Corona tip 1 : veilige toegang tot je systemen
We merken dat in #corona tijden ook cybercriminelen niet stilzitten. Het zijn immers van nature telewerkers die van deze crisis proberen misbruik te maken om nog makkelijker aan je gegevens te geraken. Om jullie te helpen komen we bij BA met een aantal corona-tips, tips om beter en veiliger te kunnen telewerken. Hiervoor baseren we ons op de concrete vragen die we krijgen van onze klanten.
Zelf een vraag of probleem waar u mee zit ? Je kan altijd contact opnemen met support@ba.be of telefonisch +32 16 29 80 45.
Corona Tip 1: veilige toegang tot je systemen
Nu iedereen van thuis gaat werken is het vooral belangrijk om de toegang tot de systemen van het bedrijf en alle toepassingen die je in de cloud zitten hebt zeker voldoende te beveiligen.
Het drama is dat we nog altijd toegang van buitenuit dichtzetten met het ouderwetse userid / wachtwoord systeem. Dit is een accident-waiting-to-happen.
Wachtwoorden zijn de duivel
Een wachtwoord op zich is immers vaak makkelijk te achterhalen :
- Ofwel omdat de gebruiker het slecht bewaart ( opgeschreven heeft op een postit bijvoorbeeld)
- Ofwel omdat hij of zij het al een andere keer gebruikt heeft op een andere applicatie ergens op het internet
- Ofwel omdat hij of zij ergens in een goed geformuleerde phising mail geklikt heeft en dan maar zijn gebruikersnaam en wachtwoord heeft ingevoerd. Legendarisch is het verhaal van de burgemeester wiens naam we niet gaan uitspreken die op 3 maand tijd 4 keer zijn O365-wachtwoord liet vangen.
Er zijn tientallen andere manier waarop dit kan gebeuren, de makkelijkste met een goeie smoes het wachtwoord gewoon vragen. Ik zit meer dan 20 jaar in informatieveiligheid en in mijn allereerste presentatie die ik gaf, zei ik dat ik het me door de onveiligheid niet kon voorstellen dat we in het nieuwe millennium nog userid/wachtwoorden gingen gebruiken. Ik zal nooit een Nostradamus worden want het is nog altijd nummer één manier om dit te doen.
De malloten van Basta deden het ons al voor
Een extra toegangscontrole
Maar hoe maak je dat dan wel veilig ? Wel door een tweede (of zelfs een derde, vierde ) authenticatie-factor toe te voegen. Nu log je in en krijg je toegang tot alles door iets in te voeren wat je weet. Een veiligere manier zou zijn wat je weet te combineren met iets wat je hebt een zogenaamd token. Dit kunnen heel veel verschillende dingen zijn :
- Een wachtwoord in een sms dat je gekregen hebt ;
- Cijfers uit een app op je telefoon zoals Google/Microsoft Authenticator;
- Je digitale identiteitskaart EID ;
- Een digipass of een hardware token dat nummers genereert van bedrijven als RSA of Vasco ;
- Een certificaat op je PC of je browser ;
- Een USB-sleutel als de UBIKey
- Etc.
Alternatief kan je ook combineren met wie je bent als factor. Dit noemt men biometrie, waarbij je gebruik maakt van een vingerafdruk, irisscan of je gelaat. Deze toegangscontroles zijn echter minder veilig dan een echte token. Bij een wachtwoord of een token is het immers juist of niet-juist, 0 of 1. Een biometrische toegang werkt op basis van statistische waarschijnlijkheid m.a.w. statistisch gezien is men bijvoorbeeld 99% zeker dat jij het bent. Bij zo’n hoge waarschijnlijkheid gaat bv je vingerafdruk-scan meestal een paar keer misgaan, een zogenaamde false negative, je hebt je vingerafdruk ingescand maar de waarschijnlijkheid is te laag om je binnen te laten. Heel vervelend als je er 10 keer je vinger over moet halen. Daarom zet men dit percentage meestal een stuk lager. Geen of minder false negatives maar de kans dat per ongeluk iemand anders wordt toegelaten is wel groter.
Geen excuus meer
Als je extra factoren gaat gebruiken kan het minder kwaad als je gebruiker slordig met zijn wachtwoord omgaat en het laat slingeren. En vooral: het wordt een heel grote uitdaging om deze toegangsgegevens of credentials via phising te pakken te krijgen. Dit hoeft ook geen dure grap te zijn zowel Google als Microsoft hebben authenticator apps die je gewoon bij op je Smartphone kan zetten en eigenlijk niks meer kosten dan het abonnement dat je nu al met deze bedrijven hebt. Alternatief zijn er betalende oplossing als Yubikey of Vasco of moet ik nu Onespan ( met N in plaats van M ) tokens.
Het hoeft dus geen arm en been te kosten om dit uit te rollen. Alleen je VPN of telewerkersapplicatie moet het ondersteunen en juist ingesteld worden. Er is dus geen excuus meer om geen 2factor authenticatie te gebruiken.
Zelf een vraag of probleem waar u mee zit ? Je kan altijd contact opnemen met support@ba.be of telefonisch +32 16 29 80 45.