UU en HZ: Multi-factorauthenticatie zorgt voor laagdrempelige beveiliging van diensten achter SURFconext

"MFA is essentieel"

Bij beide instellingen wordt de noodzaak om diensten goed te beveiligen sterk gevoeld. “MFA is essentieel voor instellingen”, zegt Van Loo (HZ University of Applied Sciences). “Het komt steeds vaker voor dat er accounts worden gehackt of platgelegd, zoals bijvoorbeeld bij de Universiteit Maastricht. Accounts zijn natuurlijk beveiligd door de gebruikersnaam en het wachtwoord, maar we zien dat de gemiddelde gebruiker daar gemakkelijk mee omgaat, bijvoorbeeld door steeds hetzelfde wachtwoord te gebruiken. MFA maakt het gebruik een stuk veiliger.”

MFA voor diensten achter SURFconext per dienst aan of uit te zetten

De beide instellingen hebben elk een eigen MFA-oplossing die gekoppeld is aan de eigen identity provider. In Zeeland is dat Azure MFA, terwijl Utrecht werkt met Micro Focus NetIQ. “We hadden al een aantal jaren geleden een eigen oplossing geïmplementeerd waarmee we al een groot aantal diensten konden ontsluiten”, zegt Van Bokhoven (Universiteit Utrecht). “Tot voor kort was het niet mogelijk om SURFconext-diensten op dezelfde manier te beveiligen. Die diensten wilden we ook toegankelijk maken, maar we wilden de gebruikers niet opzadelen met een nieuwe MFA-methode. Deze oplossing van SURF stelt ons in staat om per dienst de optie voor MFA aan en uit te zetten, wat veel vrijheid geeft. Toen we dat zagen, dachten we: daar gaan we gebruik van maken.”

Voordeel eigen MFA-koppelen: gebruikers niet opzadelen met een extra MFA-methode

Wat is het voordeel van de MFA-oplossing die de beide instellingen nu hebben gekozen? “We willen de gebruikers voor MFA altijd dezelfde oplossing bieden”, stelt Scheeren (UU). “Met deze oplossing is het voor de gebruikers niet anders dan wanneer ze toegang krijgen tot een interne UU-dienst.”

Apps en tokens als tweede factor

Afhankelijk van de identity provider kan de MFA-oplossing op verschillende manieren ingevuld worden. In Utrecht kunnen de gebruikers kiezen tussen de NetIQ app (aanbevolen), een andere app zoals Google Authenticator en een hardware token, de YubiKey (een USB-stick). “Tot voor kort werkten we ook nog met SMS”, vult Scheeren aan, “maar daarmee zijn we gestopt vanwege de kosten.” Ook in Zeeland krijgen de meeste gebruikers hun authenticatie via een app; daarnaast is er een hardware token beschikbaar, in dit geval een sleutelhanger die een code genereert ('TOTP').  “Het was voor ons een randvoorwaarde dat hardware token gebruikt zou kunnen worden voor apparaten zonder USB-ingang”, zegt Van Loo. “Daarmee viel SURFsecureID – de MFA-oplossing van SURF – af als mogelijke MFA-oplossing, want de daarbij te gebruiken hardware tokens waren op dat moment allemaal USB-gebaseerd.”

Implementatie MFA-koppeling verliep soepel

Beide partijen hebben ervaren dat de implementatie van de MFA-koppeling met SURFconext heel soepel verliep. “SURF heeft een wiki met informatie over deze oplossing die heel duidelijk is, en we hebben ook contact gehad met het technische team van SURF”, zegt Van Bokhoven. “We hebben wel een pilot gedaan, maar eigenlijk was het met een paar mailtjes heen en weer duidelijk. Het werkte vrij snel zoals het behoorde te werken.” Ook Van Loo heeft weinig technische problemen ervaren: “We hebben Azure MFA eerst geïmplementeerd in een pilot, los van SURFconext. Op een gegeven moment hadden we dat draaien, en toen bood SURF de mogelijkheid om die MFA-toepassing aan de SURFconext koppeling toe te voegen. Het enige wat we moeten doen is bij SURF aangeven voor welke diensten we MFA willen toepassen, en dan zetten zij het aan.”

Aantal diensten met MFA neemt toe

Het aantal diensten waarvoor MFA wordt toegepast, neemt bij beide instellingen gestaag toe. “We gebruiken de MFA-oplossing nu voor een stuk of zes, zeven diensten, bijvoorbeeld voor de toegang tot onderzoekspublicaties via SURFconext”, vertelt Scheeren. In het begin waren gebruikers soms nog wel wat huiverig, maar dat is voorbij. Veel docenten en onderzoekers die van een dienst gebruik willen maken, komen zelf al met een verzoek voor MFA, dat hoeven we niet meer te pushen.” Ook Van Loo heeft goede ervaringen: “We zijn begonnen met financiële diensten en we hebben de portfolio stapsgewijs uitgebreid, bijvoorbeeld met Osiris voor onze onderwijsadministratie. We zijn nu bezig met Office 365 voor de medewerkers, studenten kunnen optioneel gebruik maken van MFA. Uiteindelijk wil je toe naar een situatie waarin zo veel mogelijk diensten met MFA zijn beveiligd.”

In beide instellingen wordt aangegeven dat het heel eenvoudig is om een dienst aan of uit te zetten: “Een mailtje aan SURF is voldoende, dan is het binnen een dag geregeld”, zegt Van Bokhoven. “De optie zit nog niet in het SURF-dashboard, maar we hebben begrepen dat dat wel op de planning staat.”

Gebruikers zijn positief

Zowel in Zeeland als in Utrecht zijn de ervaringen tot nu toe positief. “Het ongemak voor gebruikers is beperkt”, zegt Van Loo. “Als je eenmaal bent ingelogd op een dienst waarvoor MFA nodig is en je logt vervolgens in op een andere dienst, dan hoef je niet opnieuw een tweede factor in te voeren. We zien dat er heel weinig weerstand is, de ervaringen in de organisatie zijn heel positief. Alle berichten in de media over hacking en ransomware hebben daartoe ook bijgedragen.”

Ook Van Bokhoven heeft weinig kritiek gehoord: “Er is qua MFA geen verschil tussen de diensten die we via SURFconext aanbieden en onze andere applicaties. De gebruikerservaring is exact hetzelfde.”

Tips voor instellingen die MFA nog niet hebben ingevoerd

Tot slot hebben de gesprekspartners nog wel een tip voor instellingen die nog geen MFA hebben ingevoerd en de stap willen maken. Van Loo benadrukt de noodzaak van een pilot: “Begin stapsgewijs, voer MFA in via een OTAP (Ontwikkel-, Test-, Acceptatie- en Productie-)omgeving.” Van Bokhoven voegt daar een heel praktische tip aan toe: “Neem contact op met SURF en kijk wat de mogelijkheden zijn. Dat kan je veel tijd besparen.”