Beveiliging

Een inlog voor beveiligde omgevingen spreekt voor zich. Veelal zal (en zou) hierbij het wachtwoord gehashed worden. Er kunnen aanvullende technische maatregelen worden getroffen, om (online) applicaties of intranets af te schermen voor onbevoegden.

2FA tegen social engineering

Via social engineering, kan nog wel eens eenvoudiger dan gedacht iemand zijn of haar wachtwoord achterhaald worden. In dat soort gevallen is het praktisch een tweede toegangspoort op te werpen. Zeker voor financiele instellingen, zorginstellingen en software dat daarbij komt kijken, is zo een toegangspoort als Two Factor Authenticatie (2FA) van toegevoegde of zelfs onmiskenbare waarde.

Bovenstaand betreft niet (eens) een gewiekste methode om iemand zijn wachtwoord te achterhalen of onderscheppen. Er zijn meer wegen die naar Rome leiden. Ook het bellen naar de helpdesk in naam van een andere persoon, kan ervoor zorgen dat het wachtwoord behorende bij iemand zijn of haar account, in verkeerde handen komt.

Organisatorische en technische maatregelen

Een goede organisatorische maatregel zou zijn, om de helpdesk:

  • aanvullende verificatievragen te laten stellen;
  • uberhaupt geen wachtwoorden uit te geven.

Echter, zolang de optie aanwezig blijft om via de helpdesk of andere instantie een nieuw wachtwoord op te laten vragen, blijft deze tussenpartij de zwakste schakel. Hierin is de afweging om over te gaan op technische maatregelen een betere optie:

  • werk een toepassing uit waarin men zelf aan kan geven dat ze het wachtwoord vergeten zijn;
  • stuur een bevestigingslink -en niet het wachtwoord- per mail of ander kanaal, waarmee het wachtwoord op een beveiligde omgeving hersteld kan worden;
  • laat account-houders met inzage in persoonsgegevens van derden/anderen, verplicht Two Factor Authenticatie instellen;
  • Pas CSRF tokens toe, waarmee onder meer sessie-duur bepaald kan worden, als ook afkomst van ingevoerde gegevens (zodat er niet vanuit onbekende bronnen verstuurd kan worden).

Beveiliging in de praktijk

Binnen software oplossingen dat voort komt vanuit AVG Cloud Register, is van bovenstaand sprake. Daarbij geeft Two Factor Authenticatie in combinatie met rollen en autorisatie beheer maximale flexibiliteit.

Rollengroepen en autorisatie

Binnen onze software als ook de AVG Cloud Register oplossing, kunnen meerdere rollen worden aangemaakt. Het verdelen van rechten beperkt zich niet tot een enkele entiteit. Ongeacht pagina's of modules, kunnen lees, toevoeg, wijzig, verwijder of aanvullende rechten worden toegekend aan specifieke groepen.

Een accounthouder kan meerdere groepen toegekend krijgen, wat maximale flexibiliteit en overzichtelijkheid in beheer oplevert. Indien bijvoorbeeld een rol per module of activiteit wordt opgesteld, zijn rechten voor specifieke gebruikers eenvoudig weer in te trekken zonder de gehele architectuur, programmatuur of configuratie te hoeven wijzigen.

Two Factor Authenticatie

Wanneer wij software opleveren geven we de vrijheid om Two Factor Authenticatie (2FA) uit te rollen overigens uit handen. De beoordeling of 2FA van toegevoegde waarde is, is immers aan een organisatie zelf; veelal heeft een organisatie hiervoor interne security requirements voor opgesteld, waarbij in onze software 2FA per groep kan worden opgelegd:

  • is er organisatorisch gezien draagvlak voor / zijn accounthouders bereidt dit te gebruiken (zo nee, informeer op juiste wijze om -of door- potentiële gevolgen in te laten zien);
  • welke gebruikers zijn bevoegd om persoonsgegevens van derden in te zien? Deze zouden inloggen via Two Factor Authenticatie opgelegd kunnen worden. Buiten de AVG wetgeving geldt hetzelfde voor gevoelige gegevens, zoals bancaire data.

Meer over Two Factor Authenticatie Contact opnemen