V-ICT-OR adviseert de steden en gemeenten dringend (maar uiterlijk voor het einde van Q2 2021) 2-factorauthenticatie (2FA/MFA) af te dwingen. Afdwingen wil zeggen dat inloggen met slechts een gebruikersnaam en wachtwoord niet meer mogelijk is. Wij adviseren dit alvast te doen op:
We zien de afgelopen maanden een sterke toename van pogingen om gebruikersnamen en wachtwoorden te achterhalen en veel misbruik van bekende of zwakke gebruikersnaam/wachtwoordcombinaties.
2FA/MFA zorgt voor een extra authenticatiestap bovenop de gebruikersnaam/wachtwoord-combinatie door middel van bijvoorbeeld een tijdelijke code via bijvoorbeeld een app op de smartphone of met een token (bvb Authenticator app).
De maatregel beschermt in hoge mate tegen misbruik van inloggegevens, zoals het versturen van spam/phishing via accounts van medewerkers. De maatregel voorkomt tevens dat hackers met deze inloggegevens toegang kan krijgen en verder misbruik kan maken van uw systemen voor bijvoorbeeld het uitvoeren van een ransomware/gijzelsoftware aanval.
We beseffen dat de implementatie van de maatregel een zekere impact heeft en dat 2FA niet 100% waterdicht is. De maatregel is in ieder geval een verbetering tav gebruikersnaam en paswoord en de voordelen wegen sterker op dan de nadelen. Wij geven alvast mee dat veel ernstige incidenten kunnen worden voorkomen door 2FA af te dwingen op de bovenstaande componenten.
Dit advies is opgesteld nav de bevindingen in de stuurgroep lokaal eGov van 24 maart, we adviseren de gemeenten om directe prioriteit te geven aan de implementatie. Deze maatregel past binnen de aanpak van verhogen digitale weerbaarheid van lokale besturen.
Bij MFA gebruik je typisch een combinatie van iets wat alleen jij weet (bv. je pincode of wachtwoord), iets wat jij hebt (bv. je smartphone, GSM, bankkaart, eID of token) of wie jij bent (bv. vingerafdruk, oogiris). Gezien je meerdere van deze factoren gebruikt om ergens toegang toe te verschaffen, doe je dus aan multifactor-authenticatie.
Vaak wordt er gedacht dat MFA omslachtiger is dan het klassieke gebruik van wachtwoord of pincode, maar dat hoeft niet zo te zijn. Bij vele toepassingen kan je immers je wachtwoord vervángen door 2 andere factoren (bv. geregistreerde smartphone en een vingerafdruk). Je boet hierbij zeker niet aan veiligheid in – wel integendeel, en je hoeft geen complexe wachtwoorden te onthouden.
Indien nuttig adviseren wij u graag verder over MFA – security@v-ict-or.be