Heel veel veilige authenticatie in één device

Remote werken is tegenwoordig een must. De wereldwijde pandemie, veroorzaakt door Corona, heeft bij de groepen kantoorwerkers die nog niet regelmatig vanaf huis werkten  inmiddels de voor- en nadelen hiervan wel duidelijk gemaakt.

Een van de belangrijkste issues is natuurlijk veiligheid. In een eerdere blog heb ik al besproken wat een goed wachtwoord is en waarom. De korte conclusie van dat artikel: gebruik 2 talen, iets dat je zelf gemakkelijk kunt onthouden en het moet lang zijn. Jesuisnéen1969&mijnbroerisLéon is daadwerkelijk een heel goed wachtwoord dat ik (maar waarschijnlijk ook alleen ik) gemakkelijk kan onthouden.

Een veilig wachtwoord is noodzakelijk, daar ben ik meer dan wie ook van doordrongen, maar lastig is het wel: een wachtwoord van 30 tekens iedere keer intikken. Gelukkig gebruiken we YubiKey die ik in een USB poort stop ik houd mijn vinger minimaal 4 seconden op het device en het vult dat extreem lange wachtwoord in op de plekken waar ik dat wil. Verderop in dit artikel gaat het over de mogelijkheden van de YubiKey: een klein, eenvoudig en goed doordacht hulpmiddel om veilig te kunnen werken!

Wachtwoorden in de praktijk

Een enkel sterk wachtwoord onthouden om toegang te krijgen tot mijn mail of bedrijfsomgeving is prima, maar net als ieder ander heb ook ik tientallen websites en -services waar ik accounts heb. Het laatste dat je wilt doen is hetzelfde wachtwoord gebruiken voor meerdere sites! Als namelijk een van die sites hun beveiliging niet goed op orde hebben en gehacked worden dan hebben hackers direct toegang tot al je sites. Geloof me, het eerste dat hackers doen als ze op een of andere vage site een user account en wachtwoord buitmaken is die tegen alle “normale” websites aanhouden. Waarom? Omdat de kans groot is dat iemand een wachtwoord meerdere keren gebruikt heeft.

Noodgedwongen worden de wachtwoorden dus iets eenvoudiger voor systemen waar ik geen controle over heb. Soms kun je overigens niet eens anders, omdat een site heel beperkt is in wat het toe staat. Zo heb ik een frequent flyer account bij een buitenlandse maatschappij die tot 2018 (!!) alleen een pincode van 6 tekens toe stond … dan kun je nog zo graag een goed wachtwoord willen gebruiken, maar het kan dan eenvoudigweg niet.

Wat ik met veel succes nog steeds gebruik voor “niet kritische” websites is een samengesteld wachtwoord uit 2 talen: tavuk (Turks voor kip) en haring, wordt als basis wachtwoord T@vukH@r1ng. Goed te onthouden, niet te lang voor de meeste websites, maar nog steeds niet uniek. Om dat te doen gebruik je de website waar je naar toe gaat. Je wachtwoord voor de Netflix site wordt dan nT@vukeH@r1ng, voor Gmail gT@vukmH@r1ng. Een mens zou hier al niet snel de logica in zien, laat staan een geautomatiseerd process. Je hebt nu opeens geen wachtwoord meer, maar een wachtwoord systeem.

Hiermee heb je voor de meeste websites en systemen een heel goed systeem, zolang je het maar met niemand deelt. Wil je echter toch een betere bescherming, zonder het complexer te maken en zonder al te veel kosten dan is het gebruik van MFA (Multi Factor Authentication) een heel goede toevoeging. MFA is er in vele vormen, van fysieke tokens (bijv. het oude systeem van de banken met de “calculator”) tot push berichten naar je telefoon, iris scans of gezichtsherkenning. Het gaat er in ieder geval om dat je niet langer alleen iets weet (je wachtwoord), maar ook iets hebt (een token) of iets bent (een gezicht). Als iemand nu al achter je wachtwoord kan komen dan nog krijgt hij geen toegang, omdat hij niet jouw vingerafdruk heeft.

MFA is een noodzaak

Inmiddels is iedereen in de ICT beveiliging het er wel over eens dat MFA een bittere noodzaak is. Er zijn maar weinig mensen die zo bewust met beveiliging bezig zijn dat ze overal unieke wachtwoorden gebruiken. We leven nog steeds in een tijd waarin de meeste mensen niet eens een veilig wachtwoord gebruiken.

