Technisch klopte alles wat hij beschreef, de codes waren er, de wachtwoorden waren er, en de medewerkers hoefden nog maar één ding te onthouden.

‍

Het probleem zat niet in wat hij had gebouwd, maar in wat hij dacht te hebben gebouwd. Multi-factor authenticatie werkt op basis van het volgende principe: twee onafhankelijke factoren die samen je identiteit bevestigen. Zodra die twee factoren achter dezelfde login op hetzelfde apparaat staan, is de onafhankelijkheid verdwenen en daarmee de kracht van MFA. Die spraakverwarring, waarbij we dezelfde termen gebruiken maar iets anders bedoelen, zie ik keer op keer terugkomen. 

Wat MFA is en welke vormen bestaan er

Multi-factor authenticatie is een methode waarbij je identiteit wordt bevestigd door minimaal twee onafhankelijke factoren. Die factoren vallen in drie categorieën: iets wat je weet, zoals een wachtwoord of pincode; iets wat je hebt, zoals een telefoon, een hardware token of een smartcard; en iets wat je bent, zoals een vingerafdruk of gezichtsherkenning. De kracht zit in de combinatie: een aanvaller die één factor heeft, heeft nog steeds niet genoeg.

‍

In de praktijk zijn er meerdere vormen van MFA in gebruik: 

• SMS-verificatie stuurt een eenmalige code naar een telefoonnummer. 
• Authenticator apps zoals Google Authenticator of Microsoft Authenticator genereren tijdgebonden codes, ook wel TOTP-codes genoemd, op een apart apparaat. 
• Hardware tokens zoals een YubiKey genereren codes of bevestigen een inlogpoging via fysieke interactie. 
• Biometrische verificatie gebruikt lichaamseigenschappen als tweede factor. 

Wat daarbij vaak over het hoofd wordt gezien is dat MFA geen vrijbrief is voor een zwak wachtwoord. De kracht van MFA zit in de combinatie van twee sterke factoren, niet in de combinatie van één sterke en één zwakke. Een wachtwoord dat eenvoudig te raden of te stelen is, verzwakt de hele keten, ook als er een tweede factor aan is toegevoegd. MFA verhoogt de lat, maar de kwaliteit van elke afzonderlijke factor blijft bepalend voor hoe hoog die lat uiteindelijk ligt.

‍

Elke vorm heeft zijn eigen sterktes en zwaktes, maar ze delen allemaal hetzelfde uitgangspunt: de tweede factor is onafhankelijk van de eerste.

‍

Waarom MFA in de praktijk vaak niet werkt zoals bedoeld

De uitdaging met MFA is niet de techniek, maar de implementatie. Organisaties rollen MFA uit, maar dwingen het niet af. Medewerkers krijgen de mogelijkheid om MFA in te stellen, maar ook de mogelijkheid om het over te slaan. Uitzonderingen worden gemaakt voor medewerkers die klagen over het extra klikwerk, voor systemen die MFA technisch niet ondersteunen, en voor situaties waarin de tijdsdruk groter is dan de aandacht voor veiligheid. Het resultaat is een organisatie die op papier MFA heeft, maar in de praktijk afhankelijk blijft van wachtwoorden alleen.

‍

Een tweede uitdaging is het probleem van gedeelde accounts. Veel organisaties werken met accounts die door meerdere medewerkers worden gebruikt, voor gedeelde mailboxen, systemen of diensten. MFA is daar lastig toe te passen, omdat de tweede factor dan ook gedeeld moet worden. De oplossing die veel organisaties kiezen is het samenvoegen van wachtwoord en TOTP-code in één omgeving, zodat iedereen er bij kan. Dat lijkt praktisch, maar daarmee verdwijnt precies wat MFA sterk maakt.

‍

Een derde probleem is dat MFA structureel reactief is. Het is geen maatregel die je van tevoren inbouwt in een werkomgeving, maar iets dat je achteraf toevoegt, per applicatie, per medewerker, als die applicatie het al ondersteunt. Veel applicaties doen dat niet, en voor die systemen blijft het bij een wachtwoord alleen. Bovendien is MFA in de meeste gevallen een instelling die de gebruiker zelf moet activeren, wat betekent dat adoptie afhankelijk is van individueel gedrag in plaats van technische afdwinging. Het resultaat is een lappendeken waarbij MFA werkt waar het toevallig is ingesteld, en ontbreekt waar het vergeten of technisch niet mogelijk was.

‍

Hoe gebruiksgemak de scheiding heeft uitgehold

Wachtwoordkluizen die TOTP-tokens aanbieden als ingebouwde feature, doen dat niet omdat het veiliger is. Ze doen het omdat gebruikers erom vragen, en omdat gebruiksgemak verkoopt. Één login, alles direct beschikbaar, een soepele gebruikerservaring. De vraag die daarbij zelden wordt gesteld is of je gebruikers en organisaties echt helpt door alles samen te voegen, als je daarmee de kracht van MFA ondermijnt. Wat begint als een pragmatische keuze voor gedeelde accounts, wordt een structurele ontwerpbeslissing die de essentie van MFA ondermijnt.

‍

Zodra wachtwoord én TOTP-token achter dezelfde login staan, in dezelfde kluis, op hetzelfde apparaat, is één succesvolle inbraak voldoende om beide factoren te compromitteren. De tweede factor is dan geen onafhankelijke laag meer, maar een verlengstuk van de eerste. MFA in naam, maar niet in functie. Een aanvaller die toegang krijgt tot de kluis, heeft daarmee direct toegang tot alles wat nodig is om in te loggen.

‍

De keuze die MindYourPass bewust maakt

Bij MindYourPass hebben we hier kritisch over nagedacht en een bewuste keuze gemaakt. Securityprincipes zijn leidend, niet het gemak alleen. Dat betekent dat TOTP-tokens niet beschikbaar zijn op hetzelfde apparaat als waar het wachtwoord wordt gebruikt. Voor MFA-codes heb je je telefoon nodig. Daarmee blijft de tweede factor daadwerkelijk een aparte factor, iets wat je fysiek in bezit hebt, los van het apparaat waarop je werkt.

‍

Die keuze vraagt een kleine extra handeling van de gebruiker, een code opzoeken op de telefoon in plaats van automatisch ingevuld krijgen. Dat is bewust zo ontworpen, omdat die kleine handeling de essentie van MFA intact houdt. Eén gecompromitteerd apparaat geeft een aanvaller toegang tot het wachtwoord, maar niet tot de tweede factor. Dat is precies wat MFA belooft, en precies wat verloren gaat zodra alles op één plek staat.

‍

Beveiliging doet wat het belooft, of het doet het niet

De discussie over gemak versus veiligheid is zo oud als de beveiligingsindustrie zelf. Meestal eindigt die discussie in een compromis waarbij veiligheid het onderspit delft, omdat gebruiksgemak zichtbaar is en risico abstract blijft, totdat het misgaat. MFA is geen checkbox, het is een principe dat staat of valt met de onafhankelijkheid van de factoren.

‍

Organisaties die kiezen voor een oplossing die alles samenvoegt, kiezen in feite voor de schijn van MFA. Ze voldoen aan de letter van het beleid, maar niet aan de geest ervan. De vraag is niet of dat gemakkelijk is. De vraag is of beveiliging doet wat het belooft. Bij MindYourPass geloven we dat echte veiligheid daar begint: niet alleen gemak bieden, maar ervoor zorgen dat de beveiliging ook daadwerkelijk doet wat ze belooft.

‍