Met SURFsecureID beveilig je de toegang tot online diensten beter via multi-factorauthenticatie. De gebruiker logt in met een gebruikersnaam, wachtwoord én met een tweede factor: een sms, usb-sleutel, mobiele app (tiqr) of Microsoft token. SURFsecureID is uitermate geschikt voor diensten met gevoelige data en het voorkomen van account-misbruik.
SURFsecureID innoveren
Hoe controleer je identiteit op afstand? Hoe kun je SURFsecureID en MS Azure multifactorauthenticatie (MFA) werkbaar combineren? We hebben verschillende oplossingen onderzocht. In 2020 werken we aan een proof of concept 'Identificatie op afstand' en draaien we een pilot 'Azure MFA als authenticatiemiddel'.
Identificatie op afstand
Hoe controleer je identiteiten op afstand? Erg relevant als je niet zelf langs een servicebalie kan om je te laten identificeren, bijvoorbeeld wanneer je in het buitenland werkt. Gelukkig kan identificatie op afstand of online op verschillende manieren. Dit noemen we remote vetting. De nfc-app, iDIN en IRMA lieten we onderzoeken op hun voor- en nadelen. In 2021 kijken we in een proof of concept hoe we deze in SURFsecureID kunnen integreren.
SURFsecureID en Microsoft Azure Multi-Factor Authenticatie combineren
Instellingen die applicaties willen afschermen met tweefactorauthenticatie (2FA) twijfelen tussen SURFsecureID of MS Azure Multi-Factor Authentication (MFA) inzetten. Ze willen dat hun gebruikers maar één 2FA-middel inzetten, of zijn onzeker over applicaties die gekoppeld zijn aan Azure Active Directory in combinatie met SURFsecureID.
Eén 2e factor voor de gebruiker
Azure MFA en SURFsecureID ondersteunen elk verschillende typen 2FA-middelen. Voor gebruikers is dat onhandig en verwarrend. Zo heb je bijvoorbeeld voor de ene applicatie de Microsoft Authenticator app en voor een andere applicatie de tiqr-app.
Wij willen dat een instelling zowel Azure MFA als SURFsecureID gebruikt, met maar één 2FA-middel. Als je een van de Azure MFA middelen inzet (zoals de Microsoft Authenticator-app), kun je dit middel ook registreren in SURFsecureID. Zo heb je maar een 2FA-middel dat je inzet voor Azure MFA of SURFsecureID.
Wil je meer lezen? Peter Clijsters schreef het blog ‘SURFsecureID en Microsoft Azure MFA combineren’.
Azure MFA als authenticatiemiddel testen?
Je kunt nu Azure MFA als authenticatiemiddel testen! We horen graag of het aan je verwachtingen voldoet, en onderzoeken of er specifieke ADFS of Azure MFA configuraties zijn waarop we moeten letten. Help je mee?
Sterkere tweefactorauthenticatie met FIDO2-token
SURFsecureID voegt aan tweefactorauthenticatie inloggen met een fysiek FIDO2-token toe. Een hardware-token maakt inloggen veiliger door de extra beveiligingslaag naast een wachtwoord en werkt met usb, nfc, of bluetooth. Al je inloggegevens staan hier veilig op en je versterkt er je identiteit mee. Activeer je token en log in.
Veilig inloggen
FIDO2-sleutels gebruiken public key cryptografie: de server waar je inlogt slaat alleen een niet-geheime sleutel op. De geheime sleutel is met speciale hardware goed beveiligd. Voor authenticatie ondertekent alleen deze geheime sleutel digitaal berichten naar de server. De niet-geheime sleutel die bekend is op de server controleert de echtheid van de handtekeningen in deze berichten, maar kan zelf geen handtekeningen genereren.
En phising?
Je bent automatisch beschermd tegen phishing als je inlogt met een FIDO2-token. Als je je registreert op een bepaalde website, genereert jouw token specifiek voor die site een publiek/privaat sleutelpaar. Log je later in met hetzelfde token, dan zorgt de browser dat dezelfde sleutel wordt gebruikt als waarmee is geregistreerd. De server kan daarmee controleren of er een phishingsite actief is.
Hoe verder
Inloggen met een FIDO2-token is veiliger, makkelijker, breder ondersteund en betaalbaarder. Er is voldoende keuze in tokens én steeds betere ondersteuning in browsers. Toch moeten we nog wachten op ondersteuning op websites en verbetering van credential management op deze tokens. Binnenkort verandert dat!
Lees meer over inloggen met tweefactorauthenticatie en een FIDO2-token in de blogpost van Joost.