Multi-factor authenticatie op mobiele devices

Kijk eens rond op kantoor en kies een willekeurige collega. Grote kans dat hij of zij verschillende elektronische apparaten bij zich heeft. Sowieso een smartphone – misschien zelfs twee – en waarschijnlijk een laptop of een tablet. Allemaal om het werk (en het leven) net wat makkelijker te maken. Maar is dat wel echt zo?

‘Werknemers zijn de belangrijkste zwakke plekken in de informatiebeveiliging van een organisatie.’ Een uitspraak die ik regelmatig hoor. En dat lijkt wel te kloppen als je even terugdenkt aan die medewerker met zijn devices. Hij heeft op al zijn apparaten al zijn e-mailaccounts geactiveerd. Wat doet hij daarmee als hij een nieuw device koopt? En stelt hij wel wachtwoordbeveiliging in? Sommige eindgebruikers verkiezen gebruikersgemak boven securitymaatregelen, wat niet zelden problemen geeft. Ook tijdens zijn tweede leven is een ‘oud’ apparaat immers een bron die – wanneer onvoldoende beveiligd – gemakkelijk toegang geeft tot allerlei data. Al dan niet bewust kunnen onbevoegden deze toegang verzilveren, waardoor behalve privégegevens ook zakelijke data gevaar lopen. En je hoeft echt geen Jennifer Lawrence te heten om risico op inbreuk te lopen.

Natuurlijk kun je dit risico effectief vermijden door bedrijfsgegevens hermetisch af te sluiten voor ‘vreemde’ devices. Wel kun je je afvragen of je in de behoefte van de gebruiker voorziet wanneer deze data anno 2014 alleen via een bedrijfsapparaat toegankelijk is. Aan de andere kant: een wildgroei aan al dan niet beveiligde apparatuur is de nachtmerrie van elke it-beheerder. Een goede middenweg om dit dilemma het hoofd te bieden is de optie om de it-afdeling de bedrijfsgegevens op telefoons te laten beheren. Zo zijn data op afstand te wissen als de smartphone bijvoorbeeld gestolen wordt. Denk daarnaast ook aan toegangsbeheer op de mobiele server zelf. Het is zaak ervoor te zorgen dat alleen geautoriseerden de mobiele devices op afstand kunnen beheren. Op die manier voorkom je dat hackers met je data aan de haal gaan.

Een oplossing als deze kan worden bereikt met multi-factor authenticatie. Op deze manier worden gebruikers geverifieerd op basis van tenminste twee van deze punten:

• iets wat ze weten
• iets wat ze bezitten
• iets wat ze zijn (biometrisch)

De controle van de it-beheerder over een privédevice op de werkvloer is beperkter dan wanneer het bedrijf zelf het apparaat verstrekt. Multi-factor authenticatie is in een byod-organisatie (bring your own device) dus van levensbelang. En dat realiseer je heel eenvoudig. Koppel bijvoorbeeld een gebruiker aan een bepaald device (of aan meerdere). Beveilig vervolgens de apps waarmee de gebruiker zijn zakelijke e-mail, documenten en andere data bekijkt met een pincode – en dat mag niet de beveiligingscode van het device zelf zijn. De mobiele gebruiker kan nu alleen bij bedrijfsdata komen als hij:

• de juiste pincode voor de apps invoert (iets wat hij weet)
• het device gebruikt dat aan hem gekoppeld is (iets wat hij bezit)

Een Active Directory-/LDAP-systeem aan de achterkant breidt de toegangsprivileges van de gebruiker uit naar het mobiele apparaat. Wat je nu hebt, is een gestroomlijnd proces – de gebruiker hoeft alleen maar de app op de gebruikelijke manier te openen en de pincode daarvoor in te voeren. Gebruiksgemak én veiligheid.

Multi-factor authenticatie op mobiele apparaten is heel belangrijk. Met deze devices is het immers een fluitje van een cent om bedrijfsdata buiten de organisatie te sluizen. Wil je je personeel op een veilige manier ‘anytime anywhere available’ maken, dan is een slimme multi-factor authenticatie-oplossing onmisbaar.