR heeft verschillende campagnes gevoerd om medewerkers bewust te maken van phishing, maar het probleem blijft bestaan.

Om (identiteits)fraude te voorkomen en gevoelige data te beschermen, rolt WUR komend jaar 2-factor-authenticatie uit voor belangrijke applicaties waarmee wordt gewerkt. 2-factor-authenticatie betekent feitelijk een extra controle waarmee kan worden vastgesteld dat degene die het wachtwoord invoert, is wie hij of zij zegt. Meestal gebeurt dat met een sms’je naar de geregistreerde telefoon van de betreffende medewerker, maar het kan ook met een appje, dat een uniek nummer genereert, zoals bij internetbankieren.

Een hack behoort in Wageningen ook nog altijd tot de mogelijkheden

Maar zo’n extra handeling is toch irritant en onhandig? Over WUR Passcode, dat je nodig hebt om bij je webmail te kunnen, klagen mensen steen en been.

Je kunt je telefoon zo instellen dat je alleen maar op een approve- of denyknop hoeft te drukken. Dat is niet zoveel werk. Op intranet staat bovendien een handleiding hoe je de daarvoor benodigde app kunt installeren. Dat is de gemakkelijkste manier.

De tweede manier is om de authenticator van Google of Microsoft te gebruiken. Dat betekent niet dat die softwarebedrijven toegang krijgen tot WUR-informatie. Ze gebruiken een internationaal aanvaard protocol dat aan de hand van een algoritme een code berekent. Daarnaast moet je ook nog altijd je wachtwoord invoeren.

Het huidige systeem werkt met een wachtwoord en dat is superonveilig

Digitale veiligheidstips

Tegen identiteitsfraude Maak - wanneer je een kopie van je paspoort moet afgeven - het burgerservicenummer onleesbaar of dek je pasfoto af. Schrijf op de kopie dat het een kopie is.

Wachtwoord

Verander op gezette tijden van wachtwoord, minimaal één keer per kwartaal. Een goed wachtwoord bestaat naast gewone letters en cijfers ook uit hoofdletters, leestekens en bijzondere karakters.

Wachtzinnen (passphrase)

Lange en ingewikkelde wachtwoorden zijn moeilijk te onthouden. Gebruik daarom wachtzinnen die je makkelijk kunt onthouden. Voeg daar leestekens en cijfers aan toe en laat de hackers maar komen.

Voor welke systemen wordt deze manier van authenticatie ingevoerd?

Uiteindelijk voor alle belangrijke applicaties waarbij WUR zeker wil zijn van de identiteit van de persoon die achter de computer zit. Bij webmail wordt nu al gewerkt met WUR Passcode, in 2020 wordt dit verder uitgebreid. Ook bij het invoeren van onderzoeksdata en in financiële systemen zoals ProQMe kunnen medewerkers ermee te maken krijgen. Binnenkort krijgt WUR een nieuw studenteninformatiesysteem dat met 2-factor-authenticatie kan werken. Dan kunnen we bijvoorbeeld instellen dat voordat je cijfers kan invoeren of aanpassen de medewerkers via de telefoon moeten bewijzen dat ze zijn wie ze zeggen dat ze zijn.

Alle medewerkers met een mobiele telefoonnummer van WUR moeten straks op deze manier inloggen. De telefoon heb je nodig omdat je daar een sms’je op krijgt.

Wat zijn de nadelen?

Een nadeel is dat sms’jes soms niet aankomen, in het Engels noemen we dat fire and forget. Daarom kun je beter de app installeren waar je op approve of deny kunt klikken.

Alle medewerkers met een mobiele telefoonnummer van WUR moeten straks op deze manier inloggen

Komt er na 2-factor-authenticatie nog een nieuwe manier van beveiliging? Hebben we straks misschien helemaal geen wachtwoord meer nodig?

Eigenlijk heb je drie soorten beveiliging: wat je weet (je wachtwoord), wat je hebt (je telefoon) en wie je bent (biometrische authenticatie). Biometrische authenticatie wordt door sommige veiligheidsexperts afgewezen omdat het fraudegevoelig en onnauwkeurig zou zijn. Ook zitten hier wat privacyaspecten aan die niet helemaal duidelijk zijn. Daarom hebben we daar niet voor gekozen. (Lees hier welke privacyproblemen biometrie heeft.)

Lek en hack

De hack in 2019 op het ROC Aventus staat niet op zichzelf. Op deze plekken ging het ook mis, of bijna mis.

Maastricht University

Gijzelsoftware weet zich eind 2019 via phishing mails ongezien te verspreiden in het netwerk van Maastricht University. De hackers zaten al maandenlang in het systeem toen ze toesloegen: ze maakten belangrijke bestanden én de back-up onbereikbaar. De universiteit betaalde 30 bitcoin (200.000 euro) om weer toegang te krijgen.

Verschillende onderwijsinstellingen

Een beveiligingslek in het thuiswerksysteem Citrix zorgt er begin januari voor dat hackers toegang hebben tot de bedrijfsnetwerken van verschillende onderwijsinstellingen, waaronder Inholland, Fontys Hogescholen, Universiteit Leiden en de Vrije Universiteit Amsterdam. Medewerkers mochten tijdelijk niet thuiswerken.

Universiteit van Antwerpen

Via een oude computer dringt gijzelsoftware in oktober 2019 het systeem van de Universiteit van Antwerpen binnen. De aanval raakt enkele servers waardoor verschillende toepassingen voor studenten en medewerkers het niet doen. Volgens een woordvoerder zijn er geen gevoelige of waardevolle gegevens buitgemaakt.

Deel dit artikel