Best practice: Veiligere cijferregistratie met SURFsecureID

Hogeschool Inholland gebruikt SURFsecureID, voorheen bekend als SURFconext Sterke Authenticatie, om een gedeelte van Gradework extra te beveiligen. Gradework is een applicatie voor het digitaal inleveren en online beoordelen van werkstukken. Lees in deze best practice de ervaringen van Inholland met SURFsecureID.

 Martijn Plijnaer security officer InHolland
“Je moet er even tijd voor vrijmaken om duidelijk te maken dat we op deze manier toetsfraude en cijfermanipulatie tegengaan en onze studenten beschermen, maar dan ontvangen we ook veel begrip.”
Martijn Plijnaer, security officer bij hogeschool InHolland

SURFsecureID

Soms is een gebruikersnaam en een wachtwoord niet genoeg om veilig online in te loggen. Banken en overheden gebruiken daarom sterke authenticatie. Dit is een extra check om te controleren of de gebruiker wel is wie hij zegt te zijn. Ook voor hogeronderwijsinstellingen is sterke authenticatie relevant. Je moet er niet aan denken dat de verkeerde persoon bijvoorbeeld alle toetsen van een faculteit in handen krijgt, of toegang heeft tot de cijferadministratie. Daarom introduceert SURFnet SURFsecureID.

Vraag vanuit opleidingen

Hogeschool Inholland gebruikt SURFsecureID om een gedeelte van Gradework extra te beveiligen. Gradework is een applicatie van Xebic voor het digitaal inleveren en online beoordelen van werkstukken. Studenten en docenten kunnen inloggen in Gradework met hun instellingsgegevens, zoals ze gewend zijn. Wanneer de docenten de cijfers door willen sturen naar de centrale administratie is tweefactor authenticatie nodig. Dat wil zeggen dat de docent eerst een code moet ontvangen op zijn mobiele telefoon, of een QR-code moet scannen met de Tiqr-app van SURFnet.

"We sluiten hiermee aan bij een vraag die nadrukkelijk vanuit de opleidingen komt," zegt projectleider Janneke Meertens. "Voorheen werd de cijferlijst door docenten aangeleverd bij het Servicepunt, waar hij handmatig werd overgetikt. Iedere wijziging in de cijfers moesten ze op die manier aanleveren. Mensen vroegen of dat niet makkelijker kan. Sterke authenticatie is een middel om dat voor elkaar te krijgen."

Alle applicaties in één keer

Dit project is een samenwerking tussen Inholland, Xebic en SURFnet. "Wij zijn maar één van de vele applicaties die een hogeronderwijsinstelling gebruikt," zegt Kees van Ginkel, mede-eigenaar van Xebic. "Het is daarom heel handig dat SURFnet dit in één keer regelt, in plaats van dat alle softwarebedrijven hun eigen dienst voor sterke authenticatie aanbieden." SURFsecureID maakt het mogelijk om slechts een gedeelte van de applicatie versterkt te beveiligen. Dat betekent dat sterke authenticatie alleen daar wordt gebruikt waar het echt nodig is. Van Ginkel: "We willen de balans bewaken tussen gebruikersgemak en veiligheid."

Kick-off

In een uitgebreide kick-off kregen de medewerkers van het ICT-Servicepunt instructies over hun rol in het uitgifteproces. "Ik gebruik bij de uitleg vaak de analogie van een paspoortuitgifte," vertelt security officer Martijn Plijnaer. "Iedereen begrijpt dat een paspoort weinig waard is als je een nieuw paspoort gewoon krijgt opgestuurd, of  als je zelf de gegevens mag invullen. Je moet zelf langs Burgerzaken en de uitgifte verloopt aan de hand van je bestaande paspoort."

Op dezelfde manier moeten medewerkers die gebruikmaken van Gradework met hun legitimatiebewijs en mobiele telefoon langs het ICT-Servicepunt. Plijnaer zegt dat de reacties overwegend positief zijn. "Je moet er even tijd voor vrijmaken om duidelijk te maken dat we op deze manier toets fraude en cijfermanipulatie tegengaan. Wanneer duidelijk wordt dat we zo het werk van onze studenten en medewerkers beschermen, ontvangen we ook veel begrip."

"Het is heel handig dat SURFnet dit in één keer regelt, in plaats van dat alle softwarebedrijven hun eigen dienst voor sterke authenticatie aanbieden."
Kees van Ginkel, mede-eigenaar van Xebic (Gradework)

Verbeterpunten

De pilot met Gradework heeft een aantal nuttige suggesties ter verbetering van SURFsecureID opgeleverd, die we momenteel verder onderzoeken. Van Ginkel zegt: "We hebben SURFnet  bijvoorbeeld geadviseerd om de teksten nog eens door de ogen van de gebruiker te bekijken. 'U moet uw token laten registreren' zegt docenten niets."

Een ander punt van aandacht is het kwijtraken van mobiele telefoons. Plijnaer: "Bij diefstal of verlies van een smartphone moet de toestelregistratie ook uit SURFsecureID worden verwijderd. Natuurlijk staat niet iedereen daarbij stil. We zouden graag zien dat er een koppeling tussen SURFsecureID met onze administratie mogelijk is, zodat we verloren of gestolen toestellen sneller kunnen ontkoppelen.

Citrix

Hogeschool Inholland wil SURFsecureID ook toepassen op een Citrix-omgeving van de instelling. Plijnaer: "De SURFconext-technologie is gebaseerd op webtechnologie. De koppeling met een desktop-omgeving zoals Citrix levert uitdagingen op. We werken nog aan een paar kinderziektes. Andere instellingen en UMC's tonen interesse in deze opzet." Ook bij de introductie van SURFsecureID in Citrix zal de instelling kiezen voor een gefaseerde uitrol. De test met Gradework geeft alle aanleiding om die met vertrouwen tegemoet te zien. Meertens: "Sterke authenticatie heeft een klein effect op ons werk, maar een grote impact op de veiligheid."