MFA in de praktijk

Tegenwoordig gebruikt vrijwel iedereen tweestapsverificatie op het werk. De meest bekende vorm is dat medewerkers hun zakelijke telefoon of eigen smartphone hiervoor gebruiken.

Wanneer je inlogt op een website of op een zakelijke computer, moet je de aanmelding bevestigen via je telefoon. 

Dit kan door simpelweg akkoord te geven in een app of door een tijdelijke code in te voeren

Soms is het niet wenselijk dat medewerkers continu hun mobiele telefoon bij zich hebben. 

In sommige bedrijven is er een duidelijke policy die het gebruik van telefoons op de werkplek beperkt of zelfs verbiedt.


Daarnaast kan het onpraktisch zijn wanneer iemand in een werkplaats of productieomgeving iedere paar minuten zijn of haar telefoon moet pakken om een MFA-code in te voeren. 
 

Op zo’n moment zie je al snel andere meldingen binnenkomen, zoals een nieuw WhatsApp-bericht, en de verleiding is groot om daar toch even op te reageren.

Het komt voor dat een medewerker niet bereid is om zakelijke apps op een privételefoon te installeren. 

Door MFA volledig afhankelijk te maken van de smartphone van de medewerker, verplicht je medewerkers in feite om hun telefoon altijd mee naar het werk te nemen. 

Zonder telefoon kunnen ze immers niet inloggen en dus niet werken.


Dat levert een praktisch en organisatorisch dilemma op. 
Aan de ene kant wil je goede beveiliging en toegangscontrole. 
Aan de andere kant wil je rekening houden met de persoonlijke voorkeuren van medewerkers. 
 

Een werkbaar alternatief is het gebruik van een hardwarematige MFA-oplossing, zoals een programmeerbare TOTP-token (bijvoorbeeld de Molto-2-v2). 
Deze tokens werken volledig los van een smartphone en kunnen meerdere accounts bevatten. 
Het toevoegen van een nieuw profiel kan door de gebruiker zelf worden gedaan, of centraal door de ICT-afdeling.
 

Het grote voordeel is dat de token eigendom blijft van de organisatie. Bij uitdiensttreding kan deze weer worden ingeleverd en opnieuw worden uitgegeven. 
 

 

2FA is tegenwoordig geen keuze meer, maar een noodzaak. 
Maar brengt in de praktijk ook extra werk met zich mee voor de ICT-afdeling. Zeker omdat niet iedere medewerker over een zakelijke telefoon beschikt en het gebruik van privételefoons voor MFA niet altijd wenselijk is. 
Daarnaast wil je voorkomen dat medewerkers onnodig worden afgeleid door hun smartphone tijdens het werk.

Daarom kan een programmeerbare TOTP-hardwaretoken een goed alternatief zijn.
 

Binnenkort zal ik een praktische review publiceren van een programmeerbare TOTP-token van Token2, waarin ik dieper inga op de installatie en het gebruik hiervan.

We hebben je toestemming nodig om de vertalingen te laden

Om de inhoud van de website te vertalen gebruiken we een externe dienstverlener, die mogelijk gegevens over je activiteiten verzamelt. Lees het privacybeleid van de dienst en accepteer dit, om de vertalingen te bekijken.