Multi-Factor Authenticatie (MFA) is een authenticatie methode waarbij je minstens twee stappen (factoren) succesvol moet doorlopen om toegang te krijgen. Deze factoren kunnen iets wat je weet (je gebruikersnaam en wachtwoord), iets wat je bent (zoals je vingerafdruk, gezichtsherkenning of irisscan), iets wat je hebt (zoals hardware tokens of het apparaat waarop je werkt) of je locatie (je kan enkel vanop een specifieke bepaalde locatie toegang krijgen) zijn.
De VUB gaat voor twee factor authenticatie (2FA), MFA met 2 factoren/stappen. In een eerste stap voer je jouw gebruikersnaam en wachtwoord in. In de tweede stap dien je een bijkomende actie uit te voeren. Dit kan het ingeven zijn van een tweede sleutel, bv. een ontvangen sms-code of een code ontvangen of aangemaakt door een gekoppelde app op je smartphone, of het louter bevestigen van het inlogverzoek op zo’n gekoppelde app.
In de meerderheid van de cyberaanvallen, sommigen vermoeden zelfs in 95% van de gevallen, wordt er misbruik gemaakt van zwakke of gestolen inloggegevens. De meeste efficiënte verdediging hiertegen is 2FA. Als je wachtwoord gecompromitteerd wordt kan de cybercrimineel je wachtwoord niet direct misbruiken omdat deze ook de 2de factor nodig heeft.
Ook brengt dit conformiteit met de wetgeving dichterbij. Zo vereist de Algemene Verordening Gegevensbescherming (AVG) dat de bescherming van gevoelige persoonsgebonden data geoptimaliseerd wordt. 2FA is een grote stap in deze richting.
Ook 2FA is niet 100% veilig tegen cybercriminelen. Zo kan je nog altijd misleid worden door een nagemaakte website waarop je dan 2FA inlogt. De cybercrimineel heeft zo beide factoren verkregen en kan deze gebruiken om zelf in te loggen. Ook kunnen sms-berichten waarmee de 2de factor wordt opgestuurd onderschept worden d.m.v. sim-cloning (men maakt een duplicaat van je telefoon, waar dan kopieën van al je sms-berichten op toe komen). Daarom dat het gebruik van sms-berichten om je inlogcode te verkrijgen afgeraden wordt.
Nog niet alle VUB-applicaties gebruiken deze 2FA, de extra beveiligingslaag. Zo worden Canvas, Office 365, TEO al door 2FA beschermd. Cali, Pure, RACS zijn voorbeelden van applicaties die momenteel nog niet achter deze 2FA beveiliging staan (doch er wordt aan gewerkt!).
Desondanks deze beperkingen blijft 2FA de meest eenvoudige en zeer efficiënte beveiliging tegen misbruik van gecompromitteerde wachtwoorden, en 2FA wordt dan ook aanzien als een minimale authenticatiebeveiliging.
2FA wordt automatisch geactiveerd voor iedere VUB-account, buiten deze van studenten (studenten met een mixed profiel vallen ook onder 2FA). Dus ook tijdelijke accounts, accounts voor externen, vriendenkring en emeriti-accounts.
Let op, 2FA is niet optioneel aan de VUB, er zijn geen uitzonderingen.
2FA wordt op 11 maart 2024 ook automatisch geactiveerd voor studenten!
De impact op je dagelijkse werking is miniem. Je moet niet méér inloggen dan voordien, het enige verschil is dat je nu ook een tweede factor moet ingeven.
Ook de werking van Outlook, de standaard VUB e-mailclient, verandert niet na het activeren van je 2FA. Gebruik je een andere e-mailclient zal deze ook niet anders reageren daar e-mailclients die geen OAuth2 (vereist voor MFA) ondersteunen reeds geblokkeerd werden.
De meeste eenvoudige methode is gebruik te maken van de Microsoft Authenticator op je smartphone. Je kan andere authenticators gebruiken, doch dan is er een speciale setup vereist (als je dit wil, Google dan naar jouw geselecteerde authenticator-setup). De ICT Service Desk ondersteund enkel installatie en gebruik van de Microsoft Authenticator.
Er is ook de Microsoft Authenticator Lite, ingebouwd in Outlook Mobile (Android en iOS), welke kan gebruikt worden. Let op, je kan niet en de MS Authenticator en de MS Authenticator Lite gelijktijdig actief hebben. En de Lite versie vereist minimum Android 4.2310.1 of iOS 4.2312.1.