De website scattered secrets heeft inmiddels meer dan 4 miljard (!!) gekraakte wachtwoorden verzameld. Gekraakte wachtwoorden worden aangeboden op het darkweb. Als we de database voor scattered secrets filteren op Nederlandse email adressen is dit de top-10 van de meest voorkomende wachtwoorden:

Voor 2400 euro par jaar kun je deze site alle email adressen van je organisatie laten controleren en krijg je een bericht als er een nieuw gekraakt wachtwoord bij komt.

ICT beheerders & managers en Security Officers kunnen dit niet negeren. Blijkbaar zijn intelligente mensen niet in staat om beveiliging van toegang tot systemen en websites serieus te nemen. Je kunt mensen laten zien wat de effecten kunnen zijn, informatie geven, opvoeden of zelfs berispen. Het punt is dat je geen veilige omgeving kunt maken zonder Multi Factor Authentication.

YubiKey als Multi Factor Authenticatie (en meer)

Bij TMD informatisering hebben we gekozen voor gebruik van YubiKey. Een YubiKey is een eenvoudig token dat lijkt op een USB stick en stevig genoeg is om daadwerkelijk aan je sleutelbos te bevestigen:

Gebruik van de YubiKey is eenvoudig.

1. Log in op een beschermde omgeving met je username & password
2. Het systeem zal vragen om de YubiKey.
3. Plaats deze in een USB slot
4. Raak kort het bronzen ‘y’ symbool aan.

Hierdoor zal de YubiKey actief worden en de unieke sleutel voor het systeem of website waar je naar toe gaat uitwisselen. Het voordeel is dat het een gemakkelijke handeling is, die vrijwel geen tijd kost, waarvoor je geen software op je (privé) telefoon hoeft te hebben: indrukken – aanraken – doorgaan.

De reden waarom wij voor YubiKey hebben gekozen is omdat we een veelheid aan systemen op deze manier kunnen beveiligen (YubiKey wordt door heel veel vendors ondersteund en de mogelijkheden groeien nog steeds). De YubiKey die je hierboven aan mijn sleutelbos zit hangen kost eenmalig 39 euro (ex BTW) en het installeren kost relatief weinig tijd.

Wat beveiligt TMDi met YubiKeys?

De meest fantastische feature van de YubiKey heb ik al eerder in dit artikel genoemd. Ik kan 1 heel lang wachtwoord opslaan in de YubiKey en door het device minimaal 4 seconden aan te raken produceert hij dat wachtwoord. How cool is that! Persoonlijk krijg ik mijn zeer sterke wachtwoord écht niet in 4 seconden foutloos ingevoerd.

Binnen TMDi zijn verder de volgende authenticaties met YubiKey beveiligd:

• Windows authenticatie
• Microsoft O365
• Zoho (ons ticket systeem),
• Hubspot (ons CRM & marketing systeem)
• Keeper (onze password manager).

Maar ook diensten als Dropbox, Facebook & Slack zouden ontsloten kunnen worden als je die gebruikt.

YubiKey als One Time Password service

De YubiKey kan echter ook gebruikt worden als vervanger van OTP services zoals Google of Microsoft Authenticator. Voor alle diensten waar je een time based code moet genereren kun je de informatie opslaan in je YubiKey. Het voordeel van werken op deze manier is dat je niet afhankelijk bent van je GSM of een applicatie op een bepaalde PC. Op iedere PC waar de YubiKey Authentication app geïnstalleerd is kun je nu je OTP aanspreken, omdat de informatie op je YubiKey staat en de applicatie alleen de ontsluiting regelt!

Aanmaken van een nieuwe OTP is eenvoudig:

1. Start de applicatie
2. Klik op het plusje rechtsboven
3. Ergens op je beeldscherm krijg je een QR code te zien

Direct daarna is code opgeslagen in de YubiKey en te gebruiken op ieder systeem dat de applicatie heeft.

Net als de google of Microsoft Authenticator die je nu gebruikt zie je voor de gekoppelde accounts de time based code die specifiek voor jouw account geldt, alleen is de beschikbaarheid dus afhankelijk van het bij je hebben van de YubiKey. Of ik nu thuis op mijn computer werk, op kantoor of onderweg op mijn surface: YubiKey erin en ik heb op die PC mijn code generator.

Wil je meer informatie hierover of in een gesprek bekijken of dit iets voor jouw organisatie is? Neem contact met ons op via d.dirks@tmdi.nl of 0341-434317.