Overslaan en naar de inhoud gaan

'MFA zou problemen DigiD en eHerkenning kunnen oplossen'

Terwijl er steeds meer inloggegevens worden onderschept is het nog altijd mogelijk om via eHerkenning en DigiD met ‘slechts’ een gebruikersnaam en wachtwoord toegang te krijgen. Jeroen Speckamp, deskundig in onder meer toegangsbeheer, vindt het opmerkelijk. “Multi-factor authentication (MFA) zou de norm moeten zijn.”

Sinds de coronapandemie is het aantal gekraakte DigiD-accounts explosief gestegen. In het afgelopen jaar nam het aantal toe tot 13.000, maar liefst dertien keer zoveel als de jaren ervoor. Toch kan er nog altijd worden ingelogd met alleen gebruikersnaam en wachtwoord. Dat geldt ook voor eHerkenning, waar inloggen met een zwak wachtwoord en gebruikersnaam nog kan tot 1 juli.

“Het feit dat het nog toegestaan is, vind ik op z’n zachtst gezegd wel bijzonder”, vertelt Speckamp desgevraagd aan AG Connect. Toch begrijpt hij ook waarom die deadline zo ruim is gekozen. “Je moet gebruikers en leveranciers natuurlijk wel de tijd geven om zich aan te passen. Daar hoort een redelijke termijn bij. Bij eHerkenning is er wel héél erg veel ruimte gegeven, aangezien de afschaffing van het laagste beveiligingsniveau (met een zwak wachtwoord, red), al bijna anderhalf jaar geleden werd aangekondigd.”

MFA iets meer geaccepteerd

Had de Rijksoverheid niet gelijk moeten doorpakken en tweestapsverificatie als minimale norm moeten instellen? “Dat maakt het gelijk wel een enorm stuk veiliger, want ook sterke wachtwoorden zijn uiteindelijk te kraken”, zegt Speckamp. “Met tweestapsverificatie moeten hackers veel meer hun best doen om toegang te verkrijgen. Wat mij betreft zou MFA sowieso de norm moeten zijn.” Speckamp merkte in het verleden dat er vaak klachten ontstaan over MFA. “Het is tegenwoordig meer geaccepteerd, maar in het verleden klaagden veel mensen over dat ze het zo’n gedoe vinden. Maar nu met de vele incidenten is het eigenlijk gewoon een vereiste geworden.”

In 2012 zag de overheid nog af van verplichte tweestapsverificatie omdat dit ‘te ingewikkeld’ was en omdat het onnodig werd gevonden. “Maar dat was ook de tijdsgeest, er waren toen nog veel meer blauwe enveloppen in omloop dan nu. We zijn door de jaren heen enorm gedigitaliseerd.” Speckamp denkt dat MFA uiteindelijk onvermijdelijk zal zijn voor overheidszaken, al denkt hij dat onderscheid maken in de beveiliging van ‘gevoelige’ informatie en algemene informatie kan helpen. “Soms kan MFA ook afschrikken, bijvoorbeeld bij het invullen van een onschuldige enquête.”

80 procent

80 procent van de hackers komt binnen via wachtwoorden, meldde OGT ICT-diensten eerder in een blog op AG Connect. “Het instellen van MFA verkleint het risico op een datalek via wachtwoorden al snel met 99,9 procent. Het is dus een heel belangrijke en effectieve beveiligingsmaatregel. Je houdt de meeste hackers namelijk pas tegen als je meer dan één verificatiestap instelt. Hackers achterhalen je wachtwoorden vaak vrij makkelijk, of deze zijn zelfs al bij hen bekend. Het wordt pas echt lastig voor hen als zij andere stappen moeten doorlopen. Ze hebben hiervoor informatie nodig waar zij moeilijk aan komen. Een systeem of applicatie binnenkomen, is dan bijna onmogelijk.”

Het gebruik van MFA is nog lang geen standaard, bleek in 2020 uit cijfers van Microsoft. Het bedrijf maakte in maart 2020 nog bekend dat slechts 11 procent van de enterprise-accounts deze beveiligingstechnologie gebruikt.  

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in