Je kan ook een inlogcode bekomen via een telefoonnummer. Je kan hiervoor drie nummers ingeven: ‘Phone’, ‘Alternate phone’ en ‘Office phone’. Hierbij is het mogelijk je mobiel nummer in te geven, dit geeft je dan de bijkomende optie om je inlogcode via SMS te ontvangen (wordt gezien minder veilig afgeraden, enkel als backup te gebruiken).
Een andere optie is het gebruik van een fysiek token (security key). Deze zal USB geconnecteerd met je laptop als 2de factor kunnen gebruikt worden. Let op, deze fysieke tokens worden niet centraal aangeleverd. Wel wordt installatie en gebruik van een token uit de YubiKey 5 Series [1] door de VUB helpdesk ondersteund. Ga je voor een andere security key, check dan eerst of deze ondersteund wordt.
Je wordt sterk aangeraden om meerdere opties te activeren zodat je steeds een back-up optie hebt mocht je default gekozen optie niet beschikbaar zijn.
Een inlogcode verkrijgen via e-mail is niet mogelijk.
[1] YubiKey 5 NFC (USB A) en YubiKey 5C NFC (USB C) werden getest en worden aangeraden.
Je Outlook toegang zal nog steeds werken, dus je hebt nog steeds toegang tot je e-mail. Ook als je documenten op je OneDrive hebt staan en je een synchronisatie met je laptop hebt opgezet, zal deze blijven werken. Voor beide moet je namelijk niet steeds inloggen (2FA verandert niets aan wanneer je moet inloggen).
Als je echter O365 online wil gebruiken, of één van de 2FA login afgeschermde applicaties, dan kan je dit niet. Daarom wordt aangeraden meer dan één 2de factor optie te activeren zodat je steeds een back-up hebt.
Is je gsm stuk en je steekt je simkaart in een ander toestel heb je geen toegang meer aan de met je account gelinkte authenticator. Daarom wordt aangeraden je gsm-nummer ook als telefoonnummer in te geven. Je kan dan dit ander toestel ofwel via voice (gesproken stem) ofwel via sms een inlogcode krijgen (maar minder veilig).
Men kan ook de ICT Service Desk contacteren, deze kunnen 2FA resetten. Hierdoor zal je bij eerste login 2FA opnieuw moeten opzetten. Dit scenario werkt uiteraard enkel in bepaalde scenario’s (bv., gsm kapot/verloren/gestolen en nieuwe gsm beschikbaar om 2FA op te zetten).
Let op: de uitdaging is hier dat de ICT Service Desk je positief moet identificeren. Er moet een ticket in Service Now worden aangemaakt. Heb je zelf even geen toegang tot je VUB e-mail (niet VUB e-mails worden hiervoor niet aanvaard), laat dan een collega het ticket aanmaken. Deze staat dan in voor de positieve identificatie van je identiteit.
MFA is de meest efficiënte verdediging tegen misbruik van een gecompromitteerd wachtwoord. Als een cybercrimineel met het gecompromitteerd wachtwoord probeert in te loggen, krijgt de gebruiker een 2de MFA-factor bevestigingsvraag. Deze wordt uiteraard niet beantwoord en zo wordt de cybercrimineel toegang ontzegd.
Krijg je opeens meerdere MFA-bevestigingsvragen, neem dan onmiddellijk actie en verander je wachtwoord hier. Laat de hoeveelheid van MFA aanvragen je niet verleiden tot toch eens eentje goed te keuren, je geeft hiermee de cybercrimineel toegang tot je account.
Voor diegenen die de Authenticator-app op hun smartphone gebruiken wordt extra informatie op het bevestigingsscherm getoond: de applicatie waar je probeert op in te loggen en de locatie vanwaar je inlogt (let op, dit is de locatie waar je provider op het internet gaat, niet waar jij je bevindt – zo kan een login in Leuven je West Flanders als locatie geven, zolang je maar een Belgische locatie hebt zit je goed).
Voor VUB medewerkers en VUB studenten wordt 2FA automatisch (verplicht) geactiveerd.
Meer info op Service-Now.
Applicaties zoals WhatsApp, Facebook, Linkedln, en vele anderen ondersteunen MFA. Zoek in de settings of Google “MFA + naam van de applicatie” om uit te vinden hoe je deze activeert.
Raadpleeg gerust deze lijst van meest courante platformen waar tweestapsverificatie mogelijk is.
Nog vragen? Contacteer dan de ICT Service Desk via Service Now of via e-mail naar helpdesk@vub.be.
Laatste update: 10/02/2024
Wat is tweestapsverificatie? (Safeonweb.be) – 0:49
Hoe schakel je tweestapsverificatie in? (Safeonweb.be) 0:44
Een niet werkende link? Stuur een e-mail naar helpdesk@vub.be.