Best practice Veiligere cijferregistratie door tweefactorauthenticatie(Publicatie)

SURFconext Sterke Authenticatie: Hogeschool Inholland Hogeschool Inholland gebruikt SURFconext Sterke Authenticatie om een gedeelte van Gradework extra te beveiligen. Gradework is een applicatie van Xebic voor het digitaal inleveren en online beoordelen van werkstukken. Lees in deze best practice de ervaringen van Inholland met SURFconext Sterke Authenticatie.

download
21 NOV 2016

SURFconext Sterke Authenticatie

Soms zijn een gebruikersnaam en een wachtwoord niet genoeg om veilig online in te loggen. Banken en overheden gebruiken daarom sterke authenticatie, een extra check om te controleren of de gebruiker wel is wie hij zegt te zijn. Ook voor hogeronderwijsinstellingen is sterke authenticatie relevant. Je moet er niet aan denken dat de verkeerde persoon bijvoorbeeld alle toetsen van een faculteit in handen krijgt, of toegang heeft tot de cijferadministratie. Daarom introduceert SURFnet SURFconext Sterke Authenticatie.

Vraag vanuit opleidingen

Hogeschool Inholland gebruikt SURFconext Sterke Authenticatie om een gedeelte van Gradework extra te beveiligen. Gradework is een applicatie van Xebic voor het digitaal inleveren en online beoordelen van werkstukken. Studenten en docenten kunnen inloggen in Gradework met hun instellingsgegevens, zoals ze gewend zijn, maar voor het doorsturen van de cijfers naar de centrale administratie is tweefactorauthenticatie nodig. Dat wil zeggen dat de docent eerst een code moet ontvangen op zijn mobiele telefoon, of een QR-code moet scannen met de Tiqr-app van SURFnet.

"We sluiten hiermee aan bij een vraag die nadrukkelijk vanuit de opleidingen komt," zegt projectleider Janneke Meertens. "Voorheen werd de cijferlijst door docenten aangeleverd bij het Servicepunt, waar hij handmatig werd overgetikt. Iedere wijziging in de cijfers moesten ze op die manier aanleveren. Mensen vroegen of dat niet makkelijker kan. Sterke authenticatie is een middel om dat voor elkaar te krijgen."

Alle applicaties in één keer

Het project is een samenwerking tussen Inholland, Xebic en SURFnet. "Wij zijn maar één van de vele applicaties die een hogeronderwijsinstelling gebruikt," zegt Kees van Ginkel, mede-eigenaar van Xebic. "Het is daarom heel handig dat SURFnet dit in één keer regelt, in plaats van dat alle softwarebedrijven hun eigen dienst voor sterke authenticatie aanbieden." SURFconext Sterke Authenticatie maakt het mogelijk om slechts een gedeelte van de applicatie versterkt te beveiligen. Dat betekent dat sterke authenticatie alleen daar wordt gebruikt waar het echt nodig is. Van Ginkel: "We willen de balans bewaken tussen gebruikersgemak en veiligheid."

Kick-off

In een uitgebreide kick-off kregen de medewerkers van het ICT-Servicepunt instructies over hun rol in het uitgifteproces. "Ik gebruik bij de uitleg vaak de analogie van een paspoortuitgifte," vertelt security officer Martijn Plijnaer. "Iedereen begrijpt dat een paspoort weinig waard is als je een nieuw paspoort gewoon krijgt opgestuurd, of  als je zelf de gegevens mag invullen. Je moet zelf langs Burgerzaken en de uitgifte verloopt aan de hand van je bestaande paspoort."

Op dezelfde manier moeten medewerkers die gebruikmaken van Gradework met hun legitimatiebewijs en mobiele telefoon langs het ICT-Servicepunt. Plijnaer zegt dat de reacties overwegend positief zijn. "Je moet er even tijd voor vrijmaken om duidelijk te maken dat we op deze manier toetsfraude en cijfermanipulatie tegengaan en daarmee het werk van onze studenten en medewerkers beschermen, maar dan ontvangen we ook veel begrip."

Verbeterpunten

De pilot met Gradework heeft een aantal nuttige suggesties ter verbetering van SURFconext Sterke Authenticatie opgeleverd, die SURFnet onderzoekt. Van Ginkel zegt: "We hebben SURFnet  bijvoorbeeld geadviseerd om de teksten nog eens door de ogen van de gebruiker te bekijken. 'U moet uw token laten registreren' zegt docenten niets."

Een ander punt van aandacht is het kwijtraken van mobiele telefoons. Plijnaer: "Bij diefstal of verlies van een smartphone moet de toestelregistratie ook uit SURFconext Sterke Authenticatie worden verwijderd. Natuurlijk staat niet iedereen daarbij stil. We zouden graag zien dat er een koppeling tussen SURFconext Sterke Authenticatie met onze administratie mogelijk is, zodat verloren of gestolen toestellen sneller uit SURFconext Sterke Authenticatie kunnen worden gehaald."

Citrix

Hogeschool Inholland wil SURFconext Sterke Authenticatie ook toepassen op een Citrix-omgeving van de instelling. Plijnaer: "De SURFconext-technologie is gebaseerd op webtechnologie. De koppeling met een desktop-omgeving zoals Citrix levert uitdagingen op. We werken nog aan een paar kinderziektes. Andere instellingen en UMC's tonen interesse in deze opzet." Ook bij de introductie van SURFconext Sterke Authenticatie in Citrix zal de instelling kiezen voor een gefaseerde uitrol. De pilot met Gradework geeft alle aanleiding om die met vertrouwen tegemoet te zien. Meertens: "Sterke authenticatie heeft een klein effect op ons werk, maar een grote impact op de veiligheid."

Aantal keren bekeken:
946
Aantal keren gedownload:
